[LACNIC/Seguridad] Paranoia 2.0?

Iván Arce ivan.w.arce en gmail.com
Mie Feb 1 14:02:51 BRST 2012 

Si bien la preocupación alrededor de la legislación alemana es legítima,
la interpretación de sus implicancias reales no es precisa.

La legislación en cuestión surge como consecuencia de la adhesión al
Convenio sobre Cibercriminalidad de Budapest
(http://conventions.coe.int/Treaty/en/Treaties/html/185-SPA.htm) por
parte de todos los países miembros de la Union Europea y algunos
no-miembros como Argentina.

Los países signatarios se comprometieron a emitir legislación en materia
de ciberdelito de acuerdo a las pautas del convenio. La legislación
resultante es mas o menos vaga con respecto a legitimidad y legalidad de
las herramientas de seguridad informática dependiendo del país que la
hizo. En todos los casos, las leyes de ciberdelito resultantes del
Convenio de Budapest deben contemplar lo dispuesto por el artículo 6:

> Artículo 6 – Abuso de equipos e instrumentos técnicos (4)
> 
> 1. Las Partes adoptarán las medidas legislativas o de otro tipo que
> se estimen necesarias para prever como infracción penal, conforme a
> su derecho interno, las siguientes conductas cuando éstas sean
> cometidas dolosamente y sin autorización:
> 
> a.     la producción, venta, obtención para su utilización,
> importación, difusión u otras formas de puesta a disposición:
> 
> i.    de un dispositivo, incluido un programa informático,
> principalmente concebido o adaptado para permitir la comisión de una
> de las infracciones establecidas en los artículos 2 a 5 arriba
> citados;
> 
> ii.    de una palabra de paso (contraseña), de un código de acceso o
> de datos informáticos similares que permitan acceder a todo o parte
> de un sistema informático, con la intención de utilizarlos como medio
> para cometer alguna de las infracciones previstas en los artículos 2
> a 5; y
> 
> b.     la posesión de alguno de los elementos descritos en los
> parágrafos (a) (1) o (2) con la intención de utilizarlos como medio
> para cometer alguna de las infracciones previstas en los artículos
> 2-5. Los Estados podrán exigir en su derecho interno que concurra un
> determinado número de elementos para que nazca responsabilidad penal
> (5).
> 
> 2. Lo dispuesto en el presente artículo no generará responsabilidad
> penal cuando la producción, venta, obtención para la utilización,
> importación, difusión u otras formas de puesta a disposición
> mencionadas en el párrafo 1 no persigan la comisión de una infracción
> prevista en los artículos 2 a 5 del presente Convenio, como en el
> caso de ensayos autorizados o de la protección de un sistema
> informático.
> 
> 3. Las Partes podrán reservar se el derecho de no aplicar el párrafo
> 1, a condición de que dicha reserva no recaiga sobre la venta,
> distribución o cualesquiera otras formas de puesta a disposición de
> los elementos mencionados en el parágrafo 1 (a)(2).
> 

De lo anterior se puede concluir que cualquier ley derivada del convenio
debe contemplar la "concepción o adaptación" de la herramienta
"principalmente" para cometer un delito (1.a.i.) y la "intención" de
cometer un delito (2). Por tanto, y previa consulta con abogados, el
desarrollo, comercialización y uso de herramientas de seguridad como las
mencionadas es legal y legítimo tanto en Alemania como en el Reino
Unido, paises ambos cuya legislación en materia de ciberdelito presenta
vaguedades que facilitan la subjetividad en la interpretación.

Hasta hace unas semanas era el CTO de una empresa (Core Security
Technologies) que desarrolla y comercializa en casi todo el mundo,
incluyendo Alemania y el Reino Unido, software para realizar pruebas de
intrusión (penetration testing) que incluye código de explotación para
miles de vulnerabilidades conocidas y un conjunto de herramientas
adicionales para realizar sobre una red casi todas las mismas acciones
que podría realizar un atacante real.  Las leyes a las que se hace
referencia en la lista tienen un potencial impacto directo en las
actividades comerciales o incluso la viabilidad de mi ex-empleador.

En ese sentido, tengo experiencia concreta en la evaluación del impacto
real de dichas leyes sobre una organización que realiza actividades
comerciales pero también investigación y desarrollo en seguridad
informática . En Core se tomó a la decisión de seguir vendiendo el
software CORE IMPACT en Alemania y el Reino Unido (se había comenzado a
hacerlo en el 2002,  mucho antes de que se promulgarán las leyes en
cuestión) después de una serie de consultas con estudios de abogados
especializados en ambos países. En definitiva, si es factible demostrar
fehacientemente o con el mejor grado de certeza posible que la
"intención" del comprador, vendedor y/o usuario no es la de cometer un
delito entonces no debería haber problemas.

No obstante lo anterior a mi me parece evidente que la capacidad de
conseguir asesoría legal para una empresa mediana y bien establecida en
la industria de seguridad informática como Core Security es distinta que
la de un individuo o una pequeña empresa en un estadio temprano de
desarrollo. Por eso es completamente entendible que muchos
investigadores, practicantes y entusiastas de seguridad informática
planteen sus reparos.

La Argentina finalmente adhirió al Convenio de Budapest hace 2 años [1]
tras un proceso que se inicio en 2009 a iniciativa de dos diputados [2].
Afortunadamente, la Ley de Delitos Informático de Argentina no incluye
clausulas ambiguas que penen la creación, desarrollo, comercialización,
distribución, compra y uso de herramientas de seguridad [3]

-ivan


[1]
http://www.iprofesional.com/notas/96532-La-Argentina-adhiere-a-una-convencion-sobre-ciberdelito.html
[2]
http://www1.hcdn.gov.ar/proyxml/expediente.asp?fundamentos=si&numexp=0890-D-2009
[3]
http://www.infoleg.gob.ar/infolegInternet/anexos/140000-144999/141790/norma.htm


On 2/1/12 10:52 AM, Arturo Servin wrote:
> 
> No solo eso, muchas aplicaciones de escaneo, criptoanalisis, etc.
> que sirven para investidadores/profesionistas de seguridad son
> ilegales porque pueden ser usadas por hackers. A tal grado que
> recuerdo que amigos alemanes mios en la universidad reformateaban su
> disco duro antes de regresar a casa en vacaciones para borrar el
> nmap, nessus, etc.
> 
> Slds, as
> 
> 
> On 1 Feb 2012, at 11:44, Victor Hugo dos Santos wrote:
> 
>> creo recordar que Gont (o otro, no me recuerdo), menciono hace
>> poco que en Alemania, los hackers que desarrollaban herramientas
>> de "auditoría/seguridad" ya estaban en la mira de la ley !! :-(
> 
> 
> 
> _______________________________________________ Seguridad mailing
> list Seguridad en lacnic.net 
> https://mail.lacnic.net/mailman/listinfo/seguridad

Más información sobre la lista de distribución Seguridad