banner

Manos arriba, ejem, digo, Arriba esos Payloads

Como si de forajidos se tratasen la Unión Europea se propone frenar los ciberdelitos a base de "regulación" normativa, que puede convertir a todos o casi todos los profesionales de la Seguridad en "delinquentes".

¿Cómo? Entonces, si trabaja en Seguridad de la Información y utilizas herramientas de Seguridad ¿Somos delincuentes? ¿Es ilegal?.. Vamos por partes como dice "Estopa" en su canción.... xD

Antecedentes

En el Blog Security At Work, hacen un buen resumen, que paso a copiar:

***

... el último borrador de la directiva sobre ataques contra sistemas de la información, de septiembre de 2010, y referenciado en la nota de prensa original, se comprueba que las herramientas pueden ser (Anexo, artículo 7 del borrador):

  • Un programa informático, diseñado o modificado con el propósito fundamental de cometer cualquiera de las ofensas referidas en la directiva.
  • Un contraseña, código de acceso, o dato similar por lo que un sistema o parte de él puede ser accedido.

... (Anexo, artículo 2 del borrador) de los ataques son delito cuando no se cuenta con la autorización del propietario del sistema o un representante legal del mismo, o la legislación del país lo tipifica específicamente como delito.
****  El texto original en Ingles (enlace).

Conclusión

Entonces, "Seré un delincuente si descubro una nueva vulnerabilidad o realizo un Test de Penetración sin haber firmado una autorización expresa, o trabajando en nuestro entorno "virtual" de pruebas" ...

El manual y las buenas practicas para la realización de una Auditoría o Test de Penetración, siempre se menciona la obtención de un "Disclaimer" y documento de autorización como paso previo al inicio de las actividades, pero en la realidad, son pocas las veces que efectivamente, esa autorización verbal, se plasma en un documento acreditativo.

Es una directiva  que en lugar de proporcionar una marco de amparo legal para los profesionales de la Seguridad de la Información, los pone contra las cuerdas. La directiva debería de ir orientada al resultado de un uso fraudulento, y no la mera tenencia de estas herramientas. Es como pre-suponer que todo aquel que tenga un cuchillo y corte el pan sin la autorización del "panadero" habrá cometido un delito.

No os parece, que si se desea luchar contra el cibercrimen, se debe de apostar por otras medidas y acciones, tales como:

a) Mayor concienciación ciudadana.
b) Mayor número de medidas y acciones de protección de los Sistemas.
c) Mayor número de actividades destinadas a mejorar la capacitación de los profesionales.
d) Incluso aplicar medidas destinadas a incentivar a los profesionales de la Seguridad de la Información.
e) etc.

En lugar de ilegalizar las herramientas destinadas a la Seguridad de la Información, se debería de perseguir el "uso" fraudulentos de las mismas, la herramientas por si solas nunca podrán hacer nada "ilegal".

¿Qué ocurre en el uso de las herramientas para uso educativo? En este caso se pre-supone que se dispone de una autorización implícita, o ¿será necesario disponer de una autorización por escrito?.

Esta claro, que deberán de revisar ese borrador, y plantearse ¿Qué ocurre entonces con todos los profesionales que se dedican a la investigación y protección de los Sistemas?

Por tanto, !Arriba esos Payloads¡ 

Un Saludo.

No hay comentarios :

Publicar un comentario en la entrada