Mayo 29, 2007
Alemania aprueba la ley anti-hacking
Se venía hablando hace tiempo y por fin ha sucedido: El Bundestag aprobó el viernes la ley anti-hacking, que empezará a aplicarse en verano.
Traduzco a lo bestia, que tengo prisa:
El viernes por la noche el alemán Bundestag -la cámara baja del parlamento federal alemán- aprobó sin enmiendas una controvertida ley diseñada para facilitar la persecución criminal de los delitos informáticos. (...)
Será delito crear, vender, distribuir y comprar las llamadas Herramientas Hacker que permitan realizar actos criminales como acceder ilegalmente a datos protegidos. Muchos temen que esto pueda obstaculizar el trabajo de administradores y expertos en seguridad - por ejemplo para testear aplicaciones o redes con el objetivo de mejorar su seguridad, mientras a los hackers malos no les afectará para nada que sus herramientas hayan pasado a ser consideradas ilegales. Precisamente, una cláusula similiar en las enmiendas a la " Computer Misuse Act" de Gran Bretaña ha sido recientemente suspendida por esta razón.
Otro nuevo delito es el acceso no autorizado a datos seguros usando métodos que conlleven la deshabilitación o la circunvalación de protecciones de seguridad. Esto recuerda a la parecida cláusula en la ley norteamericana "Digital Millennium Copyright Act", que sigue creando controversia después de una década y ha sido usada de formas no imaginadas por sus creadores para obstaculizar investigaciones legítimas en seguridad.
(...) La nueva ley empezará a ser efectiva en verano.
...y pronto se estrenará en las mejores salas del estado español.
Mayo 27, 2007
Crimen y castigo en la red
El otro día fuí a dar la charla de la ética hacker, que algun@s de por aquí ya conocéis, a la Universidad Politécnica de Madrid. La charla es un repaso de las diferentes éticas de la red, como la ética hacker básica, la ética de las comunidades o netiqueta, la ética del hacking, del software libre, del hacktivismo...
Empecé explicando el por qué de mi interés por un comportamiento ético en Internet, un sitio inmaterial, sin límites, donde en principio sólo hay dos formas de limitación posibles: la ética y la ley. Si no queremos leyes, debemos cultivar la ética.
Después de mi habló Juan Salom, jefe del Grupo de Delitos Telemáticos de la Guardia Civil. Salom empezó de forma parecida, pero al contrario: en Internet debe haber más seguridad y menos libertad. Aseguró que quienes defienden la libertad en la red son un grupo muy pequeño a quien se da demasiada importancia, lo aderezó llamando "chulos", "macarras" y "cultura del esto es guay" a los hackers, para pedir a continuación más leyes y más duras, por lo penal -que significa cárcel.
Me sorprendió un poco la dureza del discurso de Salom, pero lo entendí. Alguien que se pasa la vida entre crímenes ve crímenes por todas partes y, si es alguien eficiente, busca cómo sea poder hacer bien su trabajo. Mi visión -promocionar la educación y las conductas éticas antes que las leyes- es también fruto de mi entorno, donde no me relaciono con criminales sino con gente normal y algunos cuantos y cuantas geniales.
Es normal entonces que veamos el tema de formas diferentes. Ni hay tantos crímenes en la red como para imponer la ley marcial, ni tampoco hay tanta gente con principios y visión ética.
Propongo un juego: coger un delito intermedio, normal en la red, lejos del sempiterno y minoritario ejemplo de la pedofilia, que siempre se enarbola para pedir más leyes.
Propongo el correo electrónico no solicitado y, como juego en casa, explico mi caso:
En el mercado negro del spam, se venden listas de direcciones electrónicas de periodistas, que compran los gabinetes de prensa propios o subcontratados de múltiples empresas. Lo sé porque conozco a empresas que han comprado estos listados y, más importante para mi, porque recibo frecuentemente notas de prensa no solicitadas de gabinetes de prensa que tienen toda la pinta de no saber quien soy, ni haber buscado mi dirección en la red, sino de estar haciendo un envío indiscriminado.
Para más inri, estas notas de prensa suelen ocupar megas y megas alegremente, adjuntando a tamaño casi real la foto del último afortunado a quien han ascendido a CEO de la santísima trinidad o CIO de su reverenda madre. Se entiende que estas empresas no saben que están dando una imagen malísima de sí mismas con tal práctica, porque no conocen ni la ley ni la norma ética (netiqueta) que proscriben el spam de la red.
¿Qué debo hacer?
a) Responder a la nota de prensa, explicando lo más amablemente que pueda que me acaban de mandar un mensaje no solicitado. De paso les cuento qué es la netiqueta y les sugiero que deberían tener siempre un ejemplar a mano de sus empleados. Y les pido que me borren de su base de datos.
b) Publicar en este blog la dirección electrónica del gabinete de prensa que me ha mandado el mensaje no solicitado y sentarme a esperar que los robots spammers pillen la dirección y les paguen con la misma moneda.
c) Seguir la ley y denunciar religiosamente cada mensaje no solicitado a la Agencia de Protección de Datos. Sentarme después a esperar que caiga el justo castigo sobre la empresa o, lo más probable, que se colapse el buzón de denuncias de la Agencia de Protección de Datos.
¿Qué es lo que suelo hacer?
Continuar leyendo»Enero 27, 2007
La reforma del Código Penal amplía los delitos informáticos
El proyecto de reforma del Código Penal ha levantado ampollas en la comunidad "hacker", por la criminalización sin condiciones del acceso no autorizado a sistemas informáticos. El proyecto, publicado la semana pasada en el Boletín Oficial de las Cortes Generales, usa por primera vez, en su exposición de motivos, la palabra "hacker", pasando por delante del Diccionario de la Real Academia, aunque no la define.
Sigue en: http://ww2.grn.es/merce/2007/penal.html
Septiembre 30, 2006
En Alemania quieren meter a la gente 10 años en la cárcel por entrar en un sistema informático
La araña va tejiendo su tela, lenta pero inexorablemente. Hoy aquí, mañana allí, de forma que nos sea más difícil captar la pintura completa aunque, francamente, ¿realmente nos importa?.
Todo lo empezó Estados Unidos, con su Convención de Cibercrimen, supuestamente para organizar la colaboración entre policías del mundo "civilizado" en su lucha contra la criminalidad informática y, claro, las ofensas al "copyright". Era el año 2001, España firmó también, aunque nunca ratificó la Convención, que sigue vivita y de vez en cuando vamos leyendo noticias aisladas sobre el tema, como esta reciente:
UK Senate ratifies Cybercrime treaty
Jamás sabremos todos sus usos auténticos (algunos la relacionaron con Echelon y la era post-Echelon), sólo que va coleando.
Bien. Cuando ya tuvieron a los gobiernos y sus respectivas fuerzas de seguridad jugando bajo el mismo "protocolo", llegó la hora de buscarles un campo de juego. Y aquí entró la directiva europea de retención de datos. Hubo protestas y recogida de firmas pero, nada, los agentes Smith la aprobaron y ahora sólo queda observar sus movimientos.
Por cierto que esta directiva contenía un punto que establecía, como escribí en el 2002, que "sólo se podrá mandar correo electrónico comercial a quién lo haya pedido expresamente y la obligatoriedad para los sitios que operen con "cookies" (archivos de seguimiento) de avisar a los usuarios. Antes de finales de julio del 2003 los estados miembros deberán haber adaptado a su legislación las nuevas directrices".
Estamos a 2006 y me da la sensación que, aunque el tema retención de datos ha avanzado, el tema "spam" y "cookies" está como parado... Pero tampoco vamos a hacernos las víctimas (es un juego envenenado) ni realmente esperamos jamás que esta gente nos solucionase nada (creo que puedo ponerlo en plural).
Bueno, y entonces, cuando ya teníamos a los policías configurados y les habíamos dado un sitio para jugar, faltaba el "equipo contrario", los "cabezas de turco" o como te apetezca llamarlos. Allí estaban los terroristas pero, aunque siempre se llenan la boca de ellos, francamente creo que son objetivos tan difíciles como acabar con el "spam". Por tanto, buscaron a otros más fáciles (eso creen).
En marzo de 2005, se daba a conocer que la intromisión en sistemas y datos informáticos se penará con entre uno y tres años de cárcel en la Unión Europea, a partir de 2007, según acaba de publicarse en su Diario Oficial.
Sólo era cuestión de esperar el goteo de estados europeos que seguirían el mandato de los agentes Smith. España fue de los primeros y en julio nos enterábamos de que iban a cambiar el Código Penal para que sea delito simplemente entrar en un sistema, hagas o no daño (hacer daño o atacar la intimidad ya era delito antes). Sólo entrar.
Ahora, Alemania pone una cifra: no 3 años, como decía Europa, no. Alemania propone meter a la gente un máximo de 10 años en prisión por entrar en sistemas, aunque no se lleve ni rompa nada, aunque lo haga con los ojos vendados (estoy segura de que existe alguien en el mundo capaz de eso).
Septiembre 25, 2006
EEUU debate si hay que dar prioridad a los servicios de Internet que paguen más
Se está librando una batalla política y diálectica en Estados Unidos por el control de los servicios de Internet. A un lado están las grandes operadoras de cable y telefonía. Al otro, las empresas y líderes de la red, periódicos, artistas y grupos civiles. En medio, una reforma radical del campo de juego de las telecomunicaciones.
El telón de fondo de este conflicto es el negocio en Internet, concretamente la oferta de contenido audiovisual y telefonía IP, que enfrenta a las viejas y nuevas compañías tecnológicas. El concepto clave es la llamada "neutralidad de Internet", entendida como el hecho que cualquier empresa pueda ofrecer los servicios que quiera, sin que las operadoras den prioridad a unos por delante de otros.
http://ww2.grn.es/merce/2006/neutrality.html
(Nota: Por lo que he entendido de este tema, no tiene
directamente nada que ver con que Telefonica u otro operador cobre
mas o menos a sus usuarios, en concepto de ancho de banda o de lo
que quiera. Este no es el debate de la net neutrality. No se refiere
a los usuarios, sino a las empresas que dan servicio y contenidos. A
ellas es a quienes las operadoras piden que paguen mas.
Indirectamente, puede afectar a los usuarios porque, si las empresas
no pagan, alguien tendra que pagar. Y parece claro y consensuado que
nos tocara una parte. Pero el debate de la net neutrality no se
refiere a este tema, no tiene nada que ver con los usuarios, a mi
entender. Como muestra, lo que dice Tim Berners-Lee (las mayusculas
son mias):
It is of the utmost importance that, if I connect to the Internet,
and you connect to the Internet, that we can then run any Internet
application we want, without discrimination as to who we are or what
we are doing. We pay for connection to the Net as though it were a
cloud which magically delivers our packets. WE MAY PAY FOR A HIGHER
OR A LOWER QUALITY OF SERVICE. We may pay for a service which has
the characteristics of being good for video, or quality audio. But
we each pay to connect to the Net, BUT NO ONE CAN PAY FOR EXCLUSIVE
ACCESS TO ME.
de http://dig.csail.mit.edu/breadcrumbs/blog/4 )
