BAQUIA

HP no demandará a los que publicaron un agujero de su software

Hewlett-Packard no actuará contra la empresa de seguridad que publicó fallos en el software fabricado por la compañía. El pasado jueves, HP envió un comunicado en el que daba marcha atrás en su intención de utilizar la Digital Millennium Copyright Act (DMCA) para demandar a un grupo de investigadores reunidos en SnoSoft, quienes descubrieron un importante agujero en el sistema operativo Tru64 Unix, que permanece sin reparar.

HP amenazó a SnoSoft con la DCMA —la controvertida ley creada para defender la propiedad intelectual en la Era Digital y que, entre otras cosas, persigue a los que contribuyan a romper los sistemas de protección— después de que uno de sus miembros publicase (sin permiso del resto del grupo) la manera de sacar provecho del fallo de seguridad del software de HP. Como respuesta, HP envió una carta al grupo de investigadores advirtiéndoles de podrían afrontar una multa de 500.000 dólares y penas de 6 años de prisión por sus acción.

Como ya ocurriera en el caso de Dimitry Sklyarov y la empresa de seguridad rusa ElcomSoft, los expertos en seguridad temían que la DCMA se utilizase para silenciar las investigaciones legítimas. Pero como hiciera Adobe con Sklyarov —el programador ruso ideo un sistema para reventar la protección del los pdf del Adobe eBook — , HP también ha reculado en sus aviesas intenciones.

Temiendo su enfrentamiento con desarrollares y los numerosos activistas anti-DMCA, HP asegura que la carta enviada a SnoSoft no constituye ninguna indicación sobre su política: \”Podemos asegurar que no utilizaremos la DMCA para censurar la investigación o impedir la circulación de información que pueda beneficiar a nuestros clientes y mejorar la seguridad de sus sistemas\”. HP afirma que ha verificado la vulnerabilidad que le fue notificada el pasado 18 de julio y prometió publicar un parche en 48 horas, aunque no ha revelado el resultado de sus conversaciones con SnoSoft que le han llevado a \’perdonarla\’.

HP tenía mucho que perder si se empecinaba en su demanda. Como muchos otros fabricantes de software, HP utiliza las investigaciones independientes para mejorar la seguridad de sus programas. De hecho, una página de su sitio web está dedicada a recoger información sobre las vulnaberalidades de sus sistemas.

El asunto ya le estaba empezando a crear algún que otro problema, informa Wired. Un analista de la empresa de seguridad Neohapsis, Patrick Mueller, recibió una llamada de un ingeniero de HP que solicitaba un programa para comprobar la seguridad de su servidor web. \”Mi primera impresión era que nos querían entrampar\”, asegura Mueller, que ya conocía el asunto SnoSoft .

El director de tecnología de Neohapsis, al que se transfirió el aviso, aseguró que por supuesto que tenían el exploit (código utilizado para sacar provecho de un fallo de seguridad) del agujero del OpenSSL que solicitaba HP, pero no tenían intención de publicarlo y, de ninguna manera, ofrecérselo a nadie de HP.

Para el cofundador de SnoSoft Adriel T. Desautels, la petición de HP a Neohapsis es un insulto: \”Nos ofrecimos para trabajar con HP y ayudarles mejorar sus sistema. HP rechazó nuestra ayuda… ¿Y ahora andan buscando código para testar sus programas?\”, afirma en Wired.

La demanda de HP contra SnoSoft, como muchos otros casos recientes, se enmarca en el debate en el que están inmersos los profesionales de seguridad sobre en qué grado se debe revelar información sensible sobre los sistemas.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios