Saltar al contenido

Hacker Lexicon: ¿Qué es la Ley de derechos de autor del milenio digital?

julio 1, 2021


Las empresas también han utilizado la DMCA para mantener a los propietarios de vehículos en deuda con los distribuidores autorizados para el servicio y las reparaciones. La compañía John Deere, por ejemplo, se ha negado a desbloquear su software de tractor patentado para permitir que los propietarios de granjas reparen sus propios vehículos, lo que deja a los propietarios de tractores con el temor de las demandas de la DMCA si intentan descifrar las protecciones del software ellos mismos.

Sin embargo, las restricciones de la DMCA como esta no solo hacen que los clientes estén en deuda con las empresas, sino que también pueden ayudar a ocultar las irregularidades. El año pasado, los investigadores de la universidad descubrieron algo sospechoso con las emisiones de Volkswagen, pero no pudieron determinar qué lo estaba causando exactamente. Finalmente, los reguladores se enteraron de que Volkswagen había incorporado un código secreto en su software para ayudar a sus vehículos a hacer trampa en las pruebas de emisiones. Los críticos señalaron que si estos investigadores u otros hubieran tenido la libertad de explorar el software de Volkswagen sin la amenaza de una violación de la DMCA, el código de chat podría haberse descubierto antes.

Cómo duele la investigación legítima

El problema con Volkswagen apunta a un problema central con la DMCA y su asfixia de la investigación legítima. La comunidad de seguridad y la industria del software han estado en desacuerdo durante mucho tiempo con las empresas que amenazan con emprender acciones legales en virtud de la DMCA para evitar que los investigadores divulguen públicamente las vulnerabilidades de software que se encuentran en sus programas, particularmente cuando esas fallas se encuentran en los mecanismos de protección de copia que las empresas crean.

Uno de los primeros usos controvertidos de la DMCA ocurrió en 2001 cuando el FBI el programador ruso detenido Dmitry Sklyarov en la conferencia de hackers Def Con en Las Vegas después de dar una presentación sobre cómo evitar el código de encriptación que Adobe usa para los libros electrónicos producidos con Adobe Acrobat. El cifrado impidió que los clientes hicieran copias de sus libros para leer en múltiples sistemas, por lo que Sklyarov produjo una herramienta que eludió esta restricción y entregó una versión de prueba en la conferencia con información sobre cómo comprar la herramienta completa. Adobe instó al FBI a actuar, pero tuvo que retirar su denuncia después de que la comunidad de seguridad se levantó en protesta.

Ese mismo año, Secure Digital Music Initiative (SDMI), un consorcio de compañías discográficas, empresas de electrónica de consumo y otras, persiguió a un grupo de investigadores que descubrió fallas en una tecnología de marca de agua digital que el consorcio desarrolló para frustrar la piratería. En realidad, la SDMI había invitado a piratas informáticos e investigadores a intentar derrotar su tecnología, y un grupo de investigadores dirigido por el profesor de informática de la Universidad de Princeton, Ed Felten, logró descubrir fallas. Pero cuando intentaron presentar sus hallazgos en una conferencia, el SDMIT los amenazó con emprender acciones legales en virtud de la DMCA. Los investigadores finalmente pudieron presentar algunos de sus hallazgos públicamente, pero no hasta que presentaron una demanda que afirmaba sus derechos de la Primera Enmienda.

Algo similar al caso de Sklyarov ocurrió en 2010 cuando George Hotz, también conocido como Geohot, ideó y reveló un truco que le permitió jugar juegos caseros en su Sony PlayStation 3. El truco, desafortunadamente, también permitió a cualquiera jugar juegos pirateados en el sistema, por lo que Sony emitió una actualización de firmware forzosa para eliminar la falla que explotó Hotz. Hotz respondió lanzando su propio firmware para el sistema y revelando las claves raíz del sistema, lo que permitió a otros subvertir los sistemas PlayStation 3 de la forma en que él había pirateado los suyos. Sony lo demandó en virtud de la DMCA y la Ley de abuso y fraude informático, aunque finalmente se echó atrás después de que Hotz accediera a no piratear ningún producto de Sony en el futuro ni a discutir públicamente formas de hacerlo.

También se han realizado amenazas de DMCA contra investigadores que descubrieron fallas de seguridad más graves en el software.

En 2002, Hewlett-Packard persiguió a los investigadores con SnoSoft que encontró 22 vulnerabilidades en Tru64, su sistema operativo Unix. HP inicialmente acusó a los investigadores de violar la DMCA cuando el código de explotación de una de las vulnerabilidades que descubrieron apareció en línea. Pero la empresa se echó atrás después de que los empleados de HP y otros advirtieran a la entonces directora ejecutiva, Carly Fiorina, que la postura agresiva de la empresa frenaría la investigación de vulnerabilidades en el futuro que podría ayudar a HP a crear software más seguro.

Exenciones a la ley

Es debido a casos como este, muchos otros dirigidos a investigadores, que la comunidad de seguridad ha buscado durante mucho tiempo exenciones a la DMCA que les permitirían aplicar ingeniería inversa al software y revelar las vulnerabilidades encontradas en los sistemas, sin enfrentar amenazas legales. Este es un tema particularmente crítico con respecto a los dispositivos y sistemas con implicaciones de seguridad pública y potencialmente mortales, como el software utilizado en vehículos y dispositivos médicos. Los propietarios de automóviles y los pacientes han estado luchando por el derecho a acceder al software propietario integrado en sus vehículos y dispositivos, así como a los datos que estos dispositivos recopilan sobre ellos, con el fin de evaluar la seguridad de los sistemas, sin tener que temer a un Amenaza DMCA en el proceso.

El Bibliotecario del Congreso, junto con la Oficina de Derechos de Autor, es responsable de aprobar las exenciones y, a lo largo de los años, lo han hecho exactamente para varios propósitos. Pero el proceso de presentación de exenciones es largo y arduo y requiere que quienes presenten las solicitudes proporcionen pruebas exhaustivas de una necesidad. E incluso cuando se otorgan exenciones, generalmente tienen un alcance muy limitado y solo duran tres años, después de los cuales deben renovarse o caducan. En 2006, por ejemplo, el Bibliotecario aprobó una exención largamente buscada para permitir a los propietarios de teléfonos inteligentes hacer jailbreak a sus dispositivos para cambiar de operador. Esa exención se amplió en 2009 para incluir el jailbreak para cualquier propósito. Pero en 2013, la exención de jailbreak para teléfonos inteligentes expiró y no se renovó.

El año pasado, a raíz de varias divulgaciones sobre problemas de seguridad en el software de vehículos, la Biblioteca del Congreso aprobó una exención para piratear software de automóviles con el propósito de realizar investigaciones de seguridad de buena fe, y otra exención para que los propietarios autorizados de vehículos eludan las protecciones. en el software del vehículo con fines de diagnóstico, reparación o modificación legal. Del mismo modo, una nueva exención para dispositivos médicos aprobada el año pasado también permite a los pacientes acceder a los datos generados por un dispositivo implantado que poseen. Pero sin la reforma de la DMCA, estas y otras exenciones seguirán estando muy centradas y tendrán que pasar por el proceso de renovación en tres años.

Afortunadamente, los investigadores ahora tienen tres años para descubrir problemas serios con estos sistemas a fin de recopilar evidencia de que tales exenciones son necesarias y deben renovarse.



Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *