Bug hunters, Guillermito condannato

Clamorosa sentenza in Francia su uno dei casi più caldi di questi anni: lo smanettone che rese pubblica l'esistenza di una falla in un software antivirus è stato condannato

Roma - Condannato anche in appello. Si è concluso in queste ore il più lungo e contrastato procedimento legale che mai abbia avuto luogo in Europa avendo nel mirino un bug hunter, un hacker la cui colpa è stata quella di rendere noto che un software antivirus era fallato e che la pubblicità con cui il produttore lo promuoveva era, di conseguenza, errata.

La Corte d'Appello francese che ha giudicato in secondo grado il caso di Guillaume Tena, hacker meglio noto come Guillermito, ha in buona sostanza confermato quanto emerso in primo grado, e cioè che Tena è colpevole di aver reso pubbliche le vulnerabilità di ViGuard, software di punta per la francese Tegam. Una sentenza che sta facendo discutere l'ambiente della sicurezza in un caso che si trascina ormai da cinque anni.

La condanna, che non è ancora stata resa nota nei dettagli, Guillermito l'ha comprensibilmente presa molto male, come si può leggere sul suo sito:
"Ho perso. L'appello e la testimonianza di un esperto non sono serviti a nulla. A me la condanna, a me la multa, a me i danni con gli interessi. Grazie a tutti quelli che mi hanno aiutato, a chi ha espresso la sua solidarietà in questi anni (...) Non c'è il diritto in Francia di dimostrare tecnicamente che un software contiene una falla di sicurezza, o che la pubblicità di quel software dice il falso. Dormite tranquilli, concittadini, tutti i vostri software sono perfetti".

Sull'hacker francese ora pendono richieste, tra multa e danni, pari a 15mila euro, denaro che Guillermito spiega di non avere. "Credo - scrive sconsolato - di non avere altro da fare che vendere il mio corpo o quello che ne rimane".
TAG: francia
55 Commenti alla Notizia Bug hunters, Guillermito condannato
Ordina
  • Sono un sistemista, ho iniziato come programmatore. Vendo windows, software per windows, soluzioni per windows.

    Questa è la premessa: ora, dopo aver letto la notizia e i commenti sul forum, mi viene proprio da dire questo:

    se il francese l'avesse fatto per un software che si occupa di sicurezza su linux, sarebbe stato probabilmente ringraziato e immediatamente patchata la falla dalla community.
    L'ha fatto invece su un software closed source, su windows, dove paghi la licenza d'uso, gli aggiornamenti, e quant'altro: gli hanno fatto il culo "a pois" (giusto per stare in tema di francesismi..).

    Questo, mi dispiace per tutti noi "windows-dipendenti", è la dimostrazione di come closed source e open source siano come la cacca col cioccolato.

    E per favore: accetto la discussione, mi sono loggato e firmato, ma non trollate o flammate con me. Voglio ragionare con voi, non trollare.

    Viva la conoscenza, viva la verità, sempre, anche quando scomoda.
    (anche se c'e' modo e modo di dirla!)

    Ciao a tutti!

    Corrado
  • Hi.
    I read the news about the sentence inflicted to Guillaume Tena.
    I think honesty, clearty and transparency for your users should be the
    first goal you should work for. That's why you can be sure I'll never
    buy one of your products.
    Greetings.

    Olmo
    non+autenticato
  • Quello che capisco dall'articolo è che abbia reso pubbliche le vulnerabilità. Con tutta la buona volontà non riesco ad assolverlo.
    Hai scoperto la vulnerabilità? Bene, scrivi all'azienda e comunica il problema. Se ti rispondono bene, a quel punto mi sentirei autorizzato a dire al pubblico che le falle ci sono, ma senza dire quali sono. Se non ti rispondono fatti loro, ma non renderei comunque pubbliche le vulnerabilità.
    Tena può averlo in perfetta buona fede, ma chi si avvale del suo lavoro di bug-hunting avrà cattive intenzioni.

  • - Scritto da: francescor82
    > Quello che capisco dall'articolo è che abbia reso
    > pubbliche le vulnerabilità. Con tutta la buona
    > volontà non riesco ad assolverlo.
    > Hai scoperto la vulnerabilità? Bene, scrivi
    > all'azienda e comunica il problema. Se ti
    > rispondono bene, a quel punto mi sentirei
    > autorizzato a dire al pubblico che le falle ci
    > sono, ma senza dire quali sono. Se non ti
    > rispondono fatti loro, ma non renderei comunque
    > pubbliche le vulnerabilità.
    > Tena può averlo in perfetta buona fede, ma chi si
    > avvale del suo lavoro di bug-hunting avrà cattive
    > intenzioni.

    ed ecco che mi cade un mito....
    non+autenticato
  • - Scritto da: Anonimo
    > ed ecco che mi cade un mito....

    Mi dispiace, ma se le vulnerabilità sono gravi, non le distribuisco in giro.
    E poi, il tuo mito sarebbe già dovuto cadere un paio di mesi fa quando non ho rivelato la vulnerabilità di questi forum.Con la lingua fuori

  • - Scritto da: francescor82

    > Hai scoperto la vulnerabilità? Bene, scrivi
    > all'azienda e comunica il problema. Se ti
    > rispondono bene, a quel punto mi sentirei
    > autorizzato a dire al pubblico che le falle ci
    > sono, ma senza dire quali sono.
    ok e' un atteggiamento responsabile. Ma imho solo apparentemente.
    SE tu avvertiche c'e' un problema sul software 'x' e' probabile che altri riescano a replicarlo... A questo punto e' possibile che tra i replicatori ci sia qualche cattivo....

    > Se non ti
    > rispondono fatti loro, ma non renderei comunque
    > pubbliche le vulnerabilità.

    Bene, ma ti direi anche:
    se pubblichi l'exploit (vulnerabilita') a questo punto il vendor e' COSTRETTO a operare una correzione.
    O no?

    > Tena può averlo in perfetta buona fede, ma chi si
    > avvale del suo lavoro di bug-hunting avrà cattive
    > intenzioni.

    Mah io dico solo che mi pare eccessivo essere cosi' 'tranchant' su questioni complesse che si dibattono da anni.
    Credo anche che come utente io abbia il diritto di sapere se cio' che uso per il mio lavoro/diletto sia afflitto da difetti o meno... Senno' pensa:
    magari la fabbrica automobili di shangri-la la prossima volta che ha un problema sugli abs ... Se lo tiene per se' e nessuno lo sa....

    Ciao
    non+autenticato
  • - Scritto da: Anonimo
    >
    > - Scritto da: francescor82
    >
    > > Hai scoperto la vulnerabilità? Bene, scrivi
    > > all'azienda e comunica il problema. Se ti
    > > rispondono bene, a quel punto mi sentirei
    > > autorizzato a dire al pubblico che le falle ci
    > > sono, ma senza dire quali sono.
    > ok e' un atteggiamento responsabile. Ma imho solo
    > apparentemente.
    > SE tu avvertiche c'e' un problema sul software
    > 'x' e' probabile che altri riescano a
    > replicarlo... A questo punto e' possibile che tra
    > i replicatori ci sia qualche cattivo....

    Ma se la casa produttrice mi risponde e dice che provvederà a chiudere le falle, a quel punto perché non rendere pubblico il problema, proprio per invitare gli utenti ad aggiornare?

    > > Se non ti
    > > rispondono fatti loro, ma non renderei comunque
    > > pubbliche le vulnerabilità.
    >
    > Bene, ma ti direi anche:
    > se pubblichi l'exploit (vulnerabilita') a questo
    > punto il vendor e' COSTRETTO a operare una
    > correzione.
    > O no?

    No, o comunque non pubblicherei l'exploit ma solo che la vulnerabilità esiste. Almeno non darei direttamente il mio lavoro di bug-hunting in mano a chi lo vuole sfruttare.

    > > Tena può averlo in perfetta buona fede, ma chi
    > si
    > > avvale del suo lavoro di bug-hunting avrà
    > cattive
    > > intenzioni.
    >
    > Mah io dico solo che mi pare eccessivo essere
    > cosi' 'tranchant' su questioni complesse che si
    > dibattono da anni.
    > Credo anche che come utente io abbia il diritto
    > di sapere se cio' che uso per il mio
    > lavoro/diletto sia afflitto da difetti o meno...
    > Senno' pensa:
    > magari la fabbrica automobili di shangri-la la
    > prossima volta che ha un problema sugli abs ...
    > Se lo tiene per se' e nessuno lo sa....
    >
    > Ciao

    D'accordo con te, ma di nuovo, a te utente è sufficiente sapere che il software è buggato, non qual è il bug.

  • - Scritto da: francescor82
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: francescor82
    > >
    > > > Hai scoperto la vulnerabilità? Bene, scrivi
    > > > all'azienda e comunica il problema. Se ti
    > > > rispondono bene, a quel punto mi sentirei
    > > > autorizzato a dire al pubblico che le falle ci
    > > > sono, ma senza dire quali sono.
    > > ok e' un atteggiamento responsabile. Ma imho
    > solo
    > > apparentemente.
    > > SE tu avvertiche c'e' un problema sul software
    > > 'x' e' probabile che altri riescano a
    > > replicarlo... A questo punto e' possibile che
    > tra
    > > i replicatori ci sia qualche cattivo....
    >
    > Ma se la casa produttrice mi risponde e dice che
    > provvederà a chiudere le falle, a quel punto
    > perché non rendere pubblico il problema, proprio
    > per invitare gli utenti ad aggiornare?

    E chi dice a tutti gli altri utenti che c'era una falla e magari e' gia stata usata o viene usata in quel momento ?

    Farlo sapere alla societa produttrice , ed entro 24/48 ore e' giusto e responsabile farlo sapere al mondo intero , in caso di completa assenza di risposta .... se la societa' poi magari chiede di aspettare qualche giorno in piu' in modo che sia disponibile una patch e' un'altro discorso ...




    non+autenticato
  • Ma far sapere anche quali sono gli exploit? Non è sufficiente far sapere che il problema c'è, per costringere la società a chiuderlo visto che non ha risposto subito?
    Io sono ignorante ma mi dicono che creare delle patch non è cosa da poco, e che ci vuole lavoro. Benissimo, allora non vedo perché pubblicare gli exploit così che chiunque possa colpire gli utenti, fin da subito e fino al momento del rilascio della patch! Con una mossa del genere starei rovinando gli utenti, non la società.


  • - Scritto da: francescor82
    > Ma far sapere anche quali sono gli exploit? Non è
    > sufficiente far sapere che il problema c'è, per
    > costringere la società a chiuderlo visto che non
    > ha risposto subito?
    > Io sono ignorante ma mi dicono che creare delle
    > patch non è cosa da poco, e che ci vuole lavoro.

    Ho letto gli articoli di PI, e nessuno parla di exploit ma solo di ricerche e pubblicazioni.

    Per trovare un bug in un codice chiuso devi per forza fare il reverse engineering del prodotto, il che è sempre stato demonizzato come un attacco alla proprietà intellettuale del produttore.
    Si sono attaccati a questo per condannare un ragazzo che di mestiere fa il ricercatore ad Harward.

    Tanto per fare i paragoni, è un po' come se ti vendessero un macchina col cofano sigillato perchè hanno paura che gli copi le tecnologie del motore.
    Se te un giorno senti puzza di benzina e forzi il cofano per controllare ti denunciano perchè hai tentato di copiargli il motore...
    2678
  • > Ho letto gli articoli di PI, e nessuno parla di
    > exploit ma solo di ricerche e pubblicazioni.

    http://web.archive.org/web/20030326135811/www.pipo...

    Questa è la pubblicazione originale di Guillermito.

    Non conosco il francese, chi mi aiuta a tradurre o almeno a comprendere il significato, soprattutto i capitoli 2 e 3?
  • http://web.archive.org/web/20030326135811/www.pipo...

    Nel capitolo 2 della sua presentazione, Guillermito espone come fare per disattivare l'antivirus o per aggirarlo, e fornisce anche i programmi appositi per fare le prove.

    Lasciando da parte il reverse engineering, Guillermito ha chiaramente ha messo in luce le vulnerabilità dell'antivirus e ha pubblicato i file per ingannarlo.

    Continuo a credere nella sua buona fede, ma ha peccato di orgoglio e ha pubblicato qualcosa che non avrebbe dovuto: i file. Si fosse limitato alla descrizione del problema, probabilmente avrebbe avuto ragione lui.

    Edit: dimenticato di dire che il comportamento della software house in questione è deplorevole, in quanto ignora i primi avvertimenti sulle vulnerabilità. Mi ricorda tanto il CEO di Sony DMG che aveva dichiarato "La gente neanche sa cos'è un rootkit, non ha bisogno di preoccuparsi".

    ==================================
    Modificato dall'autore il 22/02/2006 12.58.03

  • > Non conosco il francese, chi mi aiuta a tradurre
    > o almeno a comprendere il significato,
    > soprattutto i capitoli 2 e 3?

    Praticamente spiega quali sono le vulnerabilità del software e dà alcuni esempi di come sia possibile testare queste vulnerabilità.

    E' interessante notare come gli errori compiuti dalla sw house siano estremamente grossolani!
    Guillermito mette a disposizione un falso positivo.
    Se lo esegue come exe, l'antivirus lo riconosce, ma solo dopo l'infezione (cioè quando è ormai troppo tardi).
    Se invece lo esegue rinominandolo .bat, l'antivirus non se ne accorge neanche.

    Sempre nel testo, l'autore mette in luce altre vulnerabilità, tra cui quella delle definizioni virus, che sono stipate in un file non protetto e, tralaltro, sono semplici hash MD5.

    Inoltre spiega alcuni casi di falsi positivi, che lasciano riflettere sulla bontà di questo software:
    Kazaa, Morpheus... addirittura la calcolatrice di windows!!! (se rinominata .pif)

    Credo qundi che l'autore abbia avuto tutte le ragioni di questo mondo a segnalare pubblicamente le boiate di questi cialtroni!

    Nicola Ottomano
    non+autenticato
  • I francesi riescono sempre a stupire... il p2p è legale ma dire la verità no!
    In lacrime
    non+autenticato
  • Il proprietario di un negozio e venisse un loro rappresentante a propormi i loro prodotti, li manderei a cagare, non è possibile che qualcuno compri qualcosa da gente così!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)