domingo, junio 13, 2010

Google se "explica" en el caso de la captura de datos WiFi del Google Street View Car

Google está consiguiendo meterse en un buen problema con el caso del coche usado para recoger datos para el servicio de Google Street View. El famoso proyecto permite visitar ciudades con fotos tomadas a pie de calle. Ya, simplemente por eso, generó mucha polémica entre los vecinos que no deseaban que se vieran sus zonas, alegando que un criminal podría detectar fallos en la seguridad de las zonas, descubrir puertas inseguras, zonas no vigiladas o, simplemente, por la altura a la que se tomaban las fotos, ya que se colaba por encima de muchos muros en casas, permitiendo ver con facilidad el interior. Esto llevó, incluso, a gobiernos como el de Suiza a demandarle por invadir la privacidad de los ciudadanos y a ciudadanos a bloquear el acceso del coche. Además, la tecnología de pixelación de caras y matrículas, en muchas ocasiones falló y dejó, por error, expuesta la intimidad de personas a las que llegó a pillar hasta meando en la calle.

La cosa se complicó este año cuando desde Google se confirmó que se habían capturado datos de las redes WiFi de las regiones a medida que pasaba el coche. La primera respuesta que se dio a este incidente fue que, simplemente, había sido por equivocación.

Ante el anuncio de esta situación, los países europeos en los que las leyes de protección de datos son más avanzadas, como es el caso de España, Alemania [donde te pueden multar incluso por tener la WiFi insegura] y Francia, solicitaron, por medio de la Agenda de Protección de Datos en el caso de España, todos los datos capturados por el coche en las ciudades Españolas.

Al mismo tiempo, en Orlando, un bufete de abogados demandaba a Google, alegando que no había sido para nada un error, sino una planificación premeditada de capturar datos para un servicio que pretendía ofrecer de marketing directo geoposicionando clientes y dispositivos, tal y como había descrito en la solicitud de patente 766 que Google había hecho en el año 2008.

El gobierno Australiano, por su parte, ya ha denunciado a Google por este hecho y se ha abierto una investigación, mientras que en Europa se está pensado que hacer.
Google, anticipando lo que se le venía, ha encargado un análisis del código del programa utilizado en la captura de datos. Dicho programa se llama Gslite y en el informe encargado por Google, que puedes leer en la siguiente URL [Source Code Analysis of Gstumbler], se dice que sí, que se guardaban los datos de las redes inseguras en un disco duro, pero que no se analizaban a posteriori.

Es curioso que se guardase el tráfico inseguro y no el que iba cifrado y, la explicación se puede recoger en los siguientes puntos.
El apartado 5 se confirma este hecho:

“5. While gslite parses the header information from all wireless networks, it does not attempt to parse the body of any wireless data packets. The body of wireless data packets is where user-created content, such as e-mails or file transfers, or evidence of user activity, such as Internet browsing, may be found. While running in memory, gslite permanently drops the bodies of all data traffic transmitted over encrypted wireless networks. The gslite program does write to a hard drive the bodies of wireless data packets from unencrypted networks. However, it does not attempt to analyze or parse that data.

Lo curioso es que dice que sólo se parsean las tramas de control, pero no las de datos. Sin embargo, en el caso de redes abiertas, los cuerpos de los paquetes de datos son almacenados.

En el punto 42 se puede leer la explicación del código, paso a paso:

"42. During the TruncateParserImpl::Parse() parsing function, gslite reads the encryption flag on each frame. That bit is located within the second byte of the Frame Control on an 802.11 frame. If the encryption flag is set to “true,” then the frame’s body, or payload, is cleared from memory and permanently discarded. If it is “false” the frame’s body is retained for writing to disk."

Es decir, si no está activo el bit de cifrado, entonces se almacena. En el punto 43 se confirma que esos datos son geoposicionados y el 44 viene la explicación de por qué.

"44. The parsed 802.11 frame object is written to disk using WriteProtocolMessage() method of the RecordWriter object. In the case of Management frames, the body is written to disk as parsed Information Elements, while in the case of unencrypted Data frames, the body is written to disk in unparsed format. It is our understanding based upon representations from Google that the RecordIO module, used to write the Dot11Frame objects to disk, is a common shared library within Google, and it is utilized unchanged in gslite."

La parte subrayada del punto 44 viene a decir:

"A nuestro entender, basándonos en representaciones de Google, que el módulo RecordIO, usado para escribir los objetos Dot11Frame a disco, es una biblioteca compartida comúnmente en Google y que se usa sin realizar cambios en gslite."

Bueno, esa es la explicación de Google, que fue un “error informático” por no cambiar el comportamiento de la biblioteca. Ahora, parece ser, que tendrán que decidir los jueces y la opinión pública sobre si estas explicaciones son suficientes.

Saludos Malignos!

4 comentarios:

Anónimo dijo...

No había leído el post de la patente y la demanda y me he quedado de piedra.

La verdad es que tampoco me extraña nada, porque eso de una cagada era difícil de digerir, en empresas tan grandes y bien organizadas, de vez en cuando pillan a alguno en sus mentiras.

Me hace mucha gracia cuando esto individuos salen en los medios disculpándose diciendo que no sabían, que fue sin mala intención etc. y luego se demuestran que era estrategia empresarial y que les importa un huevo los consumidores y ciudadanos, sólo la pasta.

Le ha pasado al amigo Bill Gates con Microsoft, le ha pasado a Google.

Cada vez que escucho a alguno diciendo que fue sin querer me dan ganas de meterlo en la cárcel sin juício previo.

Por cierto, lo de la patente: si la gente cambia de AP se jode el invento, a no ser que piensen pasar con el cochecito cada X tiempo para mantener la base de datos actualizado, ¿no?

B4RRe1R0 dijo...

Creo que al aparecer lo de la patente 766 Google tiene difícil cualquier excusa. Los jueces decidirán.

Anónimo dijo...

Resultan curiosas las similitudes que hay entre el proyecto de Google de coger información que la gente deja "en el aire" sin ser consciente y tu dichosa FOCA, con la que haces pública información que la gente deja en Internet "semioculta" y sin ser consciente.

Chema Alonso dijo...

@Anónimo, la FOCA usa Google }:))

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares