sábado, marzo 23, 2013

En ciberguerra matar hackers civiles es legal

Supongo que todos los que estamos en este mundo de la seguridad y el hacking hemos sentido algo de nerviosismo en las tripas cuando ha salido a las noticias el Manual Tallinn que habla de esto, de que en ciberguerra, la legislación internacional aplicable justificaría el hecho de matar a un hacker civil que haya participado en un incidente de ciberguerra, ciberespionaje o ciberterrorismo.

Esta justificación dada por el Manual Tallinn que puedes leer online aquí se basa en la opinión de un grupo de 20 expertos en legislación internacional que han analizado las leyes de la guerra tradicionales aplicándolas al entorno digital, para llegar a esta conclusión en este informe que fue solicitado por la OTAN.

Figura 1: Tallinn Manual

Con ello, lo que no queda resuelto es qué grado de "implicación" debe tener un hacker para que pueda ser justificado un objetivo por implicarse en una operación, y esto es lo que realmente me preocupa, ya que cada uno interpreta las cosas como les suele venir bien.

Mis temores son, si alguien utiliza la FOCA para preparar un ataque, o hace una intrusión en sistema por medio de un Blind LDAP Injection,... ¿podría ser justificable internacionalmente que me mataran a mí? Si alguien utiliza Shodan para encontrar un sistema SCADA... ¿podría ser justificable matar a John Matherly? ¿Y si alguien usa Canvas para sus operaciones? ¿Y si se usa un exploit de un investigador de seguridad que vendió hace tiempo a una empresa de compra de vulnerabilidades?

El gran problema es que hay que tener en cuenta que en estas cosas, no es que sea o no legal, sino  que aseveraciones así hagan que alguno se lo crea, y eso es peligroso. Viendo el conocimiento que algunos mandos y políticos de ejércitos de todo el mundo, parece que presentar un exploit, publicar una nueva herramienta o una nueva técnica de hacking, en un blog o  en una conferencia tipo DefCON o Ekoparty puede ser apuntarse a una lista que puede que no mole un cacho.... 

Saludos Malignos!

6 comentarios:

  1. Hasta donde vamos a llegar...
    Cuanto miedo tienen...

    ResponderEliminar
  2. Bueno ahí sigue Julian Assange, en la embajada de Ecuador en Londres, si lo pillan se enfrentará seguramente a una pena capital.

    ResponderEliminar
  3. Vayaaaa!, desde que existe política hay guerras... Vivir y dejar vivir pero buahh con estos retrógradas como bien dice Alejando a "Quien sólo posee un martillo, verá todos los problemas como clavos.", mejor que se capaciten en como PRE-VE-NIR ataques informáticos y que carguen un poco mas sus escasas neuronas antes de ver tecnicismos de leyes que legislaron unos asnos!

    ResponderEliminar
  4. El bloguero ha interpretado mal el valor del informe, sobre todo porque NO ES VINCULANTE, es decir, es simplemente un conjunto de personas que, bajo el amparo editorial del CCD COE(organismo especializado en ciberdefensa dependiente de la OTAN)ubicado en Tallín (Estonia) han publicado SU opinión personal sobre cómo se debería legislar la ciberguerra pues, a día de hoy, no están contemplados los enfrentamientos en el quinto dominio por la Convención de Ginebra, la de la Haya y el resto de legislación internacional que regula los conflictos armados entre naciones soberanas.
    Para nada el CCD COE se vincula con el citado documento, ni la OTAN tiene porqué adoptarlo. Otra cosa es que lo tenga en consideración para futuras deliberaciones.
    Un atento saludo.

    ResponderEliminar
  5. @Cyberwarrior, claro que es una opinión "de expertos" y eso para muchos podría ser justificación más que suficiente para tomar la justicia por su mano. Es lo que dice el post.

    Saludos!

    ResponderEliminar
  6. @Maligno, creo que el símil puede darte un poco de luz al respecto... si tu vecina mata a su marido con un cuchillo, en ningún caso el culpable es el fabricante de cuchillos, únicamente el que realiza el acto determinado como delito.
    En la UE sí se ha intentado legislar para considerar delito la tenencia de herramientas de hacking. Volviendo al símil anterior, es algo tan ridículo como considerar delito tener una tacoma en casa... los cuchillos (herramientas de hacking) pueden ser utilizados para cocinar (pen-testing), para utilizarse como armas blancas en crímenes de violencia doméstica (infiltrarse en la wifi del vecino, colarse en la webcam de la vecinita cachonda...) o para degollar a un prisionero de guerra (algo que sí está contemplado como crimen de guerra por la legislación internacional).
    El objetivo de este grupo de expertos era elucubrar un poco (o un mucho, que se han tirado tres años para elaborar esas 280 páginas) qué debería ser considerado legal en un confrontamiento "ciberarmado" entre dos países soberanos, identificados como tal y que combaten en el quinto dominio previa declaración de guerra.
    Como supongo sabrás, existe la proporcionalidad del empleo de la fuerza, y no se puede responder a un escarceo con fuego de fusilería en un puesto fronterizo con el empleo de armamento nuclear. Dejo en tu imaginación el símil de ciberseguridad, pero vendría a ser un "porque me has hecho un escaneo de IPs, ahora me cuelo en tu smartgrid y te quedas sin suministro eléctrico o te abro las compuertas de las presas de tus embalses". Como verás, estas dos acciones tienen consecuencias directas sobre la población civil, la cual no debería ser objetivo militar. Es decir, las víctimas de una inundación provocada por la apertura de estas puertas pasarían a ser consideradas uso desmedido de la fuerza, con daños sobre población civil (no colaterales) y condenables por tanto como crímenes de guerra por el Tribunal Internacional de La Haya.
    Sobre lo de estar en el lado del mal... si ya lo dice este genial blog en tu nombre!!! Llevarás años siendo vigilado al minuto por la CIA, el FSB, el MI6, el CNI y la TIA (los de Mortadelo y Filemón), que con un ordenador y un gorrito molón en la cabeza tienes mucho peligro... ;)
    PD. No me he leído entero el documento de los tipos estos porque vale una pasta (creo que eran 46 € en Amazon en formato Kindle). Pero sabiendo más o menos quienes participaban, para tu tranquilidad decirte que era gente competente profesionalmente hablando.
    PD2. Stuxnet, bajo ese documento, sería uso desproporcionado de la fuerza y considerado un crimen de guerra, para que veas que legislar los cibercombates en el quinto dominio "a lo mejor" tampoco está en el interés de las naciones poderosas para los casos que no les conviene. Verás que Mr. Obama está muy interesado en legislar los casos de robo de propiedad intelectual por terceros... especialmente China.

    ResponderEliminar