Artículos recientes
- diciembre 4, 2024
- noviembre 11, 2024
- noviembre 5, 2024
Terminar en prisión simplemente por escuchar y observar: un riesgo real para la investigación de seguridad. La situación legal actual hace que sea casi imposible explorar e informar legalmente las vulnerabilidades.
Cualquiera que escuche una transmisión de radio que no esté destinada a sí mismo o al público está cometiendo un delito penal. Y cualquiera que diga a otros que datos personales vuelan por el aire sin protección está cavando su tumba legal aún más profundamente.
Las vulnerabilidades no existen sólo en aplicaciones, sitios web o redes. También están disponibles en aplicaciones basadas en radio. Esto también incluye los «viejos SMS», que, según numerosos expertos en seguridad, hace tiempo que quedaron obsoletos y que ya no tienen cabida en un mundo en el que los datos confidenciales se envían por aire sin cifrado.
En un extenso artículo, el AG KRITIS señaló agravios en la legislación que penalizan de hecho la investigación de seguridad en el ámbito de las aplicaciones basadas en radio. Cualquiera que descubra abusos corre el riesgo de ser denunciado, condenado y encarcelado. También en este caso la situación jurídica irremediablemente obsoleta vuelve a enviar señales peligrosas (el juego de palabras es intencionado) y no es la primera vez. El hecho de que muchas de las tecnologías incompletas se utilicen menos no cambia esto.
Simplemente están ahí y se utilizan, y a veces en áreas críticas. Sólo eso debería ser razón suficiente para despenalizar la investigación de seguridad sobre ellos.
También se pueden fabricar antenas especializadas en casa, a veces utilizando los medios más sencillos.
Voluntad de cambiar
En las investigaciones aleatorias llevadas a cabo por AG KRITIS no faltó la voluntad fundamental de tomar medidas de seguridad entre las empresas y organizaciones afectadas. Algunos cambiaron sus procesos y dejaron de enviar información de clientes o pacientes vía SMS. Otras organizaciones afirmaron que querían cambiar a medios de comunicación alternativos en el futuro.
Básicamente, se ha llegado a la conclusión de que los datos dignos de protección no deben transmitirse sin cifrar en canales de acceso público.
Mordaza legal
Pero la situación jurídica y la situación en la que se encuentran los investigadores es tan clara como precaria. Aquí son relevantes la Ley de protección de datos y la protección de la privacidad en las telecomunicaciones y los servicios digitales (TDDDG), la Ley de Telemedios (TMG), la Ley de Telecomunicaciones (TKG) y la Ley de Equipos Radioeléctricos (FuAG).
Sin embargo, durante décadas los equipos de radio eran costosos y complicados de operar y, por lo tanto, estaban reservados a unos pocos privilegiados, pero ahora la situación también ha cambiado en este caso. Los receptores de radio y las radios que habrían costado miles de dólares hace unas décadas ahora son asequibles (a veces están disponibles por sólo unos pocos cientos de euros) y fáciles de usar.
Posible, frente a permitido
Y aquí es donde las cosas se ponen emocionantes. Muchos dispositivos disponibles en el mercado cubren rangos de frecuencia muy amplios, incluso fuera de las bandas de radioaficionados. Esto también incluye las frecuencias comúnmente utilizadas en las comunicaciones móviles. Con un dispositivo adecuado se pueden escuchar y grabar las transmisiones. Pero aquí está el quid de la cuestión: quien escucha o graba mensajes (y por tanto “toma nota de ellos”, como se dice en la jerga legal) que no están destinados a un grupo indefinido de personas o al público en general, por lo general está cometiendo un delito penal. Esto es lo que dice en el párrafo 5 TDDDG. La pena oscila entre una multa y dos años de prisión. Y no hay exención para los investigadores de seguridad . Ni siquiera si señalan puntos débiles con intención de eliminarlos.
Actualmente no existe ninguna forma de detectar y denunciar la transmisión no cifrada de datos personales por radio sin exponerse a un proceso judicial.
Incluso si alguien informa a una persona directamente afectada de que sus datos personales han sido transmitidos por terceros sin cifrar, esto constituye un delito penal. En este caso, un operador de radio bien intencionado no sólo ha tomado nota de un mensaje que no estaba destinado. él o ella, sino también el suyo. El contenido también se transmite. En el mejor de los casos, el resultado es una multa y, en el peor, una pena de prisión.
Los receptores de banda ancha con puerto USB se pueden conseguir por menos de 100 euros y cubren una amplia gama de frecuencias.
Viejo tema, reavivado
Si este problema te suena: es casi lo mismo que en el “párrafo hacker”. Actualmente, esto no diferencia adecuadamente entre actividades delictivas e investigaciones con la intención de mejorar la seguridad. Esto nunca ha disuadido a los delincuentes, pero ha llevado a personas a los tribunales porque señalaron la falta de seguridad. Curiosamente, hay jueces que se han dado cuenta de que una contraseña demasiado simple no proporciona la protección adecuada. Pero como en el caso de la «Solución moderna», una autoridad superior insistió en que desde el punto de vista jurídico no importa lo fácil o difícil que sea superar una contraseña y condenó a un investigador de seguridad a una multa de 3.000 euros. (La sentencia fue confirmada el 4 de noviembre ; se rechazó el recurso de apelación) Una señal fatal en todos los sentidos para todos aquellos que quieran hacer algo por la seguridad .
Después de todo, recientemente el debate sobre el “párrafo hacker” ha vuelto a moverse. Según un primer borrador, la irrupción en sistemas de terceros y la búsqueda de brechas de seguridad deberían quedar impunes siempre que se haga con el fin de denunciarlas, por lo que la intención marca la diferencia. Seguiremos de cerca la evolución futura. Sin embargo, todavía es demasiado pronto para un optimismo exuberante y, de todos modos, el «párrafo hacker» no se aplica a la jurisprudencia en torno a las transmisiones de radio.
Escuche bajo su propio riesgo
Ergo: escuchar las frecuencias de los teléfonos móviles se asocia con un alto riesgo porque potencialmente puedes ver cosas que no están destinadas a ti. Incluso si se hace con la mejor de las intenciones.
Existe una necesidad urgente de legislación, especialmente en lo que respecta a las transmisiones de radio. La ley actual va claramente en detrimento de los investigadores de seguridad y, por lo tanto, es un obstáculo para mejoras a largo plazo en la seguridad en todos los ámbitos.
No es eficaz castigar a las personas simplemente por consultar información. Obstaculiza y pone en peligro el trabajo de los expertos en seguridad que quieren eliminar los agravios. La criminalización de este trabajo va en última instancia en detrimento de todos y fomenta activamente la migración de habilidades a otros países.
Enlace: https://www.gdata.de/blog/2024/10/38064-freund-hoert-mit Blog de G DATA Por Tim Berghoff