viernes, noviembre 20, 2020

Los intentos de una empresa por tapar que existe un bug denunciando los vídeos en Youtube en lugar de arreglar el fallo.

Iniciar una investigación por mera curiosidad sobre un hecho que te ha rozado en mayor o en menor parte, no es algo que deba responder a tener una conducta muy definida, no se espera lo que va a suceder sí es que... realmente debemos esperar algo a cambio. Sea para positivo o negativo, si rompe el esquema del producto o de aquello que se investiga, deberá -el autor- crear pruebas que así lo corroboren, y contra más entendibles y claras sean éstas, pues mejor será para su difusión a mayor objetivo de público.

Figura 1: Los intentos de una empresa por tapar que existe un bug
denunciando los vídeos en Youtube en lugar de arreglar el fallo.

Yo soy buen amante de la tecnología, y cabe decir, que también me cuesta categorizarme en una definición que me encasille en una profesión concreta. Hay algo pero, que sí tengo claro, si puedo mejorar y ayudar en hacer una pequeña -ni que sea diminuta- mejora/aportación en este planeta Tierra, lo haré. La seguridad informática me tira, y tanto estira que he podido concluir algunas de esas investigaciones obteniendo un CVE, previo de plasmar un White Paper y adornándolo a su final con un vídeo para enseñar la hazaña a modo multimedia, paso a paso, pero procurando que sea dinámico (en la medida de lo posible). Eso es trabajo gratuito que en muchas ocasiones queda en nada, en otras, puede valorarse con un ingreso al descubridor… ¿qué queda el tema “por amor al arte”? es más que OK para mí.

Ahora centrémonos en la parte multimedia de este asunto. Tengo preferencia en usar YouTube por ser la plataforma de vídeos más visualizada de Internet que, formando parte de Google, solerá tener preferencia en mostrarte sus resultados en primera línea del buscador frente a plataformas de vídeo competidoras. YouTube va al son de la ley, la música que no es tuya, te la silencia y si no, se interpondrá en tu vídeo con publicidad o bien dejará de estar disponible en algún que otro país… 

¡Vale, oído cocina! Seré bueno y cumpliré las reglas. Y por sorpresa aterriza un e-mail que cruje toda la línea de tiempo de tu contenido visual. “No tienes derecho” dijo YouTube en nombre de Arvato Distribution GmbH. La bomba aterrizó en mi terminal dejándome casi sin vida (creí que lo soñaba). 

Figura 2: Notificación de YouTube sobre la retirada del vídeo 

Había infringido los derechos de autor de un video que publiqué para mostrar una vulnerabilidad que encontré haciendo uso del CVE ID: CVE-2020-9013. Sobre esto dejé bastante huella, pero no tratándose de un descubrimiento recién hallado en este 2020. A modo de “time-line” estos fueron los “check-points” en el histórico de lo descubierto:

2017-02-17 – Se publica el primer vídeo en YouTube sobre la vulnerabilidad para dejar constancia.
2017-02-20 – Se notifica al soporte oficial de SkillPipe.
2017-02-21 – Respuesta recibida por Arvato Distribution GmbH donde se toma nota, pero se indica que así es cómo funciona la plataforma y que de momento no hay nuevos cambios a implementar en su hoja de ruta.
2017-02-23 – Notificación a MSRC (Microsoft Security Response Center) y respuesta el mismo día indicando que el soporte debe de hacerse a: https://skillpipe.com/en-GB/Contact.
2020-02-14 – Se publica el segundo vídeo en YouTube mostrando el nuevo método de la vulnerabilidad & White Paper en Slideshare.
2020-02-15 – Publicado en Twitter.
2020-02-16 – Se asigna el CVE-2020-9013.
2020-02-20 – Se publica en el blog de El Lado del Mal.
2020-03-06 – Se publica el White Paper también en Exploit Database.
2020-10-27 – YouTube retira el video y emite un “strike” a mi canal.

Puede verse como en el 2017 empezó la batalla tecnológica. Primero hice el vídeo para dejar constancia, luego decidí notificar al fabricante del lector de cursos, el cual me dio una respuesta que no me convenció y que decidí hacer inca-pie re-enviándolo a Microsoft, pero este de nuevo me remite a la plataforma de lectura (SkillPipe).

El tema se congeló y hubo un largo “stand-by” de casi tres años cuando se me antojó volver a probar la eficacia/validez de la vulnerabilidad, dando de nuevo un resultado afirmativo que, como plus, encontré una nueva forma para agilizar el proceso. Fue entonces el momento decisivo de luchar por un CVE. Me encuentro ahora desenterrando el tema por la noticia que me dio YouTube sobre el asunto de la reclamación de derechos de autor del cual no estoy de acuerdo con la decisión tomada.

Tuve una experiencia similar. La primera vez me sucedió con un cortometraje en inglés y con subtítulos en castellano. El vídeo se encontraba en YouTube pero sin los subtítulos. Yo, al disponer de este contenido (pero en distinto formato, era en VHS que tuve que capturar para pasarlo a digital) decidí subirlo para que no muriera en el olvido. En el momento de recibir el strike, vi algo que no me cuadraba mucho. Profundizando una búsqueda en Internet, no vi al representante de la demanda por ninguna parte en relación a aquel corto. Les escribí y me contestaron; se me dijo que habían obtenido los derechos de esa producción, por lo que, decidí no incidir más sobre aquel caso.

Otras experiencias han sido más laxas, porque cuando el tema se trata sobre contenido auditivo (es decir, la música mayormente) te penalizan pero de otra manera. En ese caso afecta a la visibilidad de tu vídeo, y/o siendo candidato de una monetización a tu costa pudiendo incluir anuncios (cuando yo odio que salgan anuncios en mis videos).

YouTube esta genial para el usuario que no lo utiliza para la creación de contenido, en esos casos no debería haber ningún problema jamás… Todo se puede empezar a poner más oscuro cuando la persona consumidora de la plataforma, se registra con al menos un canal con el propósito de subir vídeos (aunque sea de vez en cuando y sin monetización). Como cuando se es un crío, se reciben castigos por las cosas que no se hacen bien, YouTube te enseña a adaptarte a su plan educativo.

¿Sabes qué sucede cuando recibes una primera alerta (o strike) por infracción de derechos de autor?

Textualmente, YouTube te dirá: 

“ 1 falta por incumplimiento de derechos de autor

Un titular de derechos de autor nos ha pedido que retiremos tu vídeo porque contiene material que infringe sus derechos de autor.

Como consecuencia:

- Se ha retirado tu vídeo de YouTube.
- Tu canal ha recibido una falta.
Si recibes 3 faltas por incumplimiento de derechos de autor, es posible que cancelemos tu cuenta y todos los canales asociados a ella.
Qué puedes hacer

- No hacer nada. Las faltas caducan al cabo de 90 días, siempre y cuando hayas completado el programa Aspectos básicos de los derechos de autor.
- Solicitar una anulación
- Enviar una contranotificación
Aunque elimines el vídeo, no se quitará la falta.“

¿Os imagináis a aquellos/as que se dediquen a usarlo como su fuente principal de ingresos? Les puede llegar a suponer un auténtico terror… porque el volumen brutal de vídeos que pueden llegar a albergar, de bien seguro que sea fácil recibir un “3 en ralla” en esos 90 días.  Esto es lo que puedes ver si entras al canal. La fecha de cuando se hizo la falta, por quien fue retirado el contenido, cuando caduca la falta si decides “no hacer nada”, el contenido infringido que has usado (y que, por ello, tu video ha sido destituido) y las acciones que puedes hacer con ello.

Figura 3: Visualización del “strike” en el canal de YouTube 

Evidentemente, la opción a “pataleta” siempre la tienes, que es enviarle un e-mail al reclamante. En mi anterior caso al menos tuve respuesta, en este, sigo esperando (el e-mail se lo envié el mismo día que recibí la falta).  Al menos puedes seguir viendo el vídeo (con la condición de ser tú el único espectador). Eso sí, si lo quieres borrar ¡adelante! cosa que no recomiendo, porque no te servirá de nada, mejor dejarlo así por si algún día se pone el caso a tu favor ;) .

Figura 4: Detalles del video en el canal de YouTube

Como véis, no se puede tocar nada del título, descripción, … Pero sí puedes reproducir el contenido del vídeo (¡tampoco verlo en high quality!) ni descargar, promocionar... pero lo dicho, eliminar sí.  Ahora hagamos un breve análisis del vídeo eliminado.

Creative Commons y atribuciones

Si el contenido es meramente propio mío, es cuando hago uso de la licencia de CC BY. Esta licencia otorga a otros terceros el derecho de poder re-mezclar/alterar el vídeo a su antojo siempre y cuando se mencione al autor del que proviene la obra. Para ello, hago uso de la licencia al inicio y final del vídeo donde nombro a las personas que hayan participado como reconocimiento del trabajo que han depositado en la obra multimedia (esto también lo hago en la descripción del mismo).

Figura 5: A la izquierda, comienzo del vídeo. A la derecha, final del vídeo 

Por supuesto, si hago uso de música con CC también los incluyo (ambos lugares, modo hard-code -por así decirlo- tanto en el vídeo como en la descripción).

Figura 6: Atribuciones a la música al final del vídeo

La música esta mencionada en orden de aparición, previo a mi licencia CC y atribuciones puesta al final. Suelo obtenerla de repositorios sobre este tipo de contenido con CC. En este caso se trata de http://dig.ccmixter.org/

Presentación y Desenlace

Esto dependerá del tipo de vídeo que haga pero normalmente, y con la finalidad de romper un poco el hielo, suelo hacer una breve introducción mostrándome a mí mismo así como el desenlace y despido.

Figura 7: Mostrándome; de izquierda a derecha, inicio y final respectivamente 

Para que pueda ser visible e interpretado por muchos, como idioma suelo usar el inglés además de insertarlos como subtítulos (al no ser mi lengua materna, pueden haber palabras y/o frases hechas que no las articule correctamente).

El Nudo - Mostrando la Vulnerabilidad

Se disecciona en tres partes o capítulos, a saber:

- Chapter 1: The Normal Behavior 
 
- Chapter 2: Manual Mode 
 
- Chapter 3: Semi-Automatic Mode

En el primer capítulo, muestro el comportamiento normal de la aplicación. Muestro antes el proceso de inserción a la web y el inicio de sesión con las credenciales de una cuenta con autorización.

Figura 8: Portal de login en Skillpipe 

En este punto apreciamos el logo de Skillpipe que puede ser ya motivo suficiente para la reserva de sus derechos si yo no tengo su expresa autorización. El e-mail de la cuenta con acceso sale tapado, de hecho suelo tapar siempre los datos confidenciales y/o sensibles de no interés o útil para preservar la privacidad. ¿Y qué hay del resto de logotipos? El sistema operativo es Windows, el navegador es Google Chrome… ¿no podrían ellos demandarme de igual modo que lo ha hecho Skillpipe

Siguiendo con el tutorial del CVE, a la hora de imprimir un módulo de un material, tapo la parte sensible que se encuentra en la página visible. En el vídeo, llego a enseñar dos páginas, por lo que si ese fuera un motivo de infracción, no lo vería suficiente (¿imagino que deberá de ser un porcentaje elevado para que eso ocurra?). 

Figura 9: Parte de un temario donde tapo info sensible

En el último capítulo donde muestro el método “semiautomático” haciendo uso de Adblock. ¿No estaríamos en esas mismas donde Adblock podría reclamar sus derechos?

Figura 10: Plugin de AdblockPlus para el modo “semiautomático”

Y ahora… ¿Nos vamos a quedar con los brazos cruzados? Yo no, pero tampoco me atrevo meterme en una guerra que no sé si ganaré sin la ayuda de un profesional sobre temas legales, por lo que, aprovechando la plataforma de MyPublicInbox.com y sus perfiles públicos, vi que Ruth Sala es abogada penalista y especialista en delitos tecnológicos y prueba digital.


¿Porque no contactar para pedir consejo? ¡Y qué mejor que hacerlo vía la plataforma que respeta tiempo y calidad de la persona en la que estoy yo mismo. :) !  Gracias a ella tengo un informe de asesoramiento legal sobre este tema con el que continúo defendiendo mi posición frente a estos intentos de silenciar el conocimiento del hacking, pues al final, el conocer estos fallos, tenerlos documentados y con el máximo de información, ayuda a todo el mundo a aprender de ellos y no cometerlos en el futuro. Divulgar conocimiento de estos fallos de seguridad ha sido siempre algo intrínseco al espíritu de las comunidades hacker.

Conclusiones personales

Qué saco yo de todo este embrollo. Personalmente creo que no es correcto que hagan desaparecer un vídeo sobre un CVE que fue descubierto en el 2017. ¿Qué hay pues de mi reputación? Lucho por aportar en la seguridad informática de un producto y, ¿así es ómo deben actuar, haciendo desaparecer una prueba sobre algo que es mejorable porque tiene una clara anomalía? Si argumentaran que no les dije nada y que opté por un “full disclosure” aún que podría entenderlo (aunque solo en parte). 

En el vídeo que publiqué en el 2017 sale el lector Skillpipe, ¿porque no se decidió actuar de la misma manera sobre ese mismo? (o va a ser cuestión de tiempo…). Lo que ahora necesito son respuestas o de alguna manera hacer justicia frente a ello (si es que las reglas del juego lo permiten ahora). Lo fácil es esperar y hacer ver que esto no ha pasado nunca, pero creo que esa época ya caducó...

Remember… Be Good, Be Hackers!

Autor: Gerard Fuguet 

No hay comentarios:

Publicar un comentario