La falacia de nuestra privacidad y los desarrolladores del visor Emerald

Es público que el famoso visor de conexión a Second Life Emerald, sostenido en Modular Systems, está asociado a varios desarrolladores cuyo pasado y presente es bien conocido como hackers. Cada uno de ellos no lo oculta, sino más bien al contrario, pues como buenos hackers están orgullosos de lo que hacen, ya que este gremio suele decir que sus logros ayudan a que se descubran los agujeros de seguridad que tiene todo software. Además viven de la "fama" y el dinero que puedan otorgarles sus "hazañas", por lo que éstas son ostentadas por doquier. Esto no quiere decir en absoluto que el visor Emerald tenga que ser necesariamente peligroso, sino que quizá puedan serlo en muchos casos varios de sus desarrolladores (que no son tantos, porque parece ser que muchos de los nombres que aparecen como desarrolladores son en realidad alters de otros de los nombres), ya que han dado larga prueba de ello muchísimas veces... y siguen dándola.

Hace poco se destapaba un escándalo de dimensiones mayúsculas para el Emerald, pues se hacía publico que entre muchos usuarios estaba circulando una base de datos con nombres de avatar, su clave UUID, todas las IP asociadas a cada uno de éstos y todos los avataras que usaban las mismas IP (presuntos alters), fecha, método y lugar de extracción de la información, geolocalización de la IP y otros detalles privados. Parece que el responsable de la creación, uso y comparticion de esa base de datos era Fractured Crystal, uno de los desarrolladores del Emerald y que además tenía instalado el software y base de datos en el propio servidor que usa el Emerald. ¿Casualidad? (ellos dicen ahora que no lo sabían) :-) Así mismo, se veía en el registro de accesos a la base de datos que había muchos nombres conocidos, también de otros desarrolladores del Emerald, que podían fisgonear a su antojo todos esos datos y que lo hacían varias veces.

El equipo del Emerald reaccionó mal al principio, intentando negar toda veracidad del asunto o toda relación con ellos, ante lo cual los investigadores del escándalo fueron mostrando que había más que motivos para que el equipo del Emerald debiera preocuparse, tanto por lo descubierto como por su intento de negación de importancia o de su relación en todo extremo. También Skills Hak, la creadora del Gemini CDS y cocreadora del Onyx ("proyecto" de dudosas funcionalidades y objetivos bastante dudosos y cuyo visor aún no listado entre los prohibidos por LL, curiosamente, y del cual es muy probable que hablemos detalladamente en algún momento) junto a Fractured Crystal (tambien alias Phox Modularsystems), aparecía como una de las personas que tenía acceso habitual a esa base de datos (por cierto, con el Onyx tambien en Modular Systems reaccionaron al principio inhibiéndose de toda relación y negando que existieran bots y finalmente ha acabado aceptando su propia responsabilidad, aunque disfrazándola de otras cosas, cuando se fue conociendo mas y mejor el tema gracias a los investigadores en internet. Parece ser que dicha base de datos datamine había sido recopilada de muy diversas maneras, a través de la gente que se daba de alta en SL con el RegAPI del Emerald, a través de sensores puestos en varios sitios de SL de los que apelan al parcel multimedia de nuestro visor sin que lo sepamos, a través del sim Emerald, etc. Hay un listado de mas de 16700 avatares que circula por internet y que son parte de lo que contenía esa base de datos gestionada como un software de análisis de datos datamine, lo cual es gravísimo (tiene implicaciones legales muy serias en la vida real, ya que el TOS te garantiza que nadie, salvo LL, va a poder acceder a esos datos tuyos que son del ámbito privado y menos a difundirlos relacionándolos con tus avataras y tu localización geográfica). Tanto, que cuando le fue denunciado a LL (y hecho público rápidamente por el denunciante) se echaron las manos a la cabeza y prometieron "arreglarlo de inmediato". Sin embargo las semanas, largas, muy largas, han pasado y siguen pasando y no se ha vuelto a tener noticia por parte de Linden Lab al respecto; por lo tanto, quizá el que se llevaran las manos a la cabeza y se escandalizaran no significase lo que a priori podíamos haber creído todos ni el motivo de tal gesto fuera el que parecía.

Es tan grave el asunto que al final en Modular Systems están teniendo que reconocer todo aquello que en principio negaban o callaban. En su sitio web han publicado hace poco un texto que pretende ser un justificante a lo ocurrido aunque mucha gente está comentando en SL que en realidad es muy poco convincente (en el texto los de Modular Systems dicen incluso que el nombre de "datamine" a esa base de datos era sólo "de broma", lo cual muestra que en realidad ya no saben qué decir ante la abrumadora realidad de la exposición pública de su "secreto indiscreto"), a nada que cualquiera se detenga a pensar en los antecedentes y a nada que cualquiera vea qué es lo que realmente está ocurriendo. Hay un periódico en internet que es el Alphaville Herald que es quien destapó el escándalo y es donde se puede hacer un seguimiento básico del tema central, aunque consideramos que este tema no es más que la punta de un iceberg que cada día que pasa se ve más y mejor relacionado en su totalidad y en el que, precisamente, varios de los desarrolladores del Emerald, de un modo o de otro, son sus protagonistas, siempre relacionados con actos que comprometen nuestra privacidad y paz en SL, así como la garantía de que la legalidad vigente se cumple, y siempre arrogándose poderes que sólo hemos aceptado que puedan estar en manos de LL, ante una total pasividad de éstos. Les mantendremos informados.

La falacia del CDS ( Client Detection System ) y los visores de 3ª parte

Como resumen básico, el Client Detection System es un software que ha sido desarrollado por residentes de Second Life --en adelante SL-- con el presunto fin de detectar a quienes usen visores de 3ª parte que los creadores del CDS consideren potencialmente peligrosos. El software se instala en un terreno determinado y detecta a dichos residentes baneándolos del terreno sin previo aviso y para siempre. A la vez informa del nombre del residente a su sistema de redes, de modo que todos los terrenos que usen el software marcarán igualmente como baneado de por vida a dicho residente. Tienen una página de apelaciones pero afirman que nunca han tenido ni pueden tener falsos positivos. Bueno, hasta aquí lo que dicen sus propios creadores, claro está.

Una de las máximas de la ciencia es Probat qui dicit (quien ha de probar algo es quien lo afirma, es decir, si yo acuso de ladrón a alguien debo aportar fehacientemente las pruebas de que lo es y no él de no serlo, o si no todos estaríamos a merced de cualquier falso denunciador y no existiría la presunción de inocencia en ningún Estado de Derecho). Los visores de tercera parte a los que tanto parece temer Linden Lab --en adelante LL-- son en su mayoría excepcionalmente útiles para protegerse contra los ladrones y los griefers y es el motivo fundamental por el que una inmensa mayoría de gente los utiliza (otro de los motivos bastante extendido en programadores y scripters es el estudio de cómo hacen los delincuentes para cometer actos ilegales con ellos para así poder crear herramientas adecuadas que lo impidan: es decir, es imprescindible poder conectarlos al grid de SL para hacer las pruebas pertinentes y así poder defenderse eficaz y definitivamente contra ellos).

Sin embargo, es paradójico que alguien haya ahora inventado un sistema para banear de todos los terrenos que lo utilizan a cualquier residente que use visores de tercera parte que los creadores del CDS hayan decidido que son peligrosos, visores que están basados en el mismo código modificado bajo licencia GNU GPL que LL utiliza para crear el suyo, teniendo en cuenta que todas las así llamadas funciones peligrosas básicas ya están en el código de visor y servidor de LL --aunque no son accesibles o documentadas para cualquiera-- y en teoría cualquiera de LL podría usarlos para cualquier fin sin que lo supiéramos jamás, amén de que nuestras creaciones están todas en la base de datos de LL a merced de todos los empleados de esta empresa que tienen acceso, con lo cual en principio nada impediría que, también en teoría, cualesquiera trabajos originales nuestros pudieran ser copiados por empleados de LL y puestos en SL bajo la firma de cualquier otro residente o empresa ajenos ficticiamente creados para el efecto. La cuestión, como decíamos, parece ser que los creadores del CDS cacarean que nunca ha dado un falso positivo y que no puede darlo, lo cual no es cierto, por motivos técnicos sobre cómo se puede detectar un cliente de software en los que no vamos a entrar ahora aquí; pero incluso aún si se diera por cierto eso --que ya decimos que no lo es--, habría que tener en cuenta dos cosas fundamentales:

1. Por una parte, debería ser LL quien determinase qué visores no cumplen el TOS, pues si los creadores del CDS penalizan algo que LL no penaliza están acusando a LL de ser cómplice de aquellos a los que los del CDS llaman "ladrones", con la consecuente posibilidad de ser acusados por LL de acusación falsa y ser expulsados de SL para siempre, como hace su software.
2. Y, por otra parte, mientras que LL no implemente todos los magníficos avances que se han ido incorporando a estos visores de terceras partes, realizados por excelentes programadores, no hay motivo alguno para que sea desaconsejable usar estos magníficos visores, sino todo lo contrario, por los motivos aducidos al principio de esta entrada de blog, siendo, precisa y paradógicamente, el principal la seguridad de nuestras creaciones.

Por otro lado, ¿han pensado los señores que han puesto en marcha el sistema CDS sólo para enriquecerse (y si no, que el usuario mire lo que cuesta utilizar este CDS y piense: si fuera cierto que es una herramienta para ayudar ¿no debería ser gratuíta?) que si se fomentase masivamente el uso de estos visores de tercera parte debido a los dispositivos y avances tan buenos que poseen que hacen palidecer de lejos al visor de LL (tanto que parece cavernícola al lado de éstos), debido al baneo que realiza el sistema CDS el resultado sería que se iban a quedar todos los dueños de terrenos y negocios --éstos que usan el software CDS-- sin gente que fuera a habitarlos o a comprar a sus negocios? Sin duda ése es el lógico camino que seguiría este despropósito en breve, dejando aparte que, obviamente, dentro de poco saldrá un dispositivo que anulará los pretendidos efectos mágicos de ese sistema CDS.

Lo lógico, a nuestro juicio, es que Linden Lab, que dispone de medios suficientes para detectar fácilmente y sin despeinarse (se puede programar fácilmente y hasta muchas de esas partes de la programación serían simples scripts ejecutándose en los servidores) cualquier copia ilegal (no se imaginan los señores residentes lo fácil que es lo que estamos diciendo), fuera quien detectara automáticamente mediante bots puestos al efecto para estos usos (y no hablamos de residentes bots, sino de dispositivos bots, invisibles) a cualquier persona que copiara a su ordenador algo que no fuera suyo. Pero si esto es bien sabido por LL y por cualquier buen programador que conozca cómo funciona SL.....¿por qué entonces LL prefiere no hacer lo obvio y necesario? ¿Qué beneficio obtendría con ello LL que fuera mejor que detectar las ilegalidades y prohibirlas? Dejamos esta pregunta como reflexión principal de toda la información vertida en esta carta.

Por cierto, para ser completamente legales, sugerimos a todos aquellos que hayan sido baneados por el sistema CDS que hagan un abuse report, porque si os leeis cuidadosamente el TOS (Terms Of Service), tal baneo es completamente ilegal, un abuso, dado que tendrían los baneadores que demostrar los motivos por los cuales ese baneo se ha producido y hacerlo público si vosotros lo pedís. Los únicos que pueden banear de cualquier parte de SL por un uso ilegal como el aducido por los CDS son los LL (si LL tiene los datos que permiten saber el visor con que nos conectamos y éste fuera ilegal.... ¿por qué no nos banearían ellos?). Como decíamos al principio probat qui dicit. Si no se hicera esto así, a cualquiera que tuviera una enemistad con alguien en SL relacionado con los del CDS le bastaría con alquilarse uno de esos packs carísimos de CDS y banear con ellos a quienes quisiesen, entrando así a formar parte de la red de nombres prohibidos del sistema CDS para siempre, con lo cual generarían indefensión y desamparo, cosa penalizada también en los códigos de Derecho de todos los países civilizados. Incluso valdría tener en cuenta la reflexión: ¿quién nos garantiza que la propia gente del CDS no incluye en su red de listados a quien le dá la gana si no tiene que dar cuenta ni explicaciones de sus actos a los únicos que deberían ser jueces en este proceso en relacion a los visores de terceras partes, que son LL? Sería muy fácil para ellos usarlo para difamar impunemente a quien no les cayera en gracia (o a cualquiera que les hiciera la competencia o a cualquiera que pusiera en evidencia la falsedad de sus declaraciones, la debilidad de su sistema o sus verdaderos fines económicos), lo cual es otorgarles ilícitamente un elemento de poder que ni les corresponde ni pueden tener derecho a ostentar. En SL nadie puede banearte sin consecuencias sin aducir y demostrar que hayas incumplido algún punto del TOS ***que lo justificase***. Por otra parte, en Derecho no se puede penalizar una capacidad potencial sino una realización factual. Por el hecho de que cualquier persona tenga capacidad para matar a otra con sus manos no se la puede enviar a la carcel aduciendo que es un asesino en potencia. Recordad ademas la citada máxima de la ciencia y el Derecho, probat qui dicit, es decir, no tenéis que demostrar ser inocentes sino que los del CDS están obligados a demostrar fehacientemente que sois culpables de algo realmente punible, es decir, que habéis cometido un acto delictivo, si no quieren que seáis vosotros los que les acuséis de un acto esta vez sí punible como lo es un baneo ilegal. La hoja de apelaciones no les exime de nada, porque antes de apelar (no piquéis en eso, por favor) quien tiene la primera obligacion de demostrar justificacion para haberos baneado son los del CDS, no lo olvidéis.

Por cierto, para no entrar en ilegítimas competencias desleales que pondrían a LL fuera de la propia Ley estadounidense de comercio (ya tuvo problemas con esto mismo hasta el mismísimo gigante Microsoft en su momento, y no salió muy bien parado) y fuera de la propia norma GNU GPL (algunas de las obligaciones requeridas para el registro de un nuevo visor de 3ª parte en LL son violación indirecta de la sección 12 del GNU GPL), el modo fácil con que LL podría resolver su problema con los visores de terceras partes no es con bloqueos o boicoteos a quienes les hacen la competencia con su visor demostrando que LL son unos completos incompetentes en la creación de software. El modo mas sencillo sería impidiendo en su propio grid, en sus propios servidores, que se dieran las posibilidades ilegales que ellos catalogan como tales. Lo pueden hacer y recuerdo a los lectores que es algo extremadamente fácil de conseguir incluso para una programador de nivel medio de conocimientos. ¿Por qué no lo hacen automáticamente y sin embargo se dedican a intentar impedir el acceso de visores de otros que dejan de manifiesto su incompetencia para hacer las cosas bien y que ponen al alcance del usuario básico herramientas de seguridad y utilidad verdaderas?.... Que cada uno extraiga sus propias conclusiones.

Quizá con el fin de hacer tomar conciencia un poco a Linden Lab de la importancia de satisfacer de verdad a sus usuarios, convendría convocar con meses de antelación una huelga para no usar SecondLife durante un tiempo determinado y en el tiempo que mediase hasta la realización de la misma ir informando a todos los residentes de todas las tropelías, falacias e incorrecciones que se cometen en SL, así como de lo que está ocurriendo de verdad con los visores de terceros y cómo se está queriendo con ello abortar algo que para LL sería extremadamente perjudicial. Eso ayudaría mucho a que los usuarios responsables colaborasen en la huelga para recobrar el control de SL. Estamos seguros de que las pérdidas de LL si sólo un día no se conectara nadie en el planeta serían para ellos terroríficas y les disuadirían conciencialmente de continuar por un camino tan progresivamente abismal y errado como el que van recorriendo. Otra cosa interesante que podría hacerse es publicar en SL una lista de los sitios que tienen instalado este CDS de modo que queden bloqueados y nadie vaya a ellos hasta que no se haya quitado el sistema, se haya desbaneado a todo el que fue allí baneado y se hayan retirado de la red de nombres de CDS los nombres de cada uno de esos avatares baneados. Interesante ¿verdad? Se trata de combatir a quien usa medios ilícitos como el CDS con sus propias armas: publíquese un listado de todos los SIM o terrenos que usan CDS y bloquéeselos para que nadie nunca mas vaya a esos terrenos ni negocios. Cuidado, porque podría haber hackers que en legítima defensa contra este claro abuso del CDS crearan dispositivos para que automáticamente nadie pudiera entrar en dichos sims o terrenos. Tengáse muy presente esto: se está jugando con fuego.

Finalmente, tal como está el patio y dado que ya es perfectamente posible, no nos extrañaría nada que al final la gente decidiera vivir en su propio OpenSim en su ordenador poniendo sus propias reglas y dejando abierto el acceso al mismo mediante un miniservidor con sistema de seguridad, para que entraran los amigos o los clientes. Esto al final crearía una red virtual de ordenadores personales con OpenSim que podría emular (y al final hasta mejorar) el grid de Secondlife y así se acabarían tantos abusos hegemónicos de esa caótica empresa californiana llamada Second Life, así como de sus secuaces disfrazados en todas partes. ¿No os parece? Es sólo una idea.

El presunto paternalismo de LL con el que justifican la prohibición a tener tu propia copia de seguridad de tus propias creaciones en tu ordenador es patético y permite que se les vea el plumero una vez más. Dicen que no permiten las exportaciones de tu propio material a ficheros xml porque para qué lo vas a hacer si total ellos ya lo hacen por tí y lo tienen muy bien guardado para que nunca se te pierda (nos reiríamos si no fuera para llorar). ¡Que le digan eso a la cantidad de cientos de personas que por lo visto llevan quejandose desde hace años de pérdidas definitivas e irreparables de lo que tenían creado en SL por culpa de "problemas técnicos" nunca explicados por LL y que tienen que ver con el modo en que gestionan su sistema de bases de datos y las copias de seguridad! Pero aunque nunca hubieran ocurrido tales pérdidas, cualquier usuario tiene derecho a tener una copia privada de sus propios trabajos en su ordenador y a poder restaurarla en SL siempre que sea preciso, como el Derecho Internacional (y la lógica más básica) reconoce. Esta es una de las funciones básicas que realizan estos visores de tercera parte penalizados por el sistema CDS con el que LL mantiene connivencia. ¿O es que una empresa californiana va a tener más poder que las propias leyes y derechos de los países donde el mundo civilizado se ha desarrollado y se sostiene por el cumplimiento de las mismas?