Riesgos del program probatorio: Schneier on Security


Riesgos del computer software probatorio

En Lawfare, Susan Landau tiene un excelente ensayo sobre los riesgos que plantea el software utilizado para recopilar pruebas (un alcoholímetro es probablemente el ejemplo más obvio).

Los errores y las vulnerabilidades pueden dar lugar a pruebas inexactas, pero la naturaleza patentada del computer software dificulta que los acusados ​​lo examinen.

Los ingenieros de computer software propusieron una prueba de tres partes. Primero, el tribunal debe tener acceso al «Registro de errores conocidos», que debe ser parte de cualquier proyecto de software program desarrollado profesionalmente. A continuación, el tribunal debe considerar si la evidencia presentada podría verse afectada materialmente por un error de software package. Ladkin y sus coautores notaron que es poco possible que una cadena de correos electrónicos de ida y vuelta tenga tal error, pero el hora que una herramienta de software package registre cuando se utilizó una aplicación podría fácilmente ser incorrecto. Finalmente, los expertos en confiabilidad recomendaron ver si el código se adhiere a un estándar de la industria utilizado en una versión no computarizada de la tarea (por ejemplo, los contables siempre registran cada transacción y, por lo tanto, también debería hacerlo el software package de contabilidad).

(…)

Los objetos inanimados han servido durante mucho tiempo como prueba en los tribunales de justicia: la manija de la puerta con una huella dactilar, el guante encontrado en la escena de un crimen, el resultado del alcoholímetro que muestra un nivel de alcoholic beverages en sangre tres veces remarkable al límite authorized. Pero el último de esos ejemplos es sustancialmente diferente de los otros dos. Los datos de un alcoholímetro no son la entidad física en sí, sino más bien un cálculo de program del nivel de alcohol en el aliento de un conductor potencialmente ebrio. Siempre que se haya conservado la muestra de aliento, siempre se puede volver atrás y volver a analizarla en un dispositivo diferente.

¿Qué sucede si el software comete un mistake y no hay una muestra para verificar o si el propio application create la evidencia? En el momento de redactar el artículo sobre el uso de application como prueba, no existía un requisito primordial de que las fuerzas del orden le proporcionaran el código al acusado para que pudieran examinarlo ellos mismos.

(…)

Dada la alta tasa de errores en los sistemas de software complejos, mis colegas y yo llegamos a la conclusión de que cuando los programas de computadora producen la evidencia, los tribunales no pueden asumir que el application probatorio es confiable. En cambio, la fiscalía debe poner el código a disposición de los expertos del acusado para una «auditoría contradictoria». Y para evitar problemas en los que el gobierno no tiene el código, los contratos de adquisiciones gubernamentales deben incluir la entrega del código fuente (código que sea más o menos legible por las personas) para cada versión del código o dispositivo.

Publicado el 29 de junio de 2021 a las 9:12 h. •
7 comentarios



Enlace a la noticia original