Voatz pide restricciones a la investigación independiente sobre ciberseguridad en un escrito ante la Corte Suprema

La startup de votación blockchain Voatz argumentó que los programas de recompensas por errores relacionados con la ciberseguridad deberían operar bajo estricta supervisión en un escrito de "amigo de la corte" ante la Corte Suprema de los Estados Unidos (SCOTUS).

Voatz intervino el jueves sobreVan Buren contra Estados Unidos, un caso de la Corte Suprema que examina si es un delito federal que alguien acceda a una computadora “con un propósito indebido” si esa persona ya tiene permiso para acceder a otros archivos en esa computadora.

Nathan Van Buren, el peticionario en el caso, es un ex oficial de policía de Georgia.¿Quién fue acusado?bajo elLey de Fraude y Abuso Informático(CFAA) tras buscar la matrícula de un conocido. Van Buren afirma que un fallo de un tribunal inferior que confirmó su condena podría interpretarse como que cualquier 'infracción trivial' de un sistema informático podría constituir un delito federal.

El alcance del caso parece haberse ampliado, abordando no solo las infracciones, sino también la interpretación de la propia CFAA. La pregunta incluida en los escritos de la Corte Suprema dice:

Si la evidencia fue suficiente para establecer que el peticionario, un sargento de policía, excedió su acceso autorizado a una computadora protegida para obtener información con fines de lucro, en violación del Título 18 del Código de los Estados Unidos, artículos 1030(a)(2)(C) y (c)(2)(B)(i), cuando, a cambio de un pago en efectivo, buscó en una base de datos confidencial de las fuerzas del orden información sobre si una persona en particular era un agente de policía encubierto.

Estados Unidos,el demandado, argumentó que el caso es un “vehículo deficiente” para examinar si la CFAA es demasiado amplia, y dijo en su escrito que la revisión de SCOTUS T siquiera está justificada.

En su informe, Voatz afirmó que no es necesario limitar la CFAA y que algunas brechas de seguridad en los sistemas informáticos son necesarias. Sin embargo, la firma argumenta que los investigadores que buscan posibles vulnerabilidades deberían consultar específicamente con las empresas que están evaluando antes de hacerlo y solo deberían proceder con la autorización de estas.

Ver también:Voatz y por qué aún no podemos confiar en el voto en línea

“Los programas de recompensas por errores son sumamente eficaces”, escribió Voatz. “Están muy extendidos en el sector Tecnología , e incluso fuera de él, una encuesta de 2019 reveló que el 42 % de las empresas fuera del sector Tecnología implementaban un programa de ciberseguridad colaborativo”.

El escrito puede venir en respuestaa otro campoPor un grupo de investigadores de seguridad que argumentan que la CFAA ha sido interpretada de forma demasiado amplia, lo que frena las iniciativas de seguridad informática. Este informe critica a Voatz, entre otros argumentos.

Reglas generales

Voatz se ha enfrentado notablemente a críticas por parte de investigadores de ciberseguridad, incluso por parte deun equipo del MITQuien publicó un informe en febrero en el que se afirmaba que Voatz no tenía suficiente transparencia y que sus sistemas internos presentaban diversas vulnerabilidades. Voatz ha refutado las afirmaciones del informe.

Trail of Bits, otra empresa de ciberseguridad elegida por Voatz para realizar una auditoría de sus sistemas,Confirmó las afirmaciones de los investigadores del MITen un informe posterior.

Voatz también ha tenido contactos directos con los investigadores.A finales del año pasadoEl fiscal de EE. UU. Mike Stuart, del Distrito Sur de Virginia Occidental, anunció que la Oficina Federal de Investigaciones estaba investigando "un intento fallido de intrusión" en Voatz, que probablemente fue causado por un estudiante o estudiantes de la Universidad de Michigan que participaban en un curso de seguridad.

En su informe, Voatz dijo que la “actividad imprudente de los estudiantes” fue informada a los funcionarios de Virginia Occidental porque la compañía no podía distinguir entre su investigación y un ataque hostil real.

“Sin embargo, independientemente de los detalles, el incidente de Virginia Occidental ilustra el daño que causa atacar o ‘investigar’ infraestructura crítica sin el acceso o la autorización adecuados, especialmente en medio de una elección”, escribió Voatz.

Los investigadores no maliciosos que intentan acceder a herramientas digitales “imponen costos adicionales significativos” a las organizaciones, afirma el informe legal, y podrían dañar la confianza pública.

Ver también:'Aceite de serpiente y basura cara': Por qué la tecnología blockchain no soluciona el voto en línea

Jake Williams, quien fundó Rendition Security,le dijo a CNETque una “gran mayoría” de investigadores de ciberseguridad probablemente no tienen autorización, lo que significa que el apoyo de Voatz a una CFAA amplia “haría las cosas 100% más difíciles” para los investigadores.

El escrito de Voatz llega un día después de...publicó un comunicado de prensa Afirmando que el Partido Demócrata de Michigan usó su aplicación durante una reciente convención del partido para votar por varios cargos. El Partido Demócrata de Michigan no respondió de inmediato a una Request de comentarios.

Opiniones contrarias

Dejando de lado los argumentos de Voatz, su escrito contiene una serie de citas y afirmaciones que parecen carecer de contexto.

Voatz dice que se ha utilizado en 70 elecciones, incluidas elecciones estatales y municipales, y afirma en el escrito que el Departamento de Seguridad Nacional lo considera una “infraestructura crítica”.

Las elecciones incluyen a Virginia Occidental (que anunció en marzo queNo estaría usando Voatzpara sus próximas elecciones) y el condado de Utah (cuyo secretario y auditorrecibió una donación de campaña de $1,500del director ejecutivo de Overstock, Jonathan Johnson, quien también es presidente del inversor de Voatz, Medici Ventures).

La empresa ha dicho que está cumpliendo con los requisitos de Pro V&V, un laboratorio de pruebas del sistema de votación federal, pero según el periodista de ciberseguridad de Politico, Eric Geller, “El informe no tiene sentido"porque los estándares se establecieron hace años y la evaluación no fue objetiva.

Eddie Pérez, director global de desarrollo tecnológico del Open Source Election Tecnología Institute, escribió que la Comisión de Asistencia Electoral (EAC), la entidad federal que acreditó a Pro V&V, En realidad no tiene ningún estándar nacionalpara sistemas de votación a distancia.

Ver también:Falla en billetera de hardware permite a atacantes retener Cripto para pedir un rescate sin tocar el dispositivo

El propio EACpublicó un comunicadodiciendo que “estos informes de prueba no deben verse como una aprobación implícita ni por parte de los [laboratorios de pruebas del sistema de votación] ni de la EAC de que los sistemas evaluados cumplen con el estándar de las [directrices del sistema de votación voluntaria] o son equivalentes a un sistema de votación certificado por la EAC”.

"Actualmente, estos programas son organizados por la propia Voatz, pero en el pasado algunos se realizaban a través de un proveedor como HackerOne Inc.", decía el informe. No se mencionaba que HackerOne...lazos rotoscon Voatz en marzo.

Además, el fundador y director de tecnología de HackerOneAlex Rice dijo en Twitterque “apoyamos los argumentos opuestos presentados por” la Electronic Frontier Foundation (EFF), que pide una reducción de la CFAA, a diferencia de Voatz, que citó a HackerOne en el escrito.

De manera similar, Casey Ellis, fundador y director de tecnología de la plataforma de seguridad colaborativa Bugcrowd, a la que Voatz citó varias veces,También escribióque él firmó y apoyó el informe de la EFF, y no el de Voatz.

Tanto Rice como Ellis dijeron que Voatz no los contactó antes de presentar el escrito.