Votado negativamente: Investigadores de seguridad critican a Voatz por su postura sobre los hackers de sombrero blanco.

Un caso pendiente ante la Corte Suprema de Estados Unidos tiene el potencial de cambiar radicalmente el hacking de sombrero blanco. El caso LOOKS la Ley de Fraude y Abuso Informático (CFAA) y podría determinar si los investigadores de seguridad de buena fe, también conocidos como hackers de sombrero blanco, podrían ser objeto de sanciones penales por investigar vulnerabilidades en los sistemas.

Si se decide adoptar una interpretación amplia de la CFAA, afectaría no solo a la Tecnología blockchain, los intercambios y las Cripto, sino al campo de la investigación de seguridad en su conjunto.

Y luego la empresa de votación blockchain Voatz intervino en el discurso.

Van Buren contra los Estados Unidos

La Corte Suprema está actualmente escuchando Van Buren v. Estados Unidos, en el que un ex oficial de policía de Georgia fue condenado bajo la CFAA porbuscando una matrículaen una base de datos policial a cambio de dinero. El cargo bajo la CFAA se centró en la definición legal de lo que "excede el acceso autorizado", la cual es notoriamente vaga.

La CFAA es una ley antipiratería informática que entró en vigor en 1986. Si el tribunal adopta una interpretación amplia de la ley (como defiende el gobierno), podría tener un efecto paralizador sobre importantes investigaciones de seguridad, según los expertos.

Una interpretación amplia permitiría a las empresas establecer qué significa “acceso autorizado” en sus términos de servicio, en lugar de implementar una barrera técnica (como una contraseña) en un sistema que alertaría a los investigadores de seguridad cuando han ido demasiado lejos.

Entra Voatz

Voatz ha sido objeto repetidamente de investigaciones de seguridad críticas,que CoinDesk ha documentado previamente. En un caso, estudiantes del MIT realizaron ingeniería inversa en la aplicación de Voatz y encontraron vulnerabilidades de seguridad. Voatz inicialmente refutó estos hallazgos, aunque algunos de los problemas fueron confirmados posteriormente por Trail of Bits, una empresa de seguridad contratada por Voatz. La empresa incluso llegó a denunciar al estudiante investigador de seguridad ante las autoridades estatales por presunta "actividad no autorizada" según la CFAA.

La Electronic Frontier Foundation (EFF) criticó a Voatz por su nombre en unescrito presentado ante el tribunal, como ejemplo de una empresa que adopta un enfoque agresivo con los investigadores de seguridad de buena fe. Voatz también denunció a un estudiante de la Universidad de Michigan ante el FBI "porque este realizó una investigación sobre la aplicación de votación móvil de Voatz para un curso de seguridad electoral de pregrado", según el informe.

Desde entonces, Voatz ha presentado un escrito amicus curiae en el caso Van Buren (en el que no es parte), argumentando a favor de mantener amplio el alcance de la CFAA. Sugirió que los hackers de sombrero blanco solo deberían investigar posibles vulnerabilidades una vez que hayan informado a la empresa que están evaluando y recibido su aprobación.

Estas prácticas no son comunes en la comunidad de seguridad, aunque los hackers de sombrero blanco alertan a las empresas sobre las vulnerabilidades si las encuentran.

Los investigadores de seguridad responden

En respuesta a la presentación de Voatz, un grupo de investigadores y organizaciones de seguridadescribió una carta abiertapara corregir públicamente el registro.

La carta fue encabezada porCable de conexión, ONE de los hackers éticos más destacados del mundo. Cable también estudia en la Universidad de Stanford y realiza una labor increíble en el ámbito de la ciberseguridad y las elecciones, según Reed Loden, Evangelista Jefe de Seguridad de Código Abierto de HackerOne, una plataforma que previamente rompió vínculos con Voatz y cuyo fundador firmó la carta. Fue la primera vez que HackerOne eliminó a una empresa que la utilizó para albergar un programa de recompensas por errores.

“Queríamos dejar claro que la postura de Voatz no cuenta con el respaldo de la comunidad de investigadores de ciberseguridad y seguridad, enfatizar que los investigadores de seguridad contribuyen en gran medida a la seguridad de nuestra sociedad digital y subrayar que una interpretación amplia de la CFAA, que es la que Voatz defiende, amenaza las actividades de investigación de seguridad a nivel nacional”, dijo Loden en un correo electrónico.

La carta describe las formas en que la presentación de Voatz supuestamente fue egoísta y es un indicador de cómo empresas como Voatz podrían usar una interpretación amplia de la CFAA para tomar medidas aún más severas contra los investigadores de seguridad críticos.

Voatz no respondió a las solicitudes de comentarios de CoinDesk.

El alcance del «acceso autorizado»

El Centro para la Democracia y la Tecnología (CDT) es ONE de los firmantes de la carta abierta. Stan Adams, asesor general adjunto del CDT y asesor de Internet Abierta, desglosó el caso en dos argumentos en una llamada telefónica con CoinDesk.

Según Adams, si se emite una resolución amplia sobre la CFAA, los investigadores de seguridad probablemente se verían disuadidos de realizar investigaciones por temor a violar la parte de la ley relativa a "excede el acceso autorizado".

Una interpretación amplia permitiría a las empresas establecer qué podría significar “acceso autorizado” en sus términos de servicio, que pueden cambiarse y alterarse fácilmente, poniendo a los investigadores de seguridad en mayor riesgo.

“Leyes vagas como la CFAA pueden perjudicar la investigación en seguridad”, dijo Adams. “El gobierno de Estados Unidos quiere que el acceso se pueda limitar mediante términos como las Condiciones de uso y otras disposiciones escritas que limiten el acceso, en lugar de lo que preferiríamos, que es una especie de barrera técnica”.

La idea es que un investigador, si se ve afectado por una barrera técnica como una contraseña o un dispositivo de cifrado, sepa que ha alcanzado los límites de su acceso autorizado. Establecer los límites del acceso autorizado en términos de servicio difíciles de encontrar y aún más difíciles de leer dejaría a los investigadores de seguridad con la incertidumbre y tendría un efecto disuasorio en la investigación en general, añadió.

¿Un efecto paralizante sobre los investigadores de fintech y Cripto ?

El impacto en la investigación no se aplica sólo a empresas como Voatz, aunque ONE difícil argumentar que una empresa que participa en la votación digital no justifica un escrutinio intenso.

La tecnología en general se vería afectada. Matt Hill, director ejecutivo de Start9 Labs, una startup de código abierto y tecnología de privacidad, afirmó que el hacking de sombrero blanco es clave para cualquier tipo de tecnología. Sin él, simples errores de software podrían convertirse en infecciones sistémicas, susceptibles de ser explotadas por actores maliciosos. El mundo de las Criptomonedas ha visto cómo estos actores vaciaban plataformas de intercambio y robaban criptomonedas.

“Una organización honesta decidida a crear productos seguros fomentará los ataques de sombrero blanco, sin importar cuán malos sean los resultados, porque esa es la única manera de que su sistema se vuelva seguro”, dijo Hill.

Una organización que intenta vender un trozo de arcilla empaquetado como seguridad, también conocido como vaporware o estafa, hará todo lo posible para prevenir ataques y mantener el engaño interno y externo durante el mayor tiempo posible.

Un puerto seguro para los que usan sombreros blancos

Jason Gottlieb, socio de Morrison Cohen LLP y presidente del Grupo de Práctica de Cumplimiento Regulatorio y de Delitos de Cuello Blanco, dijo que, en su opinión, hasta que el Congreso modifique la CFAA para aclarar qué significa "acceso no autorizado", la CFAA debe interpretarse de una manera que proporcione un puerto seguro para la piratería informática de sombrero blanco.

Para ser claro, sin embargo, dijo que el hackeo debe ser verdaderamente de sombrero blanco y que la carga debe recaer sobre los hackers de sombrero blanco para demostrar que sus intenciones eran ayudar y no dañar.

“El hacking de sombrero blanco es un componente clave en la implementación de cualquier programa de seguridad de datos, y lo ha sido durante mucho tiempo”, afirmó Gottlieb. “Dada la creciente importancia de la ciberseguridad en las industrias de blockchain y Criptomonedas , deberíamos fomentar el hacking de sombrero blanco transparente como una forma de mejorar todos los sistemas”.

Adams confirmó que una sentencia amplia podría incentivar a las empresas de tecnología financiera y a las plataformas de intercambio de Cripto a tomar medidas drásticas contra los hackers de sombrero blanco, dado que "tienen fuertes incentivos para no ser percibidos como deficientes". Dicho esto, también reconoció que las empresas también podrían querer estar seguras, dado que, al fin y al cabo, se trata del dinero público en línea.

“De todas formas, la seguridad por opacidad no es el camino a seguir”, dijo Adams. “La CFAA es un arma muy pesada”.

Actualización: (7 de octubre de 2020, 18:32 UTC)El director ejecutivo y cofundador de Voatz, Nimit Sawhney, respondió afirmando: "No estamos abogando por limitar la libertad de nadie; decimos que es difícil distinguir entre ataques de buena y de mala fe en medio de una elección en vivo.Por el bien de todos, es mejor colaborar con la organización, ya que los actores maliciosos se disfrazan de buenos con regularidad. Todo intento de acceder o manipular un sistema electoral durante unas elecciones en directo debe considerarse hostil, a menos que se haya otorgado una autorización previa específica. Como alternativa, los investigadores pueden utilizar nuestros sistemas de prueba, disponibles públicamente, que son réplicas fieles de los sistemas en directo en cuanto a funcionalidad. [énfasis suyo]

Sawhney también aclaró que Voatz presentó su escrito amicus curiae porque fue citado falsamente en presentaciones anteriores desde el 8 de julio. Sostuvo que Voatz no presentó ningún informe al FBI ni a ninguna otra autoridad federal, y que "ninguna ONE que participó en nuestros programas de recompensas por errores ha sido reportada ni incluida en ningún boletín de seguridad para clientes".

Sawhney también afirmó que el estudiante de la Universidad de Michigan no participó en el programa de recompensas por errores de Voatz, sino que su acción fue "un intento fallido de manipular un sistema en vivo durante una elección".