Nanawagan si Voatz para sa Mga Paghihigpit sa Independent Cybersecurity Research sa Supreme Court Brief

Nagtalo ang Blockchain voting startup na si Voatz na ang mga bug bounty program tungkol sa cybersecurity ay dapat na patakbuhin sa ilalim ng mahigpit na pangangasiwa sa isang "friend of the court" brief sa harap ng Supreme Court of the United States (SCOTUS).

Tinitimbang ni Voatz noong Huwebes noong Van Buren laban sa Estados Unidos, isang kaso ng Korte Suprema na nagsusuri kung ito ay isang pederal na krimen para sa isang tao na mag-access ng isang computer "para sa isang hindi tamang layunin" kung ang taong iyon ay mayroon nang pahintulot na mag-access ng iba pang mga file sa computer na iyon.

Si Nathan Van Buren, ang nagpetisyon sa kaso, ay isang dating opisyal ng pulisya ng Georgia kung sino ang kinasuhan sa ilalim ng Computer Fraud and Abuse Act (CFAA) matapos maghanap ng plaka para sa isang kakilala. Inaangkin ni Van Buren na ang isang desisyon ng mababang hukuman na nagtataguyod sa kanyang paghatol ay maaaring ituring na "anumang 'walang halaga na paglabag'" ng isang sistema ng kompyuter ay maaaring isang pederal na krimen.

Lumilitaw na lumawak ang saklaw ng kaso, hindi lamang tinutugunan ang mga paglabag, ngunit kung paano mabibigyang-kahulugan ang mismong CFAA. Ang tanong na nakalista sa mga brief ng SCOTUS ay nagbabasa:

“Kung sapat ba ang ebidensya upang itatag na ang petitioner, isang police sarhento, ay lumampas sa kanyang awtorisadong pag-access sa isang protektadong computer upang makakuha ng impormasyon para sa pinansyal na pakinabang, sa paglabag sa 18 U.S.C. 1030(a)(2)(C) at (c)(2)(B)(i), kapag kapalit ng isang pagbabayad ng pera, hinanap niya ang isang partikular na opisyal ng pulis sa ilalim ng kumpidensyal na impormasyon tungkol sa kung ang isang partikular na pulis ay nagpapatupad ng impormasyon tungkol sa isang kumpidensyal na database ng batas.”

Ang U.S., ang sumasagot, ay nagtalo na ang kaso ay "mahinang sasakyan" para sa pagsusuri kung ang CFAA ay masyadong malawak, at sinabi sa maikling salita nito na ang pagsusuri ng SCOTUS ay T kahit na ginagarantiyahan.

Sa maikling salita nito, sinabi ni Voatz na hindi kailangang paliitin ang CFAA, at kailangan ang ilang mga paglabag sa mga computer system. Gayunpaman, pinagtatalunan ng kompanya na ang mga mananaliksik na tumitingin sa mga potensyal na kahinaan ay dapat na partikular na suriin sa mga kumpanyang kanilang sinusuri bago gawin ito, at dapat lamang magpatuloy sa pahintulot mula sa mga kumpanya.

Tingnan din ang: Voatz at Bakit T Namin Mapagkakatiwalaan ang Online Voting

"Ang mga programa ng bug bounty ay lubos na epektibo," isinulat ni Voatz. "Napakalat ang mga ito sa industriya ng Technology , at maging sa labas ng industriyang iyon, ONE survey noong 2019 ang nag-ulat na 42% ng mga kumpanya sa labas ng industriya ng Technology ay nagpapatakbo ng isang crowdsourced cybersecurity program."

Maaaring dumating ang maikling bilang tugon sa ibang isinampa sa pamamagitan ng isang grupo ng mga mananaliksik sa seguridad na nangangatwiran na ang CFAA ay talagang "napakahulugan nang masyadong malawak," na pumipigil sa mga pagsusumikap sa seguridad ng computer. Pinuna ng maikling ito si Voatz kasama ng iba pang mga argumento nito.

Malawak na panuntunan

Kapansin-pansing nahaharap si Voatz sa pagpuna mula sa mga mananaliksik ng cybersecurity, kasama na ni isang pangkat sa MIT na nag-publish ng isang ulat noong Pebrero na nagsasabing ang Voatz ay walang sapat na transparency at ang mga panloob na sistema nito ay nahaharap sa ilang mga kahinaan. Pinagtatalunan ni Voatz ang mga claim sa ulat.

Trail of Bits, isa pang cybersecurity firm na tinapik ni Voatz para magsagawa ng audit ng mga system nito, nakumpirma ang mga claim ng mga mananaliksik ng MIT sa kasunod na ulat.

Direktang nakipagtalo si Voatz sa mga mananaliksik. Late last year, U.S. Attorney Mike Stuart ng Southern District ng West Virginia ay nag-anunsyo na ang Federal Bureau of Investigation ay tumitingin sa "isang hindi matagumpay na pagtatangkang panghihimasok" sa Voatz, na malamang na sanhi ng isang estudyante ng University of Michigan o mga mag-aaral na nakikilahok sa isang kursong pangseguridad.

Sa maikling salita nito, sinabi ni Voatz na ang "hindi pinapayuhan na aktibidad ng mga mag-aaral" ay iniulat sa mga opisyal ng West Virginia dahil hindi makilala ng kumpanya ang pagitan ng kanilang pananaliksik at isang aktwal na pagalit na pag-atake.

"Gayunpaman, anuman ang mga detalye, ang insidente sa West Virginia ay naglalarawan ng pinsala na dulot ng pag-atake, o 'pagsasaliksik,' kritikal na imprastraktura nang walang tamang pag-access o awtorisasyon lalo na sa gitna ng isang halalan," isinulat ni Voatz.

Ang mga hindi nakakahamak na mananaliksik na sumusubok na pumasok sa mga digital na tool ay "nagpapataw ng makabuluhang karagdagang gastos" sa mga organisasyon, sinabi ng legal na maikling, at maaaring makapinsala sa kumpiyansa ng publiko.

Tingnan din ang: 'Snake Oil at Overpriced Junk': Bakit T Inaayos ng Blockchain ang Online Voting

Si Jake Williams, na nagtatag ng Rendition Security, sinabi sa CNET na ang isang "nakararami" ng mga mananaliksik sa cybersecurity ay malamang na walang pahintulot, ibig sabihin, ang suporta ni Voatz para sa isang malawak na CFAA ay "100% na magpapahirap" para sa mga mananaliksik.

Dumating ang brief ni Voatz isang araw pagkatapos nito naglathala ng pahayag ng pahayagan na nagsasabing ginamit ng Michigan Democratic Party ang app nito sa isang kamakailang kumbensyon ng partido noong bumoto para sa ilang posisyon. Ang Michigan Democratic Party ay hindi agad nagbalik ng isang Request para sa komento.

Mga salungat na pananaw

Bukod sa mga argumento ni Voatz, ang maikling nito ay gumagawa ng maraming pagsipi at pag-aangkin na tila kulang sa konteksto.

Sinabi ni Voatz na ito ay ginamit sa 70 halalan, kabilang ang estado at munisipal na halalan, at inaangkin sa maikling salita na ito ay itinuturing na "kritikal na imprastraktura" ng Department of Homeland Security.

Kasama sa mga halalan ang West Virginia (na inihayag noong Marso ito hindi gagamit ng Voatz para sa paparating na halalan nito) at Utah County (na ang klerk at auditor nakatanggap ng $1,500 na donasyon sa kampanya mula sa Overstock CEO na si Jonathan Johnson, na siya ring presidente ng Voatz investor Medici Ventures).

Sinabi ng kumpanya na ito ay nakakatugon sa mga kinakailangan ng Pro V&V, isang pederal na Voting System Test Laboratory, ngunit ayon sa Politico cybersecurity reporter na si Eric Geller, "walang kabuluhan ang ulat” dahil ang mga pamantayan ay itinakda taon na ang nakalilipas at ang pagsusuri ay hindi layunin.

Si Eddie Perez, ang pandaigdigang direktor ng pag-unlad ng teknolohiya sa Open Source Election Technology Institute, ay sumulat na ang Election Assistance Commission (EAC), ang pederal na entity na nag-accredit sa Pro V&V, T wala talagang anumang pambansang pamantayan para sa malayuang sistema ng pagboto.

Tingnan din ang: Hinahayaan ng Hardware Wallet Flaw ang mga Attacker na Humawak ng Crypto para sa Ransom Nang Hindi Hinahawakan ang Device

Ang EAC mismo naglabas ng pahayag na nagsasabing "ang mga pagsubok na ulat na ito ay hindi dapat tingnan bilang implicit na pag-apruba ng alinman sa [voting system test laboratories] o ng EAC na ang mga nasuri na sistema ay sumusunod sa [voluntary voting system guidelines] standard o katumbas ng isang EAC-certified voting system."

"Sa kasalukuyan ang mga programang ito ay inayos ng Voatz mismo, ngunit sa nakaraan ang ilan ay isinasagawa sa pamamagitan ng isang vendor tulad ng HackerOne Inc.," sabi ng maikling. Hindi nito binanggit ang HackerOne na iyon naputol ang ugnayan kasama si Voatz noong Marso.

Higit pa, ang tagapagtatag at CTO ng HackerOne Sabi ni Alex Rice sa Twitter na "sinusuportahan namin ang magkasalungat na argumento na ginawa ng" Electronic Frontier Foundation (EFF), na nanawagan para sa pagpapaliit ng CFAA, hindi tulad ng Voatz, na binanggit ang HackerOne sa maikling salita.

Katulad nito, si Casey Ellis, tagapagtatag at CTO ng crowdsourced security platform na Bugcrowd, na binanggit ni Voatz nang ilang beses, nagsulat din na nag-sign off siya at sinuportahan ang brief ng EFF, at hindi ang kay Voatz.

Parehong sinabi nina Rice at Ellis na hindi sila nakipag-ugnayan ni Voatz bago ang pagsasampa ng brief.