Na-downvoted: Sinampal ng mga Security Researcher si Voatz dahil sa Stance sa mga White-Hat Hacker

Ang isang nakabinbing kaso ng Korte Suprema ng US ay may potensyal na baguhin sa panimula ang white-hat hacking. Ang kaso LOOKS sa Computer Fraud and Abuse Act (CFAA) at maaaring matukoy kung ang mga mananaliksik ng seguridad na may mabuting pananampalataya, na kilala rin bilang mga hacker ng white-hat, ay maaaring sumailalim sa mga kriminal na parusa para sa pagsasaliksik ng mga kahinaan sa mga system.

Kung ang isang malawak na interpretasyon ng CFAA ay napagpasyahan, ito ay makakaapekto hindi lamang sa Technology ng blockchain, palitan, at Crypto, ngunit sa larangan ng pananaliksik sa seguridad sa kabuuan.

At pagkatapos ang blockchain voting company na si Voatz ay sumabay sa diskurso.

Van Buren laban sa Estados Unidos

Kasalukuyang dinidinig ng Korte Suprema ang Van Buren v. United States, kung saan ang isang dating opisyal ng Georgia na pulis ay nahatulan sa ilalim ng CFAA para sa naghahanap ng plaka sa isang database ng pagpapatupad ng batas kapalit ng pera. Ang singil sa ilalim ng CFAA ay nakasentro sa kahulugan ng batas kung ano ang "higit sa awtorisadong pag-access," na kilalang-kilala na malabo.

Ang CFAA ay isang batas laban sa pag-hack na nagkabisa noong 1986. Kung ang hukuman ay pumanig sa malawak na interpretasyon ng batas (tulad ng pinagtatalunan ng gobyerno) maaari itong magkaroon ng nakakatakot na epekto sa mahalagang pananaliksik sa seguridad, ayon sa mga eksperto.

Ang isang malawak na interpretasyon ay magbibigay-daan sa mga kumpanya na ilatag kung ano ang ibig sabihin ng "awtorisadong pag-access" sa kanilang mga tuntunin ng serbisyo, sa halip na magpatupad ng isang teknikal na hadlang (tulad ng isang password) sa isang sistema na mag-aalerto sa mga mananaliksik ng seguridad kapag sila ay lumayo na.

Ipasok si Voatz

Si Voatz ay paulit-ulit na naging paksa ng kritikal na pananaliksik sa seguridad, na dati nang naidokumento ng CoinDesk . Sa ONE pagkakataon, ni-reverse-engineer ng mga mag-aaral ng MIT ang Voatz app at nakakita ng mga kahinaan sa seguridad. Una nang pinabulaanan ni Voatz ang mga natuklasang ito, kahit na ang ilan sa mga isyu ay nakumpirma sa kalaunan ng Trail of Bits, isang security firm na inupahan ni Voatz. Ang kumpanya ay nagpunta pa hanggang sa i-refer ang student security researcher sa mga awtoridad ng estado para sa di-umano'y "hindi awtorisadong aktibidad" sa ilalim ng CFAA.

Pinuna ng Electronic Frontier Foundation (EFF) si Voatz sa pangalan sa isang maikling isinampa sa korte, bilang isang halimbawa ng isang kumpanya na nagsasagawa ng isang agresibong diskarte sa mga mananaliksik sa seguridad na may mabuting pananampalataya. Iniulat din ni Voatz ang isang estudyante ng University of Michigan sa Federal Bureau of Investigation "dahil ang mag-aaral ay nagsagawa ng pananaliksik sa mobile voting app ng Voatz para sa isang undergraduate na kurso sa seguridad sa halalan," ayon sa maikling.

Mula noon ay naghain si Voatz ng amicus brief sa kaso ng Van Buren (kung saan hindi ito partido) na gumagawa ng kaso para sa pagpapanatiling malawak ang saklaw ng CFAA. Iminungkahi nito na ang mga hacker na may puting sumbrero ay dapat magsagawa ng kanilang mga pagsisiyasat sa mga potensyal na kahinaan kapag naalerto na nila ang kumpanyang kanilang sinusuri at natanggap ang basbas nito.

Ang ganitong mga kasanayan ay hindi karaniwan sa komunidad ng seguridad, kahit na ang mga hacker na may puting sumbrero ay nag-aalerto sa mga kumpanya sa mga kahinaan kung sila ay natagpuan.

Nagpalakpakan ang mga mananaliksik sa seguridad

Bilang tugon sa paghahain ni Voatz, isang grupo ng mga mananaliksik at organisasyon ng seguridad nagsulat ng isang bukas na liham upang iwasto sa publiko ang rekord.

Ang sulat ay pinangunahan ni Jack Cable, ONE sa mga nangungunang etikal na hacker sa mundo. Si Cable ay isang undergraduate din sa Stanford University na "gumagawa ng hindi kapani-paniwalang trabaho" sa cybersecurity at espasyo ng mga halalan, ayon kay Reed Loden, Chief Open Source Security Evangelist sa HackerOne, isang platform na dating pinutol ang ugnayan kay Voatz, at ang tagapagtatag ay isang signatory sa sulat. Ito ang unang pagkakataon na inalis ng HackerOne ang isang kumpanya na ginamit ito upang mag-host ng isang bug-bounty program.

"Nais naming linawin na ang posisyon ni Voatz ay hindi suportado ng komunidad ng cybersecurity at security researcher, bigyang-diin na malaki ang kontribusyon ng mga mananaliksik sa seguridad sa seguridad ng aming digital na lipunan, at binibigyang-diin na ang isang malawak na interpretasyon ng CFAA, na siyang itinataguyod ni Voatz, ay nagbabanta sa mga aktibidad sa pananaliksik sa seguridad sa isang pambansang antas," sabi ni Loden sa isang email.

Ang liham ay naglatag ng mga paraan kung saan ang paghahain ni Voatz ay diumano'y nagseserbisyo sa sarili, at isang tagapagpahiwatig kung paano maaaring gumamit ang mga kumpanya tulad ng Voatz ng malawak na interpretasyon ng CFAA upang higit pang sugpuin ang mga kritikal na mananaliksik sa seguridad.

Hindi tumugon si Voatz sa mga kahilingan ng CoinDesk para sa komento.

Ang lawak ng 'awtorisadong pag-access'

Ang Center for Democracy and Technology's (CDT) ay ONE sa mga lumagda sa bukas na liham. Si Stan Adams, ang deputy general counsel ng CDT at Open Internet counsel, ay binasag ang kaso sa dalawang argumento sa isang tawag sa telepono sa CoinDesk.

Ayon kay Adams, kung ang isang malawak na desisyon ay ginawa sa CFAA, ang mga mananaliksik sa seguridad ay malamang na mawalan ng loob na magsagawa ng pananaliksik dahil sa takot na lumabag sa bahagi ng batas na "lumampas sa awtorisadong pag-access".

Ang isang malawak na interpretasyon ay magbibigay-daan sa mga kumpanya na ilatag kung ano ang maaaring ibig sabihin ng "awtorisadong pag-access" sa kanilang mga tuntunin ng serbisyo, na madaling mabago at mabago, na naglalagay sa mga mananaliksik ng seguridad sa mas malaking panganib.

"Ang mga hindi malinaw na batas tulad ng CFAA ay maaaring pumatay ng pananaliksik sa seguridad," sabi ni Adams. "Gusto ng gobyerno ng Estados Unidos na ang pag-access ay malilimitahan ng mga bagay tulad ng mga Terms of Use at iba pang nakasulat na pagpapahayag ng mga limitasyon sa pag-access, kaysa sa kung ano ang gusto namin, na isang uri ng teknikal na hadlang."

Ang ideya ay ang isang mananaliksik, kung pinamamahalaan ng isang teknikal na hadlang tulad ng isang password o aparato sa pag-encrypt, ay malalaman na naabot na nila ang mga limitasyon ng kanilang awtorisadong pag-access. Ang paglalatag ng mga limitasyon ng awtorisadong pag-access sa isang mahirap mahanap at mas mahirap basahin na mga tuntunin ng serbisyo ay mag-iiwan sa mga mananaliksik ng seguridad na hulaan at lumikha ng isang nakakapanghinayang epekto sa pananaliksik sa pangkalahatan, idinagdag niya.

Isang nakakapanghinayang epekto sa mga mananaliksik ng fintech at Crypto ?

Ang epekto sa pananaliksik ay T lamang nalalapat sa mga kumpanya tulad ng Voatz, kahit na ang ONE ay mahirap na magtaltalan na ang isang kumpanya na nakikibahagi sa digital na pagboto ay T ginagarantiyahan ang matinding pagsisiyasat.

Ang teknolohiya sa buong board ay maaapektuhan. Sinabi ni Matt Hill, CEO ng open-source, privacy-tech na startup na Start9 Labs, na ang pag-hack ng white-hat ay susi para sa anumang uri ng teknolohiya. Kung wala ito, ang mga simpleng software bug ay maaaring maging mga sistematikong impeksyon, na maaaring pagsamantalahan ng mga malisyosong aktor. Nakita ng mundo ng Cryptocurrency ang gayong mga aktor na walang laman na pagpapalitan at ninakaw ang mga cryptocurrencies ng mga tao.

"Ang isang matapat na organisasyon na determinadong bumuo ng mga secure na produkto ay maghihikayat ng mga pag-atake ng white-hat, gaano man kalubha ang mga resulta, dahil iyon ang tanging paraan para maging secure ang kanilang system," sabi ni Hill.

"Ang isang organisasyong sumusubok na magbenta ng isang bukol ng clay na nakabalot bilang seguridad, na kilala rin bilang vaporware, o isang scam, ay gagawin ang lahat upang maiwasan ang mga pag-atake - upang mapanatili ang panloob na maling akala at panlabas na ilusyon hangga't maaari."

Isang white-hat safe harbor

Sinabi ni Jason Gottlieb, isang kasosyo sa Morrison Cohen LLP at Tagapangulo, White Collar at Regulatory Enforcement Practice Group, na sa kanyang pananaw, hanggang sa amyendahan ng Kongreso ang CFAA upang linawin kung ano ang ibig sabihin ng "hindi awtorisadong pag-access", ang CFAA ay dapat bigyang-kahulugan sa paraang nagbibigay ng ligtas na daungan para sa pag-hack ng white-hat.

Upang maging malinaw, sinabi niya na ang pag-hack ay dapat na tunay na puting sumbrero at ang pasanin ay dapat na nasa puting sumbrero upang ipakita na ang kanilang mga intensyon ay tumulong sa halip na makapinsala.

"Ang pag-hack ng white-hat ay isang mahalagang bahagi ng anumang pagpapatupad ng programa sa seguridad ng data, at ito ay sa napakatagal na panahon," sabi ni Gottlieb. "Dahil sa pagtaas ng kahalagahan ng cybersecurity sa blockchain at Cryptocurrency industriya, dapat nating hikayatin ang transparent white hat hacking bilang isang paraan upang gawing mas mahusay ang lahat ng system."

Kinumpirma ni Adams na ang isang malawak na desisyon ay maaaring hikayatin ang mga kumpanya ng fintech at mga palitan ng Crypto na ibagsak nang husto ang mga hacker na may puting sumbrero, dahil "mayroon silang malakas na mga insentibo upang hindi mapagtanto bilang mga depekto." Iyon ay sinabi, nakilala din niya na ang mga kumpanya ay maaari ring nais na maging ligtas, dahil ito ay pera ng publiko sa linya sa pagtatapos ng araw.

"Anuman, ang seguridad sa pamamagitan ng kalabuan ay hindi ang daan pasulong," sabi ni Adams. "Ang CFAA ay isang medyo mabigat na martilyo upang hawakan."

Update: (Oktubre 7, 2020, 18:32 UTC)Ang CEO at co-founder ng Voatz, Nimit Sawhney, ay tumugon, na nagsasabi, "Hindi kami nagsusulong na limitahan ang kalayaan ng sinuman - sinasabi namin na mahirap makilala sa pagitan ng mabuti at masamang pag-atake sa gitna ng isang live na halalan. Para sa kapakanan ng lahat, mas mabuting makipagtulungan sa organisasyon dahil ang mga masasamang aktor ay regular na nagbabalatkayo bilang mabubuting aktor. Ang lahat ng mga pagtatangka na pumasok o pakialaman ang isang sistema ng halalan sa panahon ng isang live na halalan ay kailangang ituring bilang pagalit maliban kung ang paunang awtorisasyon ay partikular na ipinagkaloob. Bilang kahalili, maaaring gamitin ng mga mananaliksik ang aming mga sistema ng pagsubok na available sa publiko na mga tunay na replika ng mga live na system sa mga tuntunin ng functionality." [pagbibigay-diin sa kanya]

Nilinaw din ni Sawhney na nag-file si Voatz ng amicus brief nito dahil ito ay "falsely cited in previous filings from July 8." Nanindigan siya na si Voatz ay walang ginawang ulat sa FBI o anumang iba pang pederal na awtoridad, at na "walang ONE lumahok sa aming mga bug bounty program ang naiulat o kasama sa anumang mga bulletin ng seguridad ng kliyente."

Iginiit din ni Sawhney na ang estudyante ng University of Michigan ay hindi kalahok sa programa ng Voatz bug bounty; sa halip na ang kanyang aksyon ay "isang nabigong pagtatangka na pakialaman ang isang live na sistema sa panahon ng isang halalan."