Voatz chiede restrizioni alla ricerca indipendente sulla sicurezza informatica nella memoria della Corte Suprema

In una memoria "amico della corte" presentata alla Corte Suprema degli Stati Uniti (SCOTUS), la startup di voto basato sulla blockchain Voatz ha sostenuto che i programmi di bug bounty riguardanti la sicurezza informatica dovrebbero essere gestiti sotto stretta supervisione.

Voatz ha pesato giovedìVan Buren contro Stati Uniti, un caso della Corte Suprema che esamina se sia un reato federale per qualcuno accedere a un computer "per uno scopo improprio" se quella persona ha già l'autorizzazione ad accedere ad altri file su quel computer.

Nathan Van Buren, il ricorrente nel caso, è un ex agente di polizia della Georgiachi è stato accusatosotto ilLegge sulla frode e l'abuso informatico(CFAA) dopo aver cercato la targa di un conoscente. Van Buren sostiene che una sentenza di tribunale inferiore che ha confermato la sua condanna potrebbe essere interpretata come se significasse che "qualsiasi 'violazione banale'" di un sistema informatico potrebbe essere un crimine federale.

L'ambito del caso sembra essersi ampliato, affrontando non solo le violazioni, ma anche il modo in cui la CFAA stessa può essere interpretata. La domanda elencata nelle memorie della Corte Suprema recita:

"Se le prove fossero sufficienti per stabilire che il ricorrente, un sergente di polizia, ha superato il suo accesso autorizzato a un computer protetto per ottenere informazioni a scopo di lucro, in violazione di 18 U.S.C. 1030(a)(2)(C) e (c)(2)(B)(i), quando in cambio di un pagamento in denaro, ha cercato in un database riservato delle forze dell'ordine informazioni sul fatto che una determinata persona fosse un agente di polizia sotto copertura".

Gli Stati Uniti,il rispondente, ha sostenuto che il caso è un “mezzo inadeguato” per esaminare se il CFAA sia troppo ampio e ha affermato nella sua memoria che la revisione della Corte Suprema T è nemmeno giustificata.

Nel suo brief, Voatz ha affermato che il CFAA non ha bisogno di essere ristretto e che alcune violazioni dei sistemi informatici sono necessarie. Tuttavia, lo studio sostiene che i ricercatori che esaminano potenziali vulnerabilità dovrebbero verificare specificamente con le aziende che stanno valutando prima di farlo e dovrebbero procedere solo con l'autorizzazione delle aziende.

Vedi anche:Voatz e perché T possiamo ancora fidarci del voto online

"I programmi bug bounty sono altamente efficaci", ha scritto Voatz. "Sono estremamente diffusi nel settore Tecnologie e anche al di fuori di tale settore, ONE sondaggio del 2019 ha riportato che il 42% delle aziende al di fuori del settore Tecnologie stava gestendo un programma di sicurezza informatica basato sul crowdsourcing".

Il brief può arrivare in rispostain un altro campoda un gruppo di ricercatori sulla sicurezza che sostengono che il CFAA è stato effettivamente "interpretato in modo troppo ampio", il che sta frenando gli sforzi di sicurezza informatica. Questo rapporto critica Voatz tra le sue altre argomentazioni.

Regole generali

Voatz ha dovuto affrontare in particolare le critiche dei ricercatori sulla sicurezza informatica, tra cui:un team al MITche ha pubblicato un rapporto a febbraio sostenendo che Voatz non aveva sufficiente trasparenza e che i suoi sistemi interni presentavano una serie di vulnerabilità. Voatz ha contestato le affermazioni nel rapporto.

Trail of Bits, un'altra azienda di sicurezza informatica scelta da Voatz per condurre un audit dei suoi sistemi,ha confermato le affermazioni dei ricercatori del MITin un rapporto successivo.

Voatz si è scontrato anche direttamente con i ricercatori.Verso la fine dell'anno scorso, il procuratore degli Stati Uniti Mike Stuart del distretto meridionale della Virginia Occidentale ha annunciato che l'FBI stava indagando su "un tentativo di intrusione non riuscito" a Voatz, probabilmente causato da uno studente o da studenti dell'Università del Michigan che partecipavano a un corso di sicurezza.

Nel suo rapporto, Voatz ha affermato che “l’attività sconsiderata degli studenti” è stata segnalata ai funzionari della Virginia Occidentale perché la società non è riuscita a distinguere tra la loro ricerca e un vero e proprio attacco ostile.

“Indipendentemente dai particolari, tuttavia, l’incidente della Virginia Occidentale illustra il danno causato dall’attacco o dalla “ricerca” di infrastrutture critiche senza un accesso o un’autorizzazione adeguati, soprattutto nel bel mezzo di un’elezione”, ha scritto Voatz.

Secondo la nota legale, i ricercatori non malintenzionati che tentano di accedere agli strumenti digitali “impongono costi aggiuntivi significativi” alle organizzazioni e potrebbero danneggiare la fiducia del pubblico.

Vedi anche:"Olio di serpente e spazzatura troppo costosa": perché la blockchain T risolve il problema del voto online

Jake Williams, fondatore di Rendition Security,ha detto CNETche la “vasta maggioranza” dei ricercatori sulla sicurezza informatica probabilmente non ha l’autorizzazione, il che significa che il supporto di Voatz per un ampio CFAA “renderebbe il tutto più difficile” per i ricercatori.

Il briefing di Voatz arriva un giorno dopoha pubblicato un comunicato stampa sostenendo che il Partito Democratico del Michigan ha utilizzato la sua app durante una recente convention del partito quando ha votato per una serie di posizioni. Il Partito Democratico del Michigan non ha immediatamente risposto a una Request di commento.

Opinioni contrarie

A parte le argomentazioni di Voatz, la sua memoria contiene una serie di citazioni e affermazioni che sembrano prive di contesto.

Voatz afferma che è stato utilizzato in 70 elezioni, tra cui elezioni statali e comunali, e afferma nella memoria che è considerato "infrastruttura critica" dal Dipartimento della Sicurezza Interna.

Le elezioni includono la Virginia Occidentale (che ha annunciato a marzo chenon userei Voatzper le prossime elezioni) e la contea di Utah (il cui impiegato e revisore dei contiha ricevuto una donazione di $ 1.500 per la campagnadal CEO di Overstock Jonathan Johnson, che è anche presidente dell'investitore di Voatz Medici Ventures).

La società ha affermato di soddisfare i requisiti di Pro V&V, un laboratorio federale di test del sistema di voto, ma secondo il reporter di sicurezza informatica di Politico Eric Geller, "il rapporto non ha senso” perché gli standard sono stati stabiliti anni fa e la valutazione non è stata oggettiva.

Eddie Perez, direttore globale dello sviluppo tecnologico presso l'Open Source Election Tecnologie Institute, ha scritto che l'Election Assistance Commission (EAC), l'ente federale che ha accreditato Pro V&V, in realtà T ha standard nazionaliper sistemi di voto a distanza.

Vedi anche:La falla del portafoglio hardware consente agli aggressori di trattenere le Cripto per ottenere un riscatto senza toccare il dispositivo

L'EAC stessaha rilasciato una dichiarazioneaffermando che "questi rapporti di prova non devono essere considerati come un'approvazione implicita da parte dei [laboratori di prova del sistema di voto] o dell'EAC che i sistemi valutati sono conformi allo standard [linee guida del sistema di voto volontario] o sono equivalenti a un sistema di voto certificato dall'EAC".

"Attualmente questi programmi sono organizzati dalla stessa Voatz, ma in passato alcuni sono stati condotti tramite un fornitore come HackerOne Inc.", si legge nel brief. Non si menziona che HackerOnelegami recisicon Voatz a marzo.

Inoltre, il fondatore e CTO di HackerOneAlex Rice ha detto su Twitterche “sosteniamo le argomentazioni opposte avanzate” dalla Electronic Frontier Foundation (EFF), che chiede un restringimento del CFAA, a differenza di Voatz, che ha citato HackerOne nella memoria.

Allo stesso modo, Casey Ellis, fondatore e CTO della piattaforma di sicurezza crowdsourcing Bugcrowd, citata più volte da Voatz,ha anche scrittoche ha firmato e sostenuto il brief dell’EFF, e non quello di Voatz.

Sia Rice che Ellis hanno affermato che Voatz non li ha contattati prima di presentare la memoria.