Votato negativamente: i ricercatori di sicurezza criticano Voatz per la sua posizione sugli hacker white-hat

Un caso pendente presso la Corte Suprema degli Stati Uniti ha il potenziale per cambiare radicalmente l'hacking white-hat. Il caso LOOKS il Computer Fraud and Abuse Act (CFAA) e potrebbe determinare se i ricercatori di sicurezza in buona fede, noti anche come hacker white-hat, potrebbero essere soggetti a sanzioni penali per aver ricercato vulnerabilità nei sistemi.

Se si decidesse di adottare un'interpretazione ampia del CFAA, ciò avrebbe un impatto non solo Tecnologie blockchain, sugli scambi e Cripto, ma sull'intero campo della ricerca sulla sicurezza.

Poi è intervenuta la società di voto blockchain Voatz.

Van Buren contro gli Stati Uniti

La Corte Suprema sta attualmente esaminando il caso Van Buren contro Stati Uniti, in cui un ex agente di polizia della Georgia è stato condannato ai sensi del CFAA percercare una targain un database delle forze dell'ordine in cambio di denaro. L'accusa ai sensi del CFAA era incentrata sulla definizione di legge di cosa "supera l'accesso autorizzato", che è notoriamente vaga.

La CFAA è una legge anti-hacking entrata in vigore nel 1986. Se la corte si schierasse con un'interpretazione ampia della legge (come sostiene il governo), ciò potrebbe avere un effetto paralizzante su importanti ricerche sulla sicurezza, secondo gli esperti.

Un’interpretazione ampia consentirebbe alle aziende di stabilire cosa significhi “accesso autorizzato” nei loro termini di servizio, anziché implementare una barriera tecnica (come una password) in un sistema che avviserebbe i ricercatori della sicurezza quando hanno esagerato.

Entra Voatz

Voatz è stato ripetutamente oggetto di ricerche critiche sulla sicurezza,che CoinDesk ha già documentato in precedenza. In ONE caso, gli studenti del MIT hanno fatto reverse engineering dell'app Voatz e hanno trovato vulnerabilità di sicurezza. Voatz ha inizialmente confutato queste scoperte, sebbene alcuni dei problemi siano stati in seguito confermati da Trail of Bits, un'azienda di sicurezza assunta da Voatz. L'azienda è arrivata persino al punto di segnalare lo studente ricercatore di sicurezza alle autorità statali per presunte "attività non autorizzate" ai sensi del CFAA.

L'Electronic Frontier Foundation (EFF) ha criticato Voatz per nome in unmemoria depositata presso il tribunale, come esempio di un'azienda che adotta un approccio aggressivo nei confronti dei ricercatori di sicurezza in buona fede. Voatz ha anche segnalato uno studente dell'Università del Michigan al Federal Bureau of Investigation "perché lo studente ha condotto una ricerca sull'app di voto mobile di Voatz per un corso di sicurezza elettorale universitario", secondo il briefing.

Da allora Voatz ha depositato un amicus curiae nel caso Van Buren (di cui non è parte) sostenendo la necessità di mantenere ampio l'ambito del CFAA. Ha suggerito che gli hacker white-hat dovrebbero condurre le loro indagini sulle potenziali vulnerabilità solo dopo aver avvisato l'azienda che stanno valutando e averne ricevuto la benedizione.

Tali pratiche non sono comuni nella comunità della sicurezza, sebbene gli hacker white-hat avvisino le aziende delle vulnerabilità quando vengono rilevate.

I ricercatori della sicurezza rispondono

In risposta alla denuncia di Voatz, una schiera di ricercatori e organizzazioni sulla sicurezzaha scritto una lettera apertaper correggere pubblicamente il resoconto.

La lettera è stata guidata daCavo Jack, ONE dei principali hacker etici al mondo. Cable è anche uno studente universitario alla Stanford University che "sta facendo un lavoro incredibile" nel campo della sicurezza informatica e delle elezioni, secondo Reed Loden, Chief Open Source Security Evangelist presso HackerOne, una piattaforma che in precedenza aveva tagliato i legami con Voatz e il cui fondatore era uno dei firmatari della lettera. È stata la prima volta che HackerOne ha rimosso un'azienda che l'ha utilizzata per ospitare un programma bug-bounty.

"Volevamo chiarire che la posizione di Voatz non è supportata dalla comunità dei ricercatori sulla sicurezza informatica e sulla sicurezza, sottolineare che i ricercatori sulla sicurezza contribuiscono notevolmente alla sicurezza della nostra società digitale e sottolineare che un'interpretazione ampia del CFAA, che è ciò che Voatz sta sostenendo, minaccia le attività di ricerca sulla sicurezza a livello nazionale", ha affermato Loden in un'e-mail.

La lettera espone i modi in cui la presentazione di Voatz era presumibilmente egoistica e un indicatore di come aziende come Voatz potrebbero utilizzare un'interpretazione ampia del CFAA per reprimere ulteriormente i ricercatori di sicurezza critici.

Voatz non ha risposto alle richieste di commento di CoinDesk.

L’estensione dell’“accesso autorizzato”

Il Center for Democracy and Technology (CDT) è ONE dei firmatari della lettera aperta. Stan Adams, vice consigliere generale del CDT e consigliere di Open Internet, ha suddiviso il caso in due argomenti in una telefonata con CoinDesk.

Secondo Adams, se venisse presa una decisione ampia sulla CFAA, i ricercatori sulla sicurezza verrebbero probabilmente scoraggiati dal condurre ricerche per paura di violare la parte della legge che riguarda “l’accesso eccedente l’autorizzazione”.

Un'interpretazione ampia consentirebbe alle aziende di stabilire cosa potrebbe significare "accesso autorizzato" nei loro termini di servizio, che possono essere facilmente modificati e alterati, esponendo i ricercatori della sicurezza a maggiori rischi.

"Leggi vaghe come la CFAA possono uccidere la ricerca sulla sicurezza", ha affermato Adams. "Il governo degli Stati Uniti vuole che l'accesso possa essere limitato da cose come Termini di utilizzo e altre espressioni scritte di limitazioni di accesso, piuttosto che da ciò che preferiremmo, ovvero una sorta di barriera tecnica".

L'idea è che un ricercatore, se governato da una barriera tecnica come una password o un dispositivo di crittografia, saprebbe di aver raggiunto i limiti del suo accesso autorizzato. Stabilire i limiti dell'accesso autorizzato in termini di servizio difficili da trovare e ancora più difficili da leggere lascerebbe i ricercatori della sicurezza a indovinare e creerebbe un effetto agghiacciante sulla ricerca in generale, ha aggiunto.

Un effetto agghiacciante sui ricercatori di fintech e Cripto ?

L'impatto sulla ricerca T riguarda solo aziende come Voatz, anche se ONE difficile sostenere che un'azienda che si occupa di voto digitale T meriti un controllo approfondito.

La tecnologia in generale ne risentirebbe. Matt Hill, CEO della startup open source per la privacy e la tecnologia Start9 Labs, ha affermato che l'hacking white-hat è fondamentale per qualsiasi tipo di tecnologia. Senza di esso, semplici bug del software potrebbero trasformarsi in infezioni sistemiche, sfruttabili da malintenzionati. Il mondo Criptovaluta ha visto tali malintenzionati svuotare gli exchange e rubare le criptovalute delle persone.

"Un'organizzazione onesta determinata a creare prodotti sicuri incoraggerà gli attacchi white-hat, indipendentemente da quanto negativi possano essere i risultati, perché è l'unico modo per rendere sicuro il proprio sistema", ha affermato Hill.

"Un'organizzazione che cerca di vendere un pezzo di argilla confezionato come sicurezza, noto anche come vaporware o truffa, farà tutto il possibile per prevenire gli attacchi, per mantenere l'illusione interna e l'illusione esterna il più a lungo possibile".

Un porto sicuro per i white hat

Jason Gottlieb, partner di Morrison Cohen LLP e presidente del White Collar and Regulatory Enforcement Practice Group, ha affermato che, a suo avviso, finché il Congresso non modificherà il CFAA per chiarire cosa si intende per "accesso non autorizzato", il CFAA dovrebbe essere interpretato in modo da fornire un porto sicuro per l'hacking white-hat.

Per essere chiari, ha affermato che l'hacking deve essere veramente white hat e che l'onere di dimostrare che le loro intenzioni erano quelle di aiutare e non di danneggiare dovrebbe ricadere sui white hat.

"L'hacking white-hat è una componente chiave di qualsiasi implementazione di programma di sicurezza dei dati, e lo è da molto tempo", ha affermato Gottlieb. "Data la crescente importanza della sicurezza informatica nei settori blockchain e Criptovaluta , dovremmo incoraggiare l'hacking white-hat trasparente come un modo per migliorare tutti i sistemi".

Adams ha confermato che una sentenza ampia potrebbe incoraggiare le aziende fintech e gli exchange Cripto a colpire duramente gli hacker white-hat, dato che "hanno forti incentivi a non essere percepiti come imperfetti". Detto questo, ha anche riconosciuto che le aziende potrebbero anche voler essere sicure, dato che alla fine sono soldi pubblici in circolazione.

"In ogni caso, la sicurezza tramite l'oscurità non è la strada giusta", ha detto Adams. "Il CFAA è un martello piuttosto pesante da maneggiare".

Aggiornamento: (7 ottobre 2020, 18:32 UTC)Il CEO e co-fondatore di Voatz, Nimit Sawhney, ha risposto affermando: "Non stiamo sostenendo di limitare la libertà di nessuno: stiamo dicendo che è difficile distinguere tra attacchi in buona fede e in malafede nel bel mezzo di un’elezione in corso.Per il bene di tutti, è meglio collaborare con l'organizzazione, poiché i cattivi attori si travestono regolarmente da buoni attori. Tutti i tentativi di entrare o manomettere un sistema elettorale durante un'elezione in diretta devono essere trattati come ostili, a meno che non sia stata concessa un'autorizzazione preventiva specifica. In alternativa, i ricercatori possono utilizzare i nostri sistemi di test disponibili al pubblico, che sono vere repliche di sistemi live in termini di funzionalità." [enfasi sua]

Sawhney ha anche chiarito che Voatz ha depositato la sua memoria di amicus curiae perché era stata "citata falsamente in precedenti documenti dell'8 luglio". Ha sostenuto che Voatz non ha fatto alcun rapporto all'FBI o ad altre autorità federali e che " ONE che ha partecipato ai nostri programmi bug bounty è mai stato segnalato o incluso in alcun bollettino di sicurezza per i clienti".

Sawhney ha anche affermato che lo studente dell'Università del Michigan non partecipava al programma bug bounty di Voatz; piuttosto, la sua azione era "un tentativo fallito di manomettere un sistema attivo durante un'elezione".