Воатц призывает к ограничениям независимых исследований в области кибербезопасности в кратком изложении Верховного суда

Стартап Voatz, занимающийся голосованием на блокчейне, в своем докладе Верховному суду США (SCOTUS) утверждал, что программы вознаграждения за обнаруженные ошибки, связанные с кибербезопасностью, должны осуществляться под строгим надзором.

Воатц взвесил в четвергВан Бюрен против Соединенных Штатов, дело Верховного суда, в котором рассматривается вопрос о том, является ли федеральным преступлением получение кем-либо доступа к компьютеру «в ненадлежащих целях», если у этого человека уже есть разрешение на доступ к другим файлам на этом компьютере.

Натан Ван Бюрен, заявитель по этому делу, является бывшим офицером полиции Джорджии.кому было предъявлено обвинениеподЗакон о компьютерном мошенничестве и злоупотреблениях(CFAA) после поиска номерного знака для знакомого. Ван Бюрен утверждает, что решение суда низшей инстанции, подтвердившее его обвинительный приговор, можно было бы истолковать так, что «любое «незначительное нарушение» компьютерной системы может быть федеральным преступлением.

Масштаб дела, по-видимому, расширился, затрагивая не только нарушения, но и то, как можно интерпретировать сам CFAA. Вопрос, указанный в сводках SCOTUS, гласит:

«Были ли доказательства достаточными для установления того, что заявитель, сержант полиции, превысил свои полномочия по доступу к защищенному компьютеру с целью получения информации с целью получения финансовой выгоды, нарушив 18 U.S.C. 1030(a)(2)(C) и (c)(2)(B)(i), когда в обмен на денежный платеж он искал в конфиденциальной базе данных правоохранительных органов информацию о том, является ли конкретное лицо тайным сотрудником полиции».

США,ответчик, утверждал, что это дело является «плохим средством» для изучения вопроса о том, является ли CFAA слишком широким, и в своем кратком изложении заявил, что рассмотрение SCOTUS даже T является оправданным.

В своем кратком изложении Voatz заявил, что CFAA не нужно сужать, и некоторые нарушения компьютерных систем необходимы. Однако фирма утверждает, что исследователи, изучающие потенциальные уязвимости, должны специально консультироваться с компаниями, которые они оценивают, прежде чем делать это, и должны действовать только с разрешения компаний.

Смотрите также:Voatz и почему мы пока T можем доверять онлайн-голосованию

«Программы вознаграждения за обнаружение ошибок очень эффективны», — написал Воатц. «Они чрезвычайно широко распространены в Технологии отрасли, и даже за ее пределами, ONE опрос, проведенный в 2019 году, показал, что 42% компаний за пределами Технологии отрасли используют краудсорсинговую программу кибербезопасности».

Краткое изложение может прийти в ответв другое полегруппой исследователей безопасности, которые утверждают, что CFAA действительно «было истолковано слишком широко», что сдерживает усилия по обеспечению компьютерной безопасности. В этой краткой сводке критикуется Voatz среди других его аргументов.

Общие правила

Voatz особенно часто подвергался критике со стороны исследователей кибербезопасности, в том числекоманда в MITкоторый опубликовал отчет в феврале, утверждая, что Voatz не обладает достаточной прозрачностью и что его внутренние системы сталкиваются с рядом уязвимостей. Voatz оспорил утверждения в отчете.

Trail of Bits, еще одна фирма по кибербезопасности, к которой Voatz обратилась для проведения аудита своих систем,подтвердили заявления исследователей Массачусетского технологического институтав последующем отчете.

Воатц также напрямую боролся с исследователями.В конце прошлого года, федеральный прокурор Майк Стюарт из Южного округа Западной Вирджинии объявил, что Федеральное бюро расследований расследует «неудачную попытку вторжения» в Воатц, которая, вероятно, была совершена студентом или студентами Мичиганского университета, проходившими курс по безопасности.

В своем кратком изложении компания Voatz заявила, что о «необдуманных действиях студентов» было сообщено должностным лицам Западной Вирджинии, поскольку компания не смогла отличить их исследование от реальной враждебной атаки.

«Однако, независимо от подробностей, инцидент в Западной Вирджинии иллюстрирует вред, причиняемый атакой или «исследованием» критически важной инфраструктуры без надлежащего доступа или разрешения, особенно в разгар выборов», — написал Воатц.

В юридическом заключении говорится, что попытки исследователей взломать цифровые инструменты без злого умысла «влекут за собой значительные дополнительные расходы» для организаций и могут подорвать доверие общественности.

Смотрите также:«Змеиное масло и переоцененный мусор»: почему блокчейн T исправит ситуацию с онлайн-голосованием

Джейк Уильямс, основатель Rendition Security,рассказал CNETчто «подавляющее большинство» исследователей в области кибербезопасности, вероятно, не имеют разрешения, а это означает, что поддержка Воатцем широкого CFAA «на 100% усложнит работу» исследователей.

Краткое изложение дела Воатца следует на следующий день после этогоопубликовал пресс-заявление утверждая, что Демократическая партия Мичигана использовала его приложение во время недавнего партийного съезда при голосовании за ряд позиций. Демократическая партия Мичигана не сразу ответила на Request о комментарии.

Противоположные взгляды

Оставив в стороне аргументы Воатца, следует отметить, что в его кратком содержании содержится ряд цитат и утверждений, которые, по-видимому, лишены контекста.

Воатц утверждает, что система использовалась на 70 выборах, включая выборы на уровне штатов и муниципалитетов, и в своем кратком отчете утверждает, что Министерство внутренней безопасности считает ее «критически важной инфраструктурой».

Выборы включают Западную Вирджинию (которая объявила об этом в марте)не будет использовать Voatzдля предстоящих выборов) и округа Юта (чей клерк и аудиторполучил пожертвование на кампанию в размере 1500 долларов(от генерального директора Overstock Джонатана Джонсона, который также является президентом инвестора Voatz Medici Ventures).

Компания заявила, что она соответствует требованиям Pro V&V, федеральной лаборатории по испытанию систем голосования, но, по словам репортера Politico по кибербезопасности Эрика Геллера, «отчет бессмыслен«потому что стандарты были установлены много лет назад, и оценка не была объективной.

Эдди Перес, глобальный директор по развитию технологий в Институте избирательных Технологии с открытым исходным кодом, написал, что Комиссия по содействию проведению выборов (EAC), федеральный орган, аккредитовавший Pro V&V, на самом деле T имеет никаких национальных стандартовдля систем дистанционного голосования.

Смотрите также:Уязвимость аппаратного кошелька позволяет злоумышленникам удерживать Криптo с целью получения выкупа, не прикасаясь к устройству

Сам EACопубликовал заявлениезаявив, что «эти отчеты об испытаниях не следует рассматривать как подразумеваемое одобрение [лабораторий по испытанию систем голосования] или EAC того, что оцениваемые системы соответствуют стандарту [руководства по добровольным системам голосования] или эквивалентны системам голосования, сертифицированным EAC».

«В настоящее время эти программы организуются самой Voatz, но в прошлом некоторые из них проводились через поставщика, например HackerOne Inc.», — говорится в кратком изложении. В нем не упоминается, что HackerOneразорванные связис Voatz в марте.

Более того, основатель и технический директор HackerOneАлекс Райс написал в Twitterчто «мы поддерживаем противоположные аргументы», высказанные» Electronic Frontier Foundation (EFF), которая призывает к сужению CFAA, в отличие от Voatz, который в своем заключении сослался на HackerOne.

Аналогично Кейси Эллис, основатель и технический директор краудсорсинговой платформы безопасности Bugcrowd, которую Воатц цитировал несколько раз,также написалчто он одобрил и поддержал документ EFF, а не Воатца.

И Райс, и Эллис заявили, что Воатц не связывался с ними до подачи иска.