Отрицательно: исследователи безопасности критикуют Voatz за позицию в отношении «белых хакеров»

Ожидаемое дело Верховного суда США может кардинально изменить хакерство в белых шляпах. Дело LOOKS Закон о компьютерном мошенничестве и злоупотреблениях (CFAA) и может определить, могут ли добросовестные исследователи безопасности, также известные как хакеры в белых шляпах, подвергаться уголовному наказанию за исследование уязвимостей в системах.

Если будет принято решение о широком толковании CFAA, это повлияет не только на Технологии блокчейна, биржи и Криптo, но и на сферу исследований безопасности в целом.

И тут в дискуссию вмешалась компания Voatz, занимающаяся голосованием на основе блокчейна.

Ван Бюрен против Соединенных Штатов

В настоящее время Верховный суд рассматривает дело «Ван Бюрен против Соединенных Штатов», в котором бывший сотрудник полиции Джорджии был осужден в соответствии с Законом о борьбе с коррупцией (CFAA) запоиск номерного знакав базе данных правоохранительных органов в обмен на деньги. Обвинение по CFAA было сосредоточено вокруг определения закона о том, что «превышает разрешенный доступ», которое, как известно, является расплывчатым.

CFAA — это закон о борьбе с хакерством, вступивший в силу в 1986 году. По мнению экспертов, если суд примет сторону широкого толкования закона (за которое выступает правительство), это может оказать сдерживающее воздействие на важные исследования в области безопасности.

Широкое толкование позволило бы компаниям изложить значение «авторизованного доступа» в своих условиях обслуживания, вместо того чтобы внедрять в систему технический барьер (например, пароль), который предупреждал бы исследователей безопасности, если бы они зашли слишком далеко.

Введите Voatz

Voatz неоднократно становился объектом критических исследований безопасности,что CoinDesk ранее задокументировал. В ONE случае студенты MIT провели обратную разработку приложения Voatz и обнаружили уязвимости безопасности. Voatz изначально опровергла эти выводы, хотя некоторые из проблем были позже подтверждены Trail of Bits, фирмой по безопасности, нанятой Voatz. Компания даже зашла так далеко, что направила студента-исследователя безопасности в государственные органы за предполагаемую «несанкционированную деятельность» в соответствии с CFAA.

Фонд Electronic Frontier Foundation (EFF) раскритиковал Воатца по имени вкраткое изложение подано в суд, как пример компании, которая агрессивно относится к добросовестным исследователям безопасности. Voatz также сообщила о студенте Мичиганского университета в Федеральное бюро расследований, «потому что студент проводил исследование мобильного приложения Voatz для голосования в рамках курса по безопасности выборов», согласно краткому изложению.

С тех пор Voatz подал amicus brief в деле Van Buren (в котором он не является стороной), обосновав необходимость сохранения широкой сферы действия CFAA. Он предложил, чтобы хакеры-"белые шляпы" проводили свои расследования потенциальных уязвимостей только после того, как они уведомят компанию, которую они оценивают, и получат ее благословение.

Подобные практики не распространены в сообществе специалистов по безопасности, хотя «белые хакеры» предупреждают компании об уязвимостях, если таковые обнаруживаются.

Исследователи безопасности аплодируют в ответ

В ответ на заявление Воатца группа исследователей и организаций в области безопасностинаписал открытое письмопублично исправить запись.

Письмо было написано под руководствомДжек Кейбл, ONE из лучших этичных хакеров мира. Кейбл также является студентом Стэнфордского университета, «делающим невероятную работу» в области кибербезопасности и выборов, по словам Рида Лодена, главного евангелиста безопасности с открытым исходным кодом в HackerOne, платформе, которая ранее разорвала связи с Voatz, и чей основатель подписал письмо. Это был первый случай, когда HackerOne удалила компанию, которая использовала ее для размещения программы bug-bounty.

«Мы хотели ясно дать понять, что позиция Воатца не поддерживается сообществом исследователей кибербезопасности и безопасности, подчеркнуть, что исследователи безопасности вносят большой вклад в безопасность нашего цифрового общества, и подчеркнуть, что широкое толкование CFAA, за которое выступает Воатц, ставит под угрозу исследовательскую деятельность в области безопасности на национальном уровне», — сказал Лоден в электронном письме.

В письме излагаются способы, которыми Voatz предположительно преследовал свои собственные интересы, а также указывается на то, как такие компании, как Voatz, могут использовать широкое толкование CFAA для дальнейшего давления на критически важных исследователей в области безопасности.

Воатц не ответил на просьбу CoinDesk прокомментировать ситуацию.

Степень «санкционированного доступа»

Центр демократии и технологий (CDT) является ONE из подписантов открытого письма. Стэн Адамс, заместитель генерального юрисконсульта CDT и советник Open Internet, разбил дело на два аргумента в телефонном разговоре с CoinDesk.

По словам Адамса, если будет принято широкое решение по CFAA, исследователи в области безопасности, скорее всего, будут отговариваться от проведения исследований из-за страха нарушить часть закона о «превышении разрешенного доступа».

Широкое толкование позволило бы компаниям изложить значение «санкционированного доступа» в своих условиях предоставления услуг, которые можно легко изменить и подкорректировать, подвергая исследователей безопасности большему риску.

«Такие неопределенные законы, как CFAA, могут убить исследования в области безопасности», — сказал Адамс. «Правительство Соединенных Штатов хочет, чтобы доступ можно было ограничить такими вещами, как Правила пользования и другие письменные выражения ограничений доступа, а не тем, что мы бы предпочли, а именно каким-то техническим барьером».

Идея заключается в том, что исследователь, если он ограничен техническим барьером, таким как пароль или устройство шифрования, будет знать, что он достиг пределов своего авторизованного доступа. Изложение пределов авторизованного доступа в труднодоступных и еще более трудночитаемых условиях обслуживания заставит исследователей безопасности гадать и создаст сдерживающий эффект на исследования в целом, добавил он.

Оказывает ли это сдерживающее воздействие на исследователей финтеха и Криптo ?

Влияние на исследования касается T только таких компаний, как Voatz, хотя вряд ли кто-то будет утверждать, что компания, занимающаяся цифровым голосованием, T заслуживает пристального внимания.

Технологии будут затронуты по всем направлениям. Мэтт Хилл, генеральный директор стартапа Start9 Labs с открытым исходным кодом и технологиями конфиденциальности, сказал, что хакерство «белых шляп» является ключом к любым технологиям. Без него простые программные ошибки могут стать системными инфекциями, которые могут быть использованы злоумышленниками. Мир Криптовалюта видел, как такие злоумышленники опустошали биржи и крали криптовалюты людей.

«Честная организация, нацеленная на создание безопасных продуктов, будет поощрять атаки «белых хакеров», независимо от того, насколько плохими будут результаты, потому что это единственный способ сделать ее систему безопасной», — сказал Хилл.

«Организация, пытающаяся продать кусок глины, упакованный в качестве безопасности, также известный как фальшивое программное обеспечение или мошенничество, сделает все возможное, чтобы предотвратить атаки — чтобы поддерживать внутреннее заблуждение и внешнюю иллюзию как можно дольше».

Безопасная гавань для белых шляп

Джейсон Готтлиб, партнер в Morrison Cohen LLP и председатель Группы по практике применения норм государственного регулирования и мошенничества, заявил, что, по его мнению, до тех пор, пока Конгресс не внесет поправки в CFAA, чтобы прояснить значение термина «несанкционированный доступ», CFAA следует толковать таким образом, чтобы обеспечить безопасную гавань для хакеров-«белых хакеров».

Однако для ясности он сказал, что взлом должен быть по-настоящему «белым», и бремя должно лежать на «белых шляпах» — доказать, что их намерения заключаются в помощи, а не во вреде.

«Белый хакерский взлом является ключевым компонентом любой программы по защите данных, и является таковым уже очень давно», — сказал Готтлиб. «Учитывая растущую важность кибербезопасности в индустриях блокчейна и Криптовалюта , мы должны поощрять прозрачный белый хакерский взлом как способ сделать все системы лучше».

Адамс подтвердил, что широкое постановление может побудить финтех-компании и Криптo принять жесткие меры против «белых хакеров», поскольку «у них есть веские стимулы не выглядеть ущербными». При этом он также признал, что компании также могут захотеть быть в безопасности, поскольку в конечном итоге в сети находятся деньги общественности.

«В любом случае, безопасность через неизвестность — это не путь вперед», — сказал Адамс. «CFAA — довольно тяжелый молот для размахивания».

Обновление: (7 октября 2020 г., 18:32 UTC)Генеральный директор и соучредитель Voatz Нимит Сохни ответил, заявив: «Мы не призываем ограничивать чью-либо свободу — мы лишь заявляем, что в разгар выборов трудно отличить добросовестные атаки от недобросовестных. Для всеобщего блага лучше работать совместно с организацией, поскольку плохие актеры регулярно маскируются под хороших актеров. Все попытки взломать или вмешаться в избирательную систему во время живых выборов должны рассматриваться как враждебные, если только предварительное разрешение не было специально предоставлено. В качестве альтернативы исследователи могут использовать наши общедоступные тестовые системы, которые являются точными копиями живых систем с точки зрения функциональности». [выделено его]

Сохни также пояснил, что Voatz подала свое заключение amicus, поскольку оно было «ложно упомянуто в предыдущих документах от 8 июля». Он утверждал, что Voatz не сообщала ни в ФБР, ни в какой-либо другой федеральный орган, и что «ни ONE , кто участвовал в наших программах вознаграждения за ошибки, никогда не был упомянут или включен в какие-либо бюллетени безопасности клиентов».

Сохни также заявил, что студент Мичиганского университета не был участником программы вознаграждения за обнаружение уязвимостей Voatz; его действия были «неудавшейся попыткой вмешательства в работу работающей системы во время выборов».