Voatz закликає до обмеження незалежних досліджень кібербезпеки в записці Верховного суду

Блокчейн-голосуючий стартап Voatz стверджував, що програми винагород за помилки, які стосуються кібербезпеки, повинні працювати під суворим наглядом у записці «друга суду» перед Верховним судом Сполучених Штатів (SCOTUS).

Воатц зважив у четвер Ван Бюрен проти Сполучених Штатів, справа Верховного суду, яка розглядає, чи є федеральним злочином доступ до комп’ютера «з неналежною метою», якщо ця особа вже має дозвіл на доступ до інших файлів на цьому комп’ютері.

Натан Ван Бюрен, заявник у справі, є колишнім офіцером поліції Джорджії який був звинувачений під Закон про комп’ютерне шахрайство та зловживання (CFAA) після пошуку номерного знака знайомого. Ван Бюрен стверджує, що рішення суду нижчої інстанції, яке залишило в силі його засудження, може вважатися таким, що «будь-яке «тривіальне порушення» комп’ютерної системи може бути федеральним злочином.

Схоже, що сфера розгляду справи розширилася, торкаючись не лише порушень, але й того, як можна тлумачити саму CFAA. Питання, зазначене в записках SCOTUS, звучить так:

«Чи було достатньо доказів, щоб встановити, що позивач, сержант поліції, перевищив свій дозволений доступ до захищеного комп’ютера для отримання інформації з метою отримання фінансової вигоди, в порушення 18 U.S.C. 1030(a)(2)(C) і (c)(2)(B)(i), коли в обмін на готівкову оплату він шукав у конфіденційній базі даних правоохоронних органів інформацію про те, чи була конкретна особа агентом поліції під прикриттям. офіцер».

США, респондент, стверджував, що ця справа є «поганим засобом» для перевірки того, чи є CFAA занадто широким, і зазначив у своєму короткому записі, що перегляд SCOTUS навіть T є виправданим.

У своїй короткій записці Воатц сказав, що CFAA не потрібно звужувати, а деякі порушення комп’ютерних систем необхідні. Однак фірма стверджує, що дослідники, які вивчають потенційні вразливості, повинні спеціально перевіряти компанії, які вони оцінюють, перш ніж робити це, і повинні діяти лише з дозволу компаній.

Дивіться також: Voatz і чому ми поки що T можемо довіряти онлайн-голосуванню

«Програми винагород за помилки дуже ефективні», — написав Воатц. «Вони надзвичайно широко поширені в Технології індустрії, і навіть за межами цієї галузі, ONE опитування в 2019 році показало, що 42% компаній поза Технології галуззю запускали краудсорсингову програму кібербезпеки».

Бриф може надійти у відповідь до іншої поданої групою дослідників безпеки, які стверджують, що CFAA справді «інтерпретується надто широко», що стримує зусилля з комп’ютерної безпеки. У цьому короткому записі серед інших аргументів критикується Voatz.

Широкі правила

Voatz, зокрема, зіткнувся з критикою з боку дослідників кібербезпеки, зокрема команда в MIT який у лютому опублікував звіт, у якому стверджував, що Voatz не має достатньої прозорості та що його внутрішні системи зіткнулися з низкою вразливостей. Voatz заперечив твердження у звіті.

Trail of Bits, ще одна фірма з кібербезпеки, яку Voatz залучив для проведення аудиту її систем, підтвердив твердження дослідників MIT у наступному звіті.

Voatz також сперечався безпосередньо з дослідниками. Наприкінці минулого рокуПрокурор США Майк Стюарт з Південного округу Західної Вірджинії оголосив, що Федеральне бюро розслідувань розслідує «невдалу спробу вторгнення» у Voatz, яка, ймовірно, була спричинена студентом Мічиганського університету або студентами, які брали участь у курсі безпеки.

У своєму короткому звіті Воатц сказав, що про «непродуману діяльність студентів» було повідомлено офіційним особам Західної Вірджинії, оскільки компанія не могла відрізнити їхні дослідження від фактичної ворожої атаки.

«Однак, незважаючи на подробиці, інцидент у Західній Вірджинії демонструє шкоду, завдану нападом або «дослідженням» критичної інфраструктури без належного доступу чи авторизації, особливо в розпал виборів», — написав Воатц.

Незловмисні дослідники, які намагаються зламати цифрові інструменти, «стягують значні додаткові витрати» для організацій, йдеться в юридичній записці, і можуть завдати шкоди суспільній довірі.

Дивіться також: «Зміїна олія та завищене сміття»: чому блокчейн T виправляє онлайн-голосування

Джейк Вільямс, який заснував Rendition Security, сказав CNET що «переважна більшість» дослідників кібербезпеки, ймовірно, не мають авторизації, тобто підтримка Voatz широкого CFAA «100% ускладнить» дослідникам.

Короткий запис Воатца з’являється через день після нього опублікував заяву для преси стверджуючи, що Демократична партія Мічігану використовувала свій додаток під час нещодавнього з’їзду партії під час голосування за низку позицій. Демократична партія Мічигану не відразу відповіла на Request про коментар.

Протилежні погляди

Не дивлячись на аргументи Voatz, його короткий опис містить ряд цитат і тверджень, яким, здається, бракує контексту.

Voatz каже, що його використовували на 70 виборах, включаючи вибори штатів і муніципалітетів, і стверджує в доповіді, що Міністерство внутрішньої безпеки вважає це «критичною інфраструктурою».

Вибори включають Західну Вірджинію (яка оголосила про це в березні не використовував би Voatz для майбутніх виборів) і округу Юта (чий клерк і аудитор отримав пожертву на кампанію в розмірі 1500 доларів США від генерального директора Overstock Джонатана Джонсона, який також є президентом інвестора Voatz Medici Ventures).

Компанія заявила, що відповідає вимогам Pro V&V, федеральної лабораторії тестування систем голосування, але, за словами репортера Politico з кібербезпеки Еріка Геллера, «звіт безглуздий», тому що стандарти були встановлені багато років тому і оцінювання не було об’єктивним.

Едді Перес, глобальний директор із технічного розвитку Інституту виборчих Технології з відкритим кодом, написав, що Комісія зі сприяння виборам (Election Assistance Commission, EAC), федеральний орган, який акредитував Pro V&V, насправді T має національних стандартів для систем дистанційного голосування.

Дивіться також: Помилка апаратного гаманця дозволяє зловмисникам тримати Крипто для отримання викупу, не торкаючись пристрою

Сам EAC випустив заяву кажучи, що «ці звіти про випробування не слід розглядати як неявне схвалення [лабораторій випробувань систем голосування] або EAC того, що оцінювані системи відповідають стандарту [керівних принципів системи голосування] або еквівалентні системі голосування, сертифікованій EAC».

«Наразі ці програми організовує сама Voatz, але раніше деякі проводилися через такого постачальника, як HackerOne Inc.», — йдеться у повідомленні. Про HackerOne не згадувалося розірвав зв'язки з Voatz у березні.

Більше того, засновник і технічний директор HackerOne Про це Алекс Райс повідомив у Twitter що «ми підтримуємо протилежні аргументи» Electronic Frontier Foundation (EFF), яка закликає до звуження CFAA, на відміну від Voatz, який цитував HackerOne у короткій статті.

Так само Кейсі Елліс, засновник і технічний директор краудсорсингової платформи безпеки Bugcrowd, яку Воатц цитував кілька разів, також написав що він підписав і підтримав бриф EFF, а не Voatz.

І Райс, і Елліс сказали, що Воатц не зв’язувався з ними до того, як подав заяву.