Проти голосування: дослідники з питань безпеки критикують Воатза за позицію хакерів із білими капелюхами

Справа у Верховному суді США, яка очікує розгляду, може докорінно змінити хакерство. Справа LOOKS Закон про комп’ютерне шахрайство та зловживання (CFAA) і може визначити, чи можуть добросовісні дослідники безпеки, також відомі як хакери білих капелюхів, підлягати кримінальному покаранню за дослідження вразливостей у системах.

Якщо прийняти широке тлумачення CFAA, це вплине не лише на Технології блокчейн, біржі та Крипто, але й на сферу досліджень безпеки в цілому.

А потім у дискусію вторглася компанія Voatz, яка проводить голосування за блокчейн.

Ван Бюрен проти Сполучених Штатів

Наразі Верховний суд розглядає справу Ван Бюрен проти Сполучених Штатів, у якій колишнього офіцера поліції Джорджії було засуджено за CFAA за дивлячись на номерний знак в базі даних правоохоронних органів в обмін на гроші. Звинувачення згідно з CFAA зосереджено навколо визначення закону про те, що «перевищує авторизований доступ», яке, як відомо, є нечітким.

CFAA — це закон про боротьбу з хакерством, який набув чинності в 1986 році. На думку експертів, якщо суд підтримає широке тлумачення закону (на що виступає уряд), це може негативно вплинути на важливі дослідження безпеки.

Широке тлумачення дозволить компаніям викласти, що означає «авторизований доступ» у своїх умовах обслуговування, а не впроваджувати технічний бар’єр (наприклад, пароль) у системі, який би сповіщав дослідників безпеки, коли вони зайшли занадто далеко.

Введіть Voatz

Voatz неодноразово був предметом критичних досліджень безпеки, які CoinDesk раніше задокументував. В ONE випадку студенти Массачусетського технологічного інституту перепроектували програму Voatz і виявили вразливі місця в безпеці. Спочатку Voatz спростував ці висновки, хоча пізніше деякі проблеми підтвердила Trail of Bits, охоронна фірма, яку найняв Voatz. Компанія навіть зайшла так далеко, що направила студента-дослідника безпеки до державних органів за нібито «несанкціоновану діяльність» згідно з CFAA.

Electronic Frontier Foundation (EFF) розкритикував Voatz на ім'я в a подано до суду, як приклад компанії, яка застосовує агресивний підхід до добросовісних дослідників безпеки. Воатц також повідомив Федеральному бюро розслідувань про студента Мічиганського університету, «оскільки студент досліджував мобільний додаток Voatz для голосування на курсі безпеки на виборах для бакалаврів», згідно із записом.

Відтоді Voatz подав заяву amicus у справі Van Buren (у якій він не є стороною), висловлюючи аргументи щодо збереження сфери дії CFAA широкою. Було запропоновано, щоб хакери з білим капелюхом проводили розслідування потенційних вразливостей лише після того, як вони повідомили компанію, яку вони оцінюють, і отримали її благословення.

Подібні практики не є поширеними в спільноті безпеки, хоча хакери «білих капелюхів» попереджають компанії про вразливості, якщо вони виявляються.

Дослідники безпеки плескають у відповідь

У відповідь на заяву Voatz група дослідників безпеки та організацій написав відкритий лист публічно виправити запис.

Лист очолив Джек Кейбл, ONE із найкращих у світі етичних хакерів. За словами Ріда Лодена, головного евангеліста безпеки з відкритим кодом у HackerOne, платформі, яка раніше розірвала зв’язки з Voatz і засновник якої підписав лист, Кейбл також є студентом Стенфордського університету, який «виконує неймовірну роботу» в галузі кібербезпеки та виборів. Це був перший раз, коли HackerOne видалив компанію, яка використовувала його для розміщення програми винагород за помилки.

«Ми хотіли дати зрозуміти, що позиція Воатца не підтримується спільнотою дослідників кібербезпеки та безпеки, підкреслити, що дослідники безпеки роблять значний внесок у безпеку нашого цифрового суспільства, і підкреслити, що широке тлумачення CFAA, за яке виступає Воатц, загрожує дослідницькій діяльності з питань безпеки на національному рівні», — сказав Лоден в електронному листі.

У листі викладено способи, якими заява Voatz нібито була корисливою, і вказує на те, як такі компанії, як Voatz, можуть використовувати широке тлумачення CFAA для подальшого придушення критичних дослідників безпеки.

Voatz не відповів на запити CoinDesk про коментарі.

Ступінь «авторизованого доступу»

Центр демократії та технологій (CDT) є ONE із підписантів відкритого листа. Стен Адамс, заступник головного юрисконсульта CDT і радник відкритого Інтернету, розбив справу на два аргументи під час телефонної розмови з CoinDesk.

За словами Адамса, якщо щодо CFAA буде прийнято загальне рішення, дослідникам безпеки, швидше за все, буде відмовлено від проведення досліджень через побоювання порушити частину закону про «перевищення авторизованого доступу».

Широке тлумачення дозволить компаніям визначити, що може означати «авторизований доступ» у їхніх умовах обслуговування, які можна легко змінити та змінити, наражаючи дослідників безпеки на більший ризик.

«Нечіткі закони, такі як CFAA, можуть вбити дослідження безпеки», — сказав Адамс. «Уряд Сполучених Штатів хоче, щоб доступ міг бути обмежений такими речами, як Умови використання та інші письмові вирази обмежень доступу, а не те, що ми б віддали перевагу, яке є певним технічним бар’єром».

Ідея полягає в тому, що дослідник, якщо керуватиметься технічним бар’єром, таким як пароль або пристрій шифрування, знав би, що він досяг меж авторизованого доступу. Встановлення обмежень авторизованого доступу в умовах використання, які важко знайти та ще важче прочитати, змусить дослідників безпеки здогадуватися та спричинить жахливий вплив на дослідження в цілому, додав він.

Страшенний вплив на дослідників фінансових технологій і Крипто ?

Вплив на дослідження стосується T лише таких компаній, як Voatz, хоча ONE було б стверджувати, що компанія, яка займається цифровим голосуванням, T потребує ретельного контролю.

Це вплине на всі технології. Метт Гілл, генеральний директор стартапу Start9 Labs з відкритим вихідним кодом, який займається захистом конфіденційності, сказав, що хакерство є ключовим для будь-якої технології. Без нього прості помилки програмного забезпечення можуть стати системними інфекціями, якими можуть скористатися зловмисники. Криптовалюта світ бачив, як такі актори спустошують біржі та крадуть криптовалюти людей.

«Чесна організація, яка має намір створювати безпечні продукти, заохочуватиме атаки «білих капелюхів», незважаючи на те, наскільки поганими будуть результати, тому що це єдиний спосіб для її системи стати безпечною», — сказав Хілл.

«Організація, яка намагається продати шматок глини, запакований як безпека, також відома як vaporware або шахрайство, зробить усе можливе, щоб запобігти атакам — зберегти внутрішню і зовнішню ілюзію якомога довше».

Безпечна гавань у білому капелюсі

Джейсон Готтліб, партнер Morrison Cohen LLP і голова Практичної групи білих комірців і нормативно-правових актів, сказав, що, на його думку, доки Конгрес не внесе поправки до CFAA, щоб роз’яснити, що означає «неавторизований доступ», CFAA слід тлумачити таким чином, щоб забезпечити безпечну гавань для хакерських хакерів.

Щоб було зрозуміло, він сказав, що хакерство має бути справді білим капелюхом, і тягар повинен лежати на білих капелюхах, щоб продемонструвати, що їхні наміри полягали в тому, щоб допомогти, а не зашкодити.

«Злом білих капелюхів є ключовим компонентом впровадження будь-якої програми безпеки даних, і це було протягом дуже тривалого часу», — сказав Готтліб. «Враховуючи зростаючу важливість кібербезпеки в індустрії блокчейну та Криптовалюта , ми повинні заохочувати прозорий білий злом як спосіб покращити всі системи».

Адамс підтвердив, що загальне рішення може спонукати фінтех-компанії та Крипто жорстко боротися з хакерами, враховуючи, що «вони мають сильні стимули не сприймати себе як помилкових». Зважаючи на це, він також визнав, що компанії також можуть захотіти бути в безпеці, враховуючи, що зрештою це публічні гроші онлайн.

«Незважаючи на це, захист через невідомість — це не шлях вперед», — сказав Адамс. «CFAA — це досить важкий молот».

Оновлення: (7 жовтня 2020 р., 18:32 UTC)Генеральний директор і співзасновник Voatz Німіт Соуні відповів, заявивши: "Ми не виступаємо за обмеження чиєїсь свободи – ми говоримо, що важко відрізнити добросовісні напади від недобросовісних під час виборів. Заради всіх, краще співпрацювати з організацією, оскільки погані актори регулярно маскуються під хороших акторів. Усі спроби проникнення або підроблення виборчої системи під час голосування в прямому ефірі слід розглядати як ворожі, якщо не було спеціально надано попереднього дозволу. Крім того, дослідники можуть використовувати наші загальнодоступні тестові системи, які є справжніми копіями живих систем з точки зору функціональності." [підкреслено його]

Соуні також уточнив, що Voatz подав свою заяву amicus, оскільки вона була «помилково цитована в попередніх заявах від 8 липня». Він стверджував, що Воатц не повідомляв ФБР чи будь-якому іншому федеральному органу, і що « ONE , хто брав участь у наших програмах винагороди за помилки, ніколи не повідомлявся або не був включений до будь-яких бюлетенів безпеки клієнтів».

Соні також стверджував, що студент Мічиганського університету не був учасником програми винагороди за помилки Voatz; скоріше, що його дія була «невдалою спробою втрутитися в живу систему під час виборів».