Votado negativamente: Pesquisadores de segurança criticam Voatz por sua posição sobre hackers de chapéu branco

Um caso pendente na Suprema Corte dos EUA tem o potencial de mudar fundamentalmente o hacking white-hat. O caso LOOKS o Computer Fraud and Abuse Act (CFAA) e pode determinar se pesquisadores de segurança de boa-fé, também conhecidos como hackers white-hat, podem estar sujeitos a penalidades criminais por pesquisar vulnerabilidades em sistemas.

Se uma interpretação ampla do CFAA for decidida, isso impactaria não apenas a Tecnologia blockchain, as bolsas e as Cripto, mas o campo da pesquisa de segurança como um todo.

E então a empresa de votação por blockchain Voatz entrou no assunto.

Van Buren v. Estados Unidos

O Supremo Tribunal está atualmente a ouvir Van Buren v. Estados Unidos, no qual um antigo agente da polícia da Geórgia foi condenado ao abrigo da CFAA porprocurando uma placa de carroem um banco de dados de aplicação da lei em troca de dinheiro. A acusação sob a CFAA centrou-se na definição da lei do que "excede o acesso autorizado", que é notoriamente vaga.

A CFAA é uma lei anti-hacking que entrou em vigor em 1986. Se o tribunal concordar com uma interpretação ampla da lei (como o governo está defendendo), isso poderá ter um efeito inibidor em pesquisas importantes de segurança, de acordo com especialistas.

Uma interpretação ampla permitiria que as empresas definissem o que “acesso autorizado” significa em seus termos de serviço, em vez de implementar uma barreira técnica (como uma senha) em um sistema que alertaria os pesquisadores de segurança quando eles fossem longe demais.

Digite Voatz

O Voatz tem sido repetidamente objeto de pesquisas críticas de segurança,que o CoinDesk documentou anteriormente. Em um caso, estudantes do MIT fizeram engenharia reversa no aplicativo Voatz e encontraram vulnerabilidades de segurança. A Voatz inicialmente refutou essas descobertas, embora alguns dos problemas tenham sido confirmados mais tarde pela Trail of Bits, uma empresa de segurança contratada pela Voatz. A empresa chegou ao ponto de encaminhar o pesquisador de segurança estudantil às autoridades estaduais por suposta “atividade não autorizada” sob a CFAA.

A Electronic Frontier Foundation (EFF) criticou Voatz nominalmente em umbreve arquivado no tribunal, como um exemplo de uma empresa que adota uma abordagem agressiva para pesquisadores de segurança de boa-fé. A Voatz também denunciou um aluno da Universidade de Michigan ao Federal Bureau of Investigation “porque o aluno conduziu uma pesquisa sobre o aplicativo de votação móvel da Voatz para um curso de segurança eleitoral de graduação”, de acordo com o resumo.

Desde então, a Voatz entrou com um amicus curiae no caso Van Buren (do qual não é parte) defendendo a manutenção do escopo amplo da CFAA. Ela sugeriu que hackers white-hat deveriam conduzir suas investigações sobre vulnerabilidades potenciais somente depois de terem alertado a empresa que estão avaliando e recebido sua bênção.

Essas práticas não são comuns na comunidade de segurança, embora hackers white hat alertem as empresas sobre vulnerabilidades se elas forem encontradas.

Pesquisadores de segurança respondem

Em resposta ao processo de Voatz, um grupo de pesquisadores e organizações de segurançaescreveu uma carta abertapara corrigir publicamente o registro.

A carta foi liderada porCabo Jack, um dos maiores hackers éticos do mundo. Cable também é um estudante de graduação na Universidade de Stanford “fazendo um trabalho incrível” no espaço de segurança cibernética e eleições, de acordo com Reed Loden, Evangelista Chefe de Segurança de Código Aberto na HackerOne, uma plataforma que anteriormente cortou laços com a Voatz, e cujo fundador foi signatário da carta. Foi a primeira vez que a HackerOne removeu uma empresa que a usou para hospedar um programa de recompensa por bugs.

“Queríamos deixar claro que a posição de Voatz não é apoiada pela comunidade de pesquisadores de segurança e segurança cibernética, enfatizar que os pesquisadores de segurança contribuem muito para a segurança de nossa sociedade digital e ressaltar que uma interpretação ampla do CFAA, que é o que Voatz está defendendo, ameaça as atividades de pesquisa de segurança em nível nacional”, disse Loden em um e-mail.

A carta expõe as maneiras pelas quais o processo da Voatz foi supostamente egoísta e um indicador de como empresas como a Voatz podem usar uma interpretação ampla do CFAA para reprimir ainda mais pesquisadores de segurança críticos.

Voatz não respondeu aos pedidos de comentários da CoinDesk.

A extensão do “acesso autorizado”

O Center for Democracy and Technology (CDT) é um dos signatários da carta aberta. Stan Adams, vice-conselheiro geral do CDT e conselheiro da Open Internet, dividiu o caso em dois argumentos em uma ligação telefônica com a CoinDesk.

De acordo com Adams, se uma decisão ampla for tomada sobre o CFAA, pesquisadores de segurança provavelmente seriam desencorajados de conduzir pesquisas por medo de violar a parte da lei que “excede o acesso autorizado”.

Uma interpretação ampla permitiria que as empresas definissem o que “acesso autorizado” pode significar em seus termos de serviço, que podem ser facilmente alterados e alterados, colocando os pesquisadores de segurança em maior risco.

“Leis vagas como a CFAA podem matar a pesquisa de segurança”, disse Adams. “O governo dos Estados Unidos quer que o acesso possa ser limitado por coisas como Termos de Uso e outras expressões escritas de limitações de acesso, em vez do que preferiríamos, que é algum tipo de barreira técnica.”

A ideia é que um pesquisador, se governado por uma barreira técnica como uma senha ou dispositivo de criptografia, saberia que atingiu os limites de seu acesso autorizado. Estabelecer os limites de acesso autorizado em termos de serviço difíceis de encontrar e ainda mais difíceis de ler deixaria os pesquisadores de segurança na dúvida e criaria um efeito assustador na pesquisa em geral, ele acrescentou.

Um efeito inibidor sobre pesquisadores de fintech e Cripto ?

O impacto na pesquisa T se aplica apenas a empresas como a Voatz, embora ONE difícil argumentar que uma empresa envolvida em votação digital T justifique um escrutínio intenso.

A tecnologia em geral seria impactada. Matt Hill, CEO da startup de tecnologia de privacidade e código aberto Start9 Labs, disse que o hacking white-hat é essencial para qualquer tipo de tecnologia. Sem ele, bugs simples de software podem se tornar infecções sistêmicas, que podem ser exploradas por atores maliciosos. O mundo das Criptomoeda viu esses atores esvaziarem as exchanges e roubarem as criptomoedas das pessoas.

“Uma organização honesta determinada a criar produtos seguros incentivará ataques white-hat, não importa quão ruins sejam os resultados, porque essa é a única maneira de seu sistema se tornar seguro”, disse Hill.

“Uma organização que tenta vender um pedaço de argila embalado como segurança, também conhecido como vaporware, ou golpe, fará tudo o que puder para evitar ataques – para manter a ilusão interna e a ilusão externa pelo maior tempo possível.”

Um porto seguro para os chapéus brancos

Jason Gottlieb, sócio da Morrison Cohen LLP e presidente do White Collar and Regulatory Enforcement Practice Group, disse que, em sua opinião, até que o Congresso altere a CFAA para esclarecer o que significa "acesso não autorizado", a CFAA deve ser interpretada de uma forma que forneça um porto seguro para hackers de chapéu branco.

Para ser claro, ele disse que o hacking deve ser realmente white hat e que a responsabilidade deve recair sobre os white hats para demonstrar que suas intenções são ajudar e não prejudicar.

“O hacking white-hat é um componente essencial de qualquer implementação de programa de segurança de dados, e tem sido por muito tempo”, disse Gottlieb. “Dada a crescente importância da segurança cibernética nas indústrias de blockchain e Criptomoeda , deveríamos encorajar o hacking white hat transparente como uma forma de tornar todos os sistemas melhores.”

Adams confirmou que uma decisão ampla poderia encorajar empresas de fintech e exchanges de Cripto a reprimir duramente os hackers white-hat, já que "eles têm fortes incentivos para não serem percebidos como falhos". Dito isso, ele também reconheceu que as empresas também podem querer estar seguras, já que, no final das contas, é o dinheiro público que está online.

“Independentemente disso, a segurança por obscuridade não é o caminho a seguir”, disse Adams. “A CFAA é um martelo bem pesado de se empunhar.”

Atualização: (7 de outubro de 2020, 18:32 UTC)O CEO e cofundador da Voatz, Nimit Sawhney, respondeu, afirmando: "Não estamos defendendo a limitação da liberdade de ninguém – estamos dizendo que é difícil distinguir entre ataques de boa e má-fé no meio de uma eleição ao vivo. Para o bem de todos, é melhor trabalhar em colaboração com a organização, já que os maus atores se disfarçam de bons atores regularmente. Todas as tentativas de invadir ou adulterar um sistema eleitoral durante uma eleição ao vivo precisam ser tratadas como hostis, a menos que autorização prévia tenha sido especificamente concedida. Alternativamente, os pesquisadores podem usar nossos sistemas de teste disponíveis publicamente, que são réplicas verdadeiras de sistemas ao vivo em termos de funcionalidade." [ênfase dele]

Sawhney também esclareceu que a Voatz apresentou seu amicus curiae porque foi "falsamente citada em documentos anteriores de 8 de julho". Ele sustentou que a Voatz não fez nenhum relatório ao FBI ou a qualquer outra autoridade federal, e que " ONE que participou de nossos programas de recompensa por bugs foi denunciado ou incluído em nenhum boletim de segurança do cliente".

Sawhney também afirmou que o estudante da Universidade de Michigan não era um participante do programa de recompensa por bugs da Voatz; mas que sua ação foi "uma tentativa frustrada de adulterar um sistema ativo durante uma eleição".