La legalidad de la investigación de seguridad se decidirá en EE. UU …



La decisión de que el uso personal de una foundation de datos de las fuerzas del orden público por parte de un oficial de policía es «piratería» preocupa a los investigadores de seguridad por el futuro.

Investigadores de seguridad independientes, grupos de derechos digitales y compañías de tecnología han emitido informes de amigos de la corte en un caso de la Corte Suprema de EE. UU. Que podrían determinar si violar los términos de servicio para computer software, components o un servicio en línea equivale a piratería informática bajo la Ley.

El caso-Nathan Van Buren c. Estados Unidos– proviene de la apelación de Van Buren, un sargento de policía en Cumming, Georgia, que fue declarado culpable en mayo de 2018 de fraude electrónico de servicios honestos y un solo cargo de violar la Ley de Abuso y Fraude Informático (CFAA) por acceder al estado y al gobierno bases de datos para buscar una matrícula a cambio de dinero. Si bien Van Buren estaba autorizado a usar el Centro de Información sobre Delitos de Georgia (GCIC) para acceder a información, incluidas las placas de matrícula, los fiscales federales argumentaron con éxito que excedió esa autorización al buscar información con fines no policiales.

Con la apelación aceptada por la Corte Suprema de EE. UU., Los investigadores de seguridad y las empresas de tecnología están preocupados por la posibilidad de que el caso convierta la investigación de vulnerabilidad independiente en un acceso no autorizado y, por lo tanto, en un delito procesable. Si la Corte Suprema de EE. UU. Dictamina que las acciones de Van Buren son una violación de la CFAA, socavará el software package y la seguridad de la nube, dice Casey Ellis, director de tecnología y fundador de Bugcrowd, una firma de recompensas de errores de colaboración colectiva.

«El acceso no autorizado es uno de los principales propósitos de la investigación de seguridad: al convertirla en ilegal, los investigadores no podrán hacer su trabajo de manera efectiva, la organización no podrá cerrar todas las vulnerabilidades y los atacantes ganarán», dice Ellis, y agrega: «el propósito de la CFAA es prohibir los ciberataques maliciosos, no otorgar a las organizaciones la capacidad de detener los informes de vulnerabilidades al responsabilizar legalmente a los investigadores éticos de sus acciones».

La lista de partes interesadas que presentan los llamados informes Amicus en el caso enfrenta a los sospechosos habituales entre sí: grupos de derechos digitales, como la American Civil Liberties Union, el Centro para la Democracia y la Tecnología y la Electronic Frontier Basis—Contra la aplicación de la ley — específicamente, el Asociación Federal de Oficiales del Orden Públicoy investigadores de seguridad y empresas de seguridad, como Speedy7 y Bugcrowd—Contra organizaciones como el grupo financiero Asociación de fondos administrados (MFA) y firma de votación móvil Voatz.

El MFA estaba preocupado por los «empleados infieles» que robaban información de clientes, información financiera y secretos comerciales, mientras que Voatz expresó su preocupación de que la investigación independiente, como un artículo reciente escrito por investigadores del Instituto de Tecnología de Massachussetts (MIT), encontró problemas de seguridad importantes con sus dispositivos móviles. Solicitud de voto: no es una causa de seguridad. El 3 de septiembre, Voatz presentó su escrito en respuesta a la presentación en nombre de los investigadores de seguridad.

«No estamos abogando por limitar la libertad de nadie, estamos diciendo que es difícil distinguir entre ataques de buena y mala fe en medio de una elección en vivo», dijo la compañía en un comunicado enviado a Dim Examining. «Por el bien de todos, es mejor trabajar en colaboración con la organización: los malos actores se disfrazan de buenos actores de manera typical. Todos los intentos de ingresar o alterar un sistema electoral durante una elección en vivo deben ser tratados como hostiles a menos que se cuente con una autorización previa. fue concedido específicamente «.

La investigación del MIT utilizó la aplicación Voatz y una versión de ingeniería inversa del servidor backend, y nunca tuvo lugar durante una elección en vivo, según un documento publicado en la prestigiosa Conferencia de Seguridad de USENIX el mes pasado.

«Dado que realizar un análisis de seguridad contra un servidor electoral en funcionamiento plantearía una serie de inquietudes legales y éticas inaceptables, optamos por realizar todos nuestros análisis en un entorno de &#39sala limpia&#39, conectándonos solo a nuestros propios servidores», dijo Michael Specter, Candidato a doctorado en informática en el MIT y sus coautores declarado en el periódico. Un análisis posterior financiado por Voatz realmente verificado todas las vulnerabilidades más un número significativo de problemas adicionales.

Sin embargo, otras empresas y organizaciones de tecnología han expresado su apoyo a los investigadores de seguridad y han limitado la aplicación de la Ley de Abuso y Fraude Informático. En su informe conjunto de Amicus, el fabricante de herramientas para desarrolladores de software package Atlassian, el fabricante de navegadores Mozilla y la empresa de plataformas de comercio electrónico Shopify respaldaron los esfuerzos de los investigadores de seguridad.

«La seguridad informática eficaz … implica la creación de sistemas que sean resistentes a los piratas informáticos. Eso requiere permitir que las personas, incluidos los miembros de la sólida comunidad de investigadores de seguridad independientes, investiguen y prueben nuestras redes informáticas». las empresas declararon, agregando «(a) n una lectura demasiado amplia de la CFAA, sin embargo, escalofríos … investigación de seguridad crítica. Los expertos en seguridad pueden pensar que no vale la pena arriesgarse a realizar su investigación sin una definición clara de lo que significa &#39exceder el acceso autorizado, &#39especialmente cuando en el pasado se han utilizado meras violaciones de los términos de servicio para imponer sanciones penales «.

Los investigadores de seguridad no son los únicos en riesgo, dice Ellis de Bugcrowd. Cualquiera que use un sistema informático de una manera no prevista por el fabricante podría ser objeto de acciones legales y, tal vez, enjuiciamiento, dice.

«La ley está redactada de forma tan amplia que penaliza los actos que violan los términos de servicio de un sitio internet, desde mentir sobre su nombre en un formulario net hasta las pruebas de seguridad socialmente beneficiosas que realizan los investigadores de seguridad ética», dice. «Una interpretación más amplia de &#39excede el acceso no autorizado&#39 en CFAA trabaja directamente en contra de los objetivos de una Online más segura y resistente».

No se ha fijado una fecha para los argumentos orales en el caso.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Studying, MIT&#39s Technology Assessment, Preferred Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original