Investigadores, empresas Slam Cellular Voting Agency …



En una carta, casi 70 empresas de seguridad diferentes e investigadores individuales critican a Voatz por tergiversar ante la Corte Suprema de Estados Unidos prácticas de investigación de seguridad ampliamente aceptadas.

Un caso de la Corte Suprema de EE. UU. Que podría ampliar la Ley de Abuso y Fraude Informático (CFAA) para incluir el enjuiciamiento de usos «indebidos» de tecnología no permitidos específicamente por los fabricantes de computer software paralizará la investigación de seguridad y podría usarse para castigar otros usos justos de la tecnología, un grupo de casi 70 investigadores de vulnerabilidades y firmas de seguridad, dijo en una carta publicada el 14 de septiembre.

La carta, firmada por informáticos de la Universidad de Michigan y la Universidad Johns Hopkins, así como por las firmas de seguridad Bugcrowd, HackerOne y Trail of Bits, entre otras, es una respuesta a una presentación lawful de la firma de votación electrónica Voatz en un caso. que podría ampliar la definición de «excede el acceso autorizado» según la CFAA para incluir violaciones de los acuerdos de usuario y licencias de software program. Si bien Voatz ha participado en programas de recompensas por errores que otorgan a los participantes protecciones legales, la firma también ha informado sobre un estudiante investigador a los funcionarios estatales, descartó las vulnerabilidades graves encontradas por tres investigadores del Instituto de Tecnología de Massachusetts e incluso restó importancia a una auditoría de terceros de toda su sistemas de la firma de seguridad Trail of Bits que confirmaron los hallazgos del MIT y también encontraron vulnerabilidades aún más críticas.

«La insinuación de Voatz de que los investigadores infringieron la ley a pesar de haber tomado todas las precauciones para actuar de buena fe y respetar los límites legales muestra por qué la autorización de esta investigación no debe depender de que las propias empresas actúen de buena fe», dicen los investigadores de seguridad en la carta, refiriéndose específicamente al caso del MIT. «Para empresas como Voatz, la divulgación coordinada de vulnerabilidades es un mecanismo que protege a la empresa del escrutinio público al permitirle controlar el proceso de investigación de seguridad».

los letra tomó forma luego de una presentación legal el 3 de septiembre, conocida como amicus o escrito de amigo de la corte, en el que Voatz argumentó que los laboratorios de prueba, las revisiones de seguridad y las recompensas por errores son todas formas autorizadas de pruebas de seguridad y deberían ser suficientes para garantizar seguridad. Las revisiones de código independientes y las pruebas de penetración, afirma la compañía, no están autorizadas y el lenguaje de la CFAA «excede el acceso autorizado» debería aplicarse.

Sin embargo, Voatz ha apuntado agresivamente a los investigadores incluso cuando su propio acuerdo de recompensa por errores permitió sus acciones, y ha negado las vulnerabilidades frente a amplias pruebas, dice Jack Cable, un investigador de seguridad independiente de 20 años que ganó el premio &#39Hack the Air Force &#39competencia celebrada por HackerOne en 2017 y comenzó la carta iniciativa debido al impacto que tendría el argumento de Voatz en la investigación de terceros.

«Realmente parecían haber intensificado su lucha con la industria de la seguridad», dice. «En lugar de apuntar a un solo o un par de investigadores de seguridad, están tratando de comprometer la investigación de seguridad a nivel nacional. Realmente lo vi como inaceptable».

El caso first que terminó en la Corte Suprema de los Estados Unidos aparentemente tiene poco que ver con los sistemas electorales o incluso con la piratería. El caso se origina en el enjuiciamiento de Nathan Van Buren, un sargento de policía de Cumming, Georgia, que había accedido al sistema de registros estatales para obtener información en una placa a cambio de dinero. Además de ser declarado culpable de fraude electrónico de servicios honestos en mayo de 2018, el tribunal también lo declaró culpable de un solo cargo de violar la CFAA por acceder a bases de datos estatales y gubernamentales para un uso inadecuado.

Si la Corte Suprema de EE. UU. Confirma su condena de CFAA, el precedente empoderará a una variedad de empresas de tecnología que durante las últimas dos décadas han tratado de ahuyentar a los investigadores de seguridad para que no revelen vulnerabilidades amenazando con acciones legales y, en algunos casos, reclutando a las fuerzas del orden al reclamar acceso no autorizado a ser «no autorizado» bajo la CFAA.

Las empresas electorales han utilizado ampliamente esta estrategia. El fabricante del sistema electoral ES&S amenazó con emprender acciones legales después de que se encontraron problemas de seguridad en DEFCON Voting Village, a pesar de que los funcionarios gubernamentales apoyaban la investigación de seguridad independiente. Voatz ha utilizado la amenaza de acciones legales y enjuiciamiento penal, junto con un marketing and advertising agresivo, para evitar el escrutinio de su sistema de caja negra, indicaron los investigadores en la carta.

Tres investigadores del MIT, por ejemplo, encontraron que el sistema de Voatz no cumplía con los requisitos esenciales de la votación, incluida una forma de demostrar que los votos se emitieron según lo previsto, un método para proteger la privacidad de los votantes y la capacidad de evitar que los votantes revelen cómo votaron. Al aplicar ingeniería inversa a la aplicación Voatz para Android y crear su propio servidor, los investigadores del MIT encontraron un puñado de vulnerabilidades de alta gravedad.

Si la táctica authorized de Voatz da resultado, dicha investigación será mucho más difícil, si no imposible, de realizar en el futuro, dice Michael Spectre, un candidato a doctorado de último año centrado en la seguridad de sistemas en el Instituto de Tecnología de Massachusetts y uno de los autores de el trabajo de investigación.

«Soy increíblemente privilegiado. Soy un investigador de seguridad en una gran universidad que tiene recursos, incluida representación lawful que me ayuda a guiarme por el camino correcto», dice. «Sin el apoyo que recibimos de (nuestra) clínica de derecho cibernético, esta investigación nunca habría visto la luz. No tengo concept de cómo alguien sin ese apoyo, sin un equipo legal, podría obtener una resolución positiva».

Voatz ha adoptado un enfoque más conciliador desde que presentó el escrito, alegando que otro escrito de amigo de la corte emitido por la Electronic Frontier Foundation y las firmas de seguridad el 8 de julio tenía inexactitudes que debían corregirse.

«No estamos abogando por limitar la libertad de nadie, estamos diciendo que es difícil distinguir entre ataques de buena y mala fe en medio de una elección en vivo», dijo la compañía en un comunicado enviado a Darkish Reading. «Por el bien de todos, es mejor trabajar en colaboración con la organización, ya que los malos actores se disfrazan de buenos actores de forma typical».

Sin embargo, Voatz no abordó su intento de abordar su minimización de las vulnerabilidades descubiertas por los investigadores del MIT o las encontradas por Trail of Bits, una consultora de seguridad contratada por Voatz y Tusk Philanthropies, que promovió el sistema Voatz, para auditar el software package electoral.

El veredicto de la investigación: el código de la compañía tiene problemas de seguridad importantes y posiblemente irreparables y la inclusión de la tecnología «blockchain», un término de marketing and advertising candente, no tiene una utilidad real como medida de seguridad en la tecnología, dice Dan Guido, cofundador y CEO de Path of Bits, que tenía acceso completo al código fuente del Main Server de Voatz. En un informe publicado en marzo, la empresa de seguridad no solo reivindicó el informe de investigación del MIT, sino también encontró un whole de 79 problemas, un tercio de los cuales fueron de alta gravedad.

A pesar de que Trail of Bits informó a dos de los ejecutivos de Voatz que los hallazgos del MIT eran válidos, Voatz publicó una publicación en su site en febrero. atacando los esfuerzos de los investigadores, Dice Guido. Decidió hablar sobre las tácticas de Voatz después de ver cómo ignoraban tanto los hallazgos del MIT como el informe de su propia compañía. En una entrevista, criticó rotundamente a la firma, diciendo que «no deberían estar en esta industria», una marcada diferencia con el tono del informe. «Cuando me enteré de que Voatz estaba abordando estos problemas atacando a las personas que informaban los problemas, y estaban tergiversando la revisión del código en su informe de Amicus, tuve que hablar», dice Guido. «Creo que Voatz es activamente perjudicial para la seguridad de las elecciones y para otros proveedores electorales».

Path of Bits no es la única empresa que se separa de Voatz. En marzo, HackerOne, una empresa de servicios de programas de recompensas por errores, descartó a Voatz después de que la compañía retiró cualquier promesa de no procesar a los investigadores, conocidos en la industria como acuerdos de «puerto seguro», de su programa de recompensas por errores. HackerOne nunca había abandonado a un cliente antes de Voatz.

Si la Corte Suprema de EE. UU. Limita la aplicación de la CFAA, eso podría terminar con el ciclo de amenazas legales de las empresas de tecnología y las tácticas de denunciar y avergonzar por parte de los investigadores de seguridad que aparecen cada pocos años, dice Alex Rice, director de tecnología de HackerOne.

“Nombrar y avergonzarnos nos ha ayudado a avanzar en la investigación de vulnerabilidades, pero no creo que se pueda decir que esta relación entre las empresas y los investigadores de seguridad &#39funcione bien&#39”, dice. «Por otro lado, el incumplimiento de las restricciones de una empresa a una &#39T&#39 no debe ser convertido en arma ni criminalizado para forzar el cumplimiento».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading through, MIT&#39s Engineering Overview, Well-known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique