Voatz fordert im Brief des Obersten Gerichtshofs Beschränkungen für die unabhängige Cybersicherheitsforschung

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Das Blockchain-Voting-Startup Voatz argumentierte, dass Bug-Bounty-Programme in Bezug auf Cybersicherheit unter strenger Aufsicht in einem Brief eines „Freundes des Gerichts“ vor dem Obersten Gerichtshof der Vereinigten Staaten (SCOTUS) durchgeführt werden sollten.

Voatz hat am Donnerstag Van Buren gegen die Vereinigten Staaten gewogen, ein Fall des Obersten Gerichtshofs, in dem untersucht wurde, ob es ein Bundesverbrechen ist, wenn jemand „zu einem unzulässigen Zweck“ auf einen Computer zugreift, wenn er bereits die Erlaubnis hat, auf andere Dateien auf diesem Computer zuzugreifen.

Nathan Van Buren, der Petent in dem Fall, ist ein ehemaliger Polizeibeamter in Georgia, der nach dem Computer Fraud and Abuse Act (CFAA) angeklagt wurde, nachdem er ein Nummernschild für einen Bekannten nachgeschlagen hatte. Van Buren behauptet, dass eine Entscheidung eines niedrigeren Gerichts, die seine Überzeugung bestätigte, bedeuten könnte, dass „jeder„ geringfügige Verstoß “gegen ein Computersystem ein Bundesverbrechen sein könnte.

Der Anwendungsbereich des Falls scheint sich erweitert zu haben und befasst sich nicht nur mit Verstößen, sondern auch mit der Frage, wie die CFAA selbst interpretiert werden kann. Die in den SCOTUS-Briefs aufgeführte Frage lautet:

„Ob die Beweise ausreichten, um festzustellen, dass der Petent, ein Polizeisergeant, seinen autorisierten Zugang zu einem geschützten Computer überschritten hat, um Informationen für finanzielle Gewinne zu erhalten, was gegen 18 US-Bundesstaaten verstößt. 1030 (a) (2) (C) und (c) (2) (B) (i) durchsuchte er im Austausch gegen eine Barzahlung eine vertrauliche Strafverfolgungsdatenbank nach Informationen darüber, ob eine bestimmte Person verdeckt war Polizist."

Die USA, der Befragte, argumentierten, der Fall sei ein "schlechtes Mittel", um zu prüfen, ob die CFAA zu weit gefasst ist, und sagten in ihrem Schriftsatz, dass die SCOTUS-Überprüfung nicht einmal gerechtfertigt sei.

In seinem Brief sagt Voatz, dass die CFAA nicht eingegrenzt werden muss und einige Verstöße gegen Computersysteme notwendig sind. Das Unternehmen argumentiert jedoch, dass Forscher, die potenzielle Schwachstellen untersuchen, sich vorher speziell bei den Unternehmen erkundigen sollten, die sie bewerten, und nur mit der Genehmigung der Unternehmen fortfahren sollten.

"Bug Bounty-Programme sind sehr effektiv", schrieb Voatz. "Sie sind in der Technologiebranche äußerst verbreitet, und selbst außerhalb dieser Branche ergab eine Umfrage im Jahr 2019, dass 42 Prozent der Unternehmen außerhalb der Technologiebranche ein Crowdsourcing-Cybersicherheitsprogramm durchführten."

Der Auftrag könnte eine Antwort auf einen anderen Bericht einer Gruppe von Sicherheitsforschern sein, die argumentieren, dass die CFAA tatsächlich „zu weit ausgelegt“ wurde, was die Bemühungen um Computersicherheit behindert. Dieser Brief kritisiert Voatz unter anderem.

Breite Regeln

Voatz wurde insbesondere von Cybersicherheitsforschern kritisiert, unter anderem von einem Team am MIT, das im Februar einen Bericht veröffentlichte, in dem behauptet wurde, Voatz habe unzureichende Transparenz und seine internen Systeme seien mit einer Reihe von Schwachstellen konfrontiert. Voatz hat die Behauptungen im Bericht bestritten.

Trail of Bits, ein weiteres Cybersicherheitsunternehmen, das Voatz zur Durchführung einer Prüfung seiner Systeme herangezogen hat, bestätigte die Behauptungen der MIT-Forscher in einem nachfolgenden Bericht.

Voatz hat sich auch direkt mit Forschern auseinandergesetzt. Ende letzten Jahres gab der US-Anwalt Mike Stuart bekannt, dass das FBI einen „erfolglosen Versuch eines Eindringens“ in Voatz prüfe, der wahrscheinlich von einem Studenten der Universität von Michigan oder von Studenten, die an einem Sicherheitskurs teilnehmen, verursacht wurde.

In seinem Brief sagte Voatz, dass die "schlecht beratenen Aktivitäten der Studenten" den Beamten in West Virginia gemeldet wurden, weil das Unternehmen nicht zwischen ihrer Forschung und einem tatsächlichen feindlichen Angriff unterscheiden konnte.

"Unabhängig von den Einzelheiten zeigt der Vorfall in West Virginia jedoch den Schaden, der durch den Angriff oder die" Erforschung "kritischer Infrastrukturen ohne ordnungsgemäßen Zugang oder Genehmigung verursacht wird, insbesondere während einer Wahl", schrieb Voatz.

Nicht böswillige Forscher, die versuchen, in digitale Tools einzudringen, "verursachen erhebliche zusätzliche Kosten" für Organisationen, heißt es in dem rechtlichen Bericht, und könnten das Vertrauen der Öffentlichkeit schädigen.

Jake Williams, der Rendition Security gründete, sagte gegenüber CNET, dass eine "große Mehrheit" der Cybersicherheitsforscher wahrscheinlich keine Genehmigung habe, was bedeutet, dass Voatz 'Unterstützung für eine breite CFAA es "100% schwieriger" für Forscher machen würde.

Voatz 'Brief kommt einen Tag nach der Veröffentlichung einer Presseerklärung, in der behauptet wird, die Michigan Democratic Party habe ihre App während eines kürzlich abgehaltenen Parteitags verwendet, als sie für eine Reihe von Positionen gestimmt hat. Die Michigan Democratic Party gab eine Bitte um Stellungnahme nicht sofort zurück.

Entgegengesetzte Ansichten

Abgesehen von Voatz 'Argumenten enthält sein Brief eine Reihe von Zitaten und Behauptungen, denen der Kontext zu fehlen scheint.

Voatz sagt, dass es bei 70 Wahlen verwendet wurde, einschließlich Land- und Kommunalwahlen, und behauptet in dem Brief, dass es vom Department of Homeland Security als „kritische Infrastruktur“ angesehen wird.

Zu den Wahlen gehören West Virginia (das im März angekündigt hat, Voatz nicht für die bevorstehenden Wahlen zu verwenden) und Utah County (dessen Sachbearbeiter und Wirtschaftsprüfer eine Spende in Höhe von 1.500 US-Dollar von Jonathan Johnson, CEO von Overstock, erhalten hat, der auch Präsident des Voatz-Investors Medici Ventures ist ).

Das Unternehmen hat erklärt, dass es die Anforderungen von Pro V & V, einem Testlabor für Abstimmungssysteme des Bundes, erfüllt. Laut Eric Geller, Reporter für Cybersicherheit bei Politico,Der Bericht ist bedeutungslos„Weil die Standards vor Jahren festgelegt wurden und die Bewertung nicht objektiv war.

Eddie Perez, der globale Direktor für technische Entwicklung am Open Source Election Technology Institute, schrieb, dass die Election Assistance Commission (EAC), die Bundesbehörde, die Pro V & V akkreditiert hat, hat eigentlich keine nationalen Standards für Fernabstimmungssysteme.

Die EAC selbst veröffentlichte eine Erklärung, in der es heißt: „Diese Testberichte sollten von keiner der beiden als implizite Genehmigung angesehen werden [voting system test laboratories] oder die EAC, dass die bewerteten Systeme mit der kompatibel sind [voluntary voting system guidelines] Standard oder entsprechen einem EAC-zertifizierten Abstimmungssystem. “

"Derzeit werden diese Programme von Voatz selbst organisiert, aber in der Vergangenheit wurden einige von einem Anbieter wie HackerOne Inc. durchgeführt", heißt es in dem Brief. Es wurde nicht erwähnt, dass HackerOne im März die Verbindung zu Voatz abgebrochen hat.

HackerOne-Gründer und CTO Alex Rice sagte auf Twitter "Wir unterstützen die gegenteiligen Argumente der Electronic Frontier Foundation (EFF), die eine Verengung der CFAA fordert, im Gegensatz zu Voatz, der HackerOne in dem Brief zitierte.

In ähnlicher Weise zitierte Casey Ellis, Gründer und CTO der Crowdsourcing-Sicherheitsplattform Bugcrowd, die Voatz mehrfach zitierte. schrieb auch dass er sich abmeldete und den Auftrag des EFF unterstützte und nicht den von Voatz.

Sowohl Rice als auch Ellis sagten, Voatz habe sie vor Einreichung des Schriftsatzes nicht kontaktiert.

Offenlegung

CoinDesk ist führend in Blockchain-Nachrichten und ein Medienunternehmen, das nach höchsten journalistischen Standards strebt und strenge redaktionelle Richtlinien einhält. CoinDesk ist eine unabhängige operative Tochtergesellschaft der Digital Currency Group, die in Kryptowährungen und Blockchain-Startups investiert.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close