Abgestimmt: Sicherheitsforscher schlagen Voatz über Haltung gegenüber White-Hat-Hackern

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Ein anhängiger Fall des Obersten Gerichtshofs der USA hat das Potenzial, das White-Hat-Hacking grundlegend zu ändern. Der Fall befasst sich mit dem Computer Fraud and Abuse Act (CFAA) und könnte feststellen, ob Sicherheitsforscher in gutem Glauben, auch als White-Hat-Hacker bekannt, strafrechtlich verfolgt werden könnten, wenn sie Schwachstellen in Systemen untersuchen.

Wenn eine umfassende Auslegung der CFAA beschlossen wird, würde dies nicht nur die Blockchain-Technologie, den Austausch und die Kryptografie betreffen, sondern das gesamte Gebiet der Sicherheitsforschung.

Und dann watete die Blockchain-Voting-Firma Voatz in den Diskurs.

Van Buren gegen die Vereinigten Staaten

Der Oberste Gerichtshof verhandelt derzeit über Van Buren gegen die Vereinigten Staaten, in dem ein ehemaliger Polizeibeamter aus Georgia im Rahmen der CFAA verurteilt wurde, weil er gegen Geld ein Nummernschild in einer Strafverfolgungsdatenbank nachgeschlagen hatte. Die Anklage im Rahmen der CFAA konzentrierte sich auf die gesetzlich festgelegte Definition dessen, was "den autorisierten Zugang übersteigt", was notorisch vage ist.

Die CFAA ist ein Anti-Hacking-Gesetz, das 1986 in Kraft trat. Wenn sich das Gericht für eine breite Auslegung des Gesetzes einsetzt (wie die Regierung argumentiert), könnte dies laut Experten eine abschreckende Wirkung auf wichtige Sicherheitsforschung haben.

Eine breite Interpretation würde es Unternehmen ermöglichen, darzulegen, was "autorisierter Zugriff" in ihren Nutzungsbedingungen bedeutet, anstatt eine technische Barriere (wie ein Passwort) in einem System zu implementieren, das Sicherheitsforscher alarmiert, wenn sie zu weit gegangen sind.

Voatz betreten

Voatz war wiederholt Gegenstand kritischer Sicherheitsforschung, die CoinDesk zuvor dokumentiert hat. In einem Fall haben MIT-Studenten die Voatz-App rückentwickelt und Sicherheitslücken gefunden. Voatz widerlegte diese Ergebnisse zunächst, obwohl einige der Probleme später von Trail of Bits, einer von Voatz beauftragten Sicherheitsfirma, bestätigt wurden. Das Unternehmen ging sogar so weit, den Sicherheitsforscher für Studenten wegen angeblicher „nicht autorisierter Aktivitäten“ im Rahmen der CFAA an staatliche Behörden zu verweisen.

Die Electronic Frontier Foundation (EFF) kritisierte Voatz namentlich in einem beim Gericht eingereichten Schriftsatz als Beispiel für ein Unternehmen, das einen aggressiven Ansatz gegenüber Sicherheitsforschern in gutem Glauben verfolgt. Voatz meldete dem Federal Bureau of Investigation auch einen Studenten der University of Michigan, "weil der Student die mobile Voting-App von Voatz für einen Wahlsicherheitskurs für Studenten untersucht hat".

Voatz hat seitdem im Fall Van Buren (an dem es nicht beteiligt ist) einen Amicus Brief eingereicht, in dem er sich dafür einsetzt, den Anwendungsbereich der CFAA breit zu halten. Es wurde vorgeschlagen, dass White-Hat-Hacker ihre Untersuchungen zu potenziellen Schwachstellen erst dann durchführen sollten, wenn sie das Unternehmen, das sie bewerten, alarmiert und dessen Segen erhalten haben.

Solche Praktiken sind in der Sicherheitsgemeinschaft nicht üblich, obwohl White-Hat-Hacker Unternehmen auf Schwachstellen aufmerksam machen, wenn sie gefunden werden.

Sicherheitsforscher klatschen zurück

Als Reaktion auf Voatz 'Einreichung verfasste eine Schar von Sicherheitsforschern und -organisationen einen offenen Brief, um die Aufzeichnung öffentlich zu korrigieren.

Der Brief wurde von Jack Cable angeführt, einem der weltweit führenden ethischen Hacker. Laut Reed Loden, Chief Open Source Security Evangelist bei HackerOne, einer Plattform, die zuvor Verbindungen zu Voatz gekappt hatte und deren Gründer Unterzeichner des. War, ist Cable auch ein Student an der Stanford University, der „unglaubliche Arbeit“ im Bereich Cybersicherheit und Wahlen leistet Brief. Es war das erste Mal, dass HackerOne eine Firma entfernt hat, die damit ein Bug-Bounty-Programm hostete.

„Wir wollten klarstellen, dass Voatz 'Position nicht von der Community der Cybersicherheits- und Sicherheitsforscher unterstützt wird, betonen, dass Sicherheitsforscher einen großen Beitrag zur Sicherheit unserer digitalen Gesellschaft leisten, und unterstreichen, dass Voatz eine breite Interpretation der CFAA ist Befürwortung und Bedrohung von Sicherheitsforschungsaktivitäten auf nationaler Ebene “, sagte Loden in einer E-Mail.

Der Brief beschreibt die Art und Weise, wie Voatz 'Einreichung angeblich eigennützig war, und einen Indikator dafür, wie Unternehmen wie Voatz eine breite Interpretation der CFAA verwenden könnten, um kritische Sicherheitsforscher weiter zu bekämpfen.

Voatz antwortete nicht auf die Kommentare von CoinDesk.

Das Ausmaß des „autorisierten Zugriffs“

Das Zentrum für Demokratie und Technologie (CDT) ist einer der Unterzeichner des offenen Briefes. Stan Adams, stellvertretender General Counsel des CDT und Open Internet Counsel, hat den Fall in einem Telefonat mit CoinDesk in zwei Argumente unterteilt.

Laut Adams würden Sicherheitsforscher wahrscheinlich davon abgehalten, Forschungsarbeiten durchzuführen, wenn eine umfassende Entscheidung über die CFAA getroffen wird, aus Angst, den Teil des Gesetzes zu verletzen, der den autorisierten Zugang überschreitet.

Eine breite Interpretation würde es Unternehmen ermöglichen, darzulegen, was „autorisierter Zugriff“ in ihren Nutzungsbedingungen bedeuten könnte, die leicht geändert und geändert werden können, wodurch Sicherheitsforscher einem höheren Risiko ausgesetzt werden.

"Vage Gesetze wie die CFAA können Sicherheitsforschung töten", sagte Adams. "Die Regierung der Vereinigten Staaten möchte, dass der Zugang durch Dinge wie Nutzungsbedingungen und andere schriftliche Ausdrücke von Zugangsbeschränkungen eingeschränkt werden kann, anstatt durch das, was wir bevorzugen würden, was eine Art technische Barriere darstellt."

Die Idee ist, dass ein Forscher, wenn er von einer technischen Barriere wie einem Passwort oder einem Verschlüsselungsgerät beherrscht wird, weiß, dass er die Grenzen seines autorisierten Zugriffs erreicht hat. Wenn die Grenzen des autorisierten Zugriffs in schwer zu findenden und noch schwerer zu lesenden Nutzungsbedingungen festgelegt würden, würden Sicherheitsforscher raten und einen erschreckenden Effekt auf die Forschung insgesamt haben, fügte er hinzu.

Ein abschreckender Effekt auf Fintech- und Kryptoforscher?

Die Auswirkungen auf die Forschung gelten nicht nur für Unternehmen wie Voatz, obwohl man kaum behaupten kann, dass ein Unternehmen, das sich mit digitalen Abstimmungen befasst, keine eingehende Prüfung erfordert.

Tech auf der ganzen Linie wäre betroffen. Matt Hill, CEO des Open-Source-Startups Lab9 für Datenschutztechnologien, sagte, White-Hat-Hacking sei der Schlüssel für jede Art von Technologie. Ohne sie könnten einfache Softwarefehler zu systemischen Infektionen werden, die von böswilligen Akteuren ausgenutzt werden könnten. In der Welt der Kryptowährung haben solche Akteure den Austausch geleert und die Kryptowährungen der Menschen gestohlen.

"Eine ehrliche Organisation, die entschlossen ist, sichere Produkte zu entwickeln, wird White-Hat-Angriffe fördern, egal wie schlecht die Ergebnisse sind, denn nur so kann ihr System sicher werden", sagte Hill.

"Eine Organisation, die versucht, einen als Sicherheit verpackten Lehmklumpen, auch als Vaporware oder Betrug bezeichnet, zu verkaufen, wird alles tun, um Angriffe zu verhindern – um die interne Täuschung und die externe Illusion so lange wie möglich aufrechtzuerhalten."

Ein sicherer Hafen mit weißem Hut

Jason Gottlieb, Partner bei Morrison Cohen LLP und Vorsitzender der White Collar and Regulatory Enforcement Practice Group, sagte, dass die CFAA seiner Ansicht nach bis zur Änderung der CFAA durch den Kongress, um zu klären, was „nicht autorisierter Zugang“ bedeutet, so ausgelegt werden sollte, dass sie dies ermöglicht Ein sicherer Hafen für White-Hat-Hacking.

Um klar zu sein, sagte er, dass das Hacken wirklich ein weißer Hut sein muss und die Last bei den weißen Hüten liegen sollte, um zu demonstrieren, dass ihre Absichten eher helfen als schaden sollten.

"White-Hat-Hacking ist eine Schlüsselkomponente bei der Implementierung von Datensicherheitsprogrammen und das schon sehr lange", sagte Gottlieb. "Angesichts der zunehmenden Bedeutung der Cybersicherheit in der Blockchain- und Kryptowährungsbranche sollten wir transparentes White-Hat-Hacking fördern, um alle Systeme besser zu machen."

Adams bestätigte, dass eine umfassende Entscheidung Fintech-Unternehmen und Krypto-Börsen dazu ermutigen könnte, sich auf White-Hat-Hacker einzulassen, da „sie starke Anreize haben, nicht als fehlerhaft wahrgenommen zu werden“. Abgesehen davon erkannte er auch, dass Unternehmen auch sicher sein möchten, da es sich letztendlich um das Online-Geld der Öffentlichkeit handelt.

"Unabhängig davon ist Sicherheit durch Dunkelheit nicht der richtige Weg", sagte Adams. "Die CFAA ist ein ziemlich schwerer Hammer."

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close