Voatz在最高法院摘要中呼吁限制独立网络安全研究
发布:中币网 时间:2020-09-04 00:00:00 加入收藏 打赏
区块链投票初创公司Voatz认为,有关网络安全的漏洞赏金计划应在美国最高法院(SCOTUS)的“法院之友”简介中严格监督。
Voatz在周四对Van Buren诉美国一案进行了权衡,这是一个最高法院的案件,该案件审查了如果某人已经获得访问该计算机上其他文件的许可,则“出于不当目的”访问该计算机是否属于联邦罪行。
案件的请愿人内森·范·布伦(Nathan Van Buren)是佐治亚州的一名前警官,他在查了一个相识的车牌后,根据《计算机欺诈和滥用法》(CFAA)被起诉。 范布伦(Van Buren)声称,维持原判的较低法院裁决可以被认为是“对计算机系统的任何“重大侵犯”都可能构成联邦犯罪。
该案的范围似乎扩大了,不仅解决了违规问题,还解决了CFAA本身的解释方式。 SCOTUS简介中列出的问题如下:
“证据是否足以证明上尉(警察中士)超出了他对受保护计算机的授权访问范围,以获取经济利益信息,这违反了18 USC 1030(a)(2)(C)和(c)( 2)(B)(i),当他换取现金付款时,他搜索了一个秘密的执法数据库,以获取有关某个人是否是秘密警察的信息。”
被告美国认为,该案对于检查CFAA是否过于广泛是“不良手段”,并在其摘要中表示甚至没有必要对SCOTUS进行审查。
Voatz在简短的发言中说,不需要缩小CFAA的范围,并且有必要破坏计算机系统。 但是,该公司认为,研究潜在漏洞的研究人员应在进行评估之前,先与他们评估的公司进行核对,并且仅应获得该公司的授权。
“漏洞悬赏计划非常有效,” Voatz写道。 “它们在技术行业中非常普遍,甚至在该行业之外,2019年的一项调查显示,技术行业以外的公司中有42%的公司正在运行众包的网络安全计划。”
该摘要可能是对一组安全研究人员提交的另一份文件的回应,他们认为CFAA确实“被解释得过于宽泛”,从而阻碍了计算机安全工作。 本摘要在其他论点中批评了沃茨。
广泛的规则
Voatz尤其受到网络安全研究人员的批评,其中包括MIT的一个团队,该团队在2月份发表了一份报告,声称Voatz的透明度不足,并且其内部系统面临许多漏洞。 Voatz对报告中的主张提出异议。
Voatz聘请的另一家网络安全公司Trail of Bits对其系统进行了审计,在随后的报告中证实了MIT研究人员的主张。
Voatz也直接与研究人员争吵。 去年年底,美国检察官迈克·斯图尔特(Mike Stuart)宣布,联邦调查局正在调查“未成功入侵”瓦茨(Vaatz),这可能是由密歇根大学的一名学生或参加安全课程的学生造成的。
沃茨在摘要中说,“学生的不明智活动”是向西弗吉尼亚州官员报告的,因为该公司无法区分他们的研究和实际的敌对攻击。
“无论具体情况如何,西弗吉尼亚州的事件都说明了在没有适当访问或授权的情况下,尤其是在选举期间,攻击或’研究’关键基础设施所造成的危害,” Voatz写道。
法律简报称,试图闯入数字工具的非恶意研究人员“给组织增加了巨大的额外成本”,并可能损害公众的信心。
创建Rendition Security的杰克·威廉姆斯(Jake Williams)告诉CNET,“绝大多数”网络安全研究人员可能没有授权,这意味着沃茨对广泛的CFAA的支持将“ 100%使研究人员更加困难”。
沃茨(Vaatz)的简介是在其发表新闻声明的第二天,该声明称密歇根民主党在最近一次党代表大会上投票选举多个职位时使用了其应用。 密歇根州民主党没有立即返回置评请求。
相反的看法
撇开Voatz的论点,它的摘要提出了许多缺乏上下文的引证和主张。
沃茨说,它已经在包括州和市级选举在内的70场选举中使用,并简短地声称被国土安全部视为“关键基础设施”。
选举包括西弗吉尼亚州(3月份宣布不会在即将举行的选举中使用沃茨)和犹他州(其书记兼审计员从积压库存首席执行官乔纳森·约翰逊(Jonathan Johnson)那里获得了1,500美元的竞选捐款,他也是沃茨投资人Medici Ventures的总裁)。
该公司表示已经达到了联邦投票系统测试实验室Pro V&V的要求,但据Politico网络安全记者Eric Geller称,“该报告毫无意义”,因为这些标准是在几年前制定的,而且评估不客观。
开源选举技术研究所全球技术开发总监埃迪·佩雷斯(Eddie Perez)写道,获得Pro V&V认证的联邦选举援助委员会(EAC)实际上没有远程投票系统的任何国家标准。
EAC本身发表了一项声明,称“这些测试报告不应被任何一个国家或地区视为默示批准。 [voting system test laboratories] 或EAC评估的系统是否符合 [voluntary voting system guidelines] 标准或等效于EAC认证的投票系统。”
简报说:“目前,这些程序是由Voatz自己组织的,但过去有些是通过诸如HackerOne Inc.之类的供应商进行的。” 它没有提到三月份HackerOne与Voatz断绝关系。
更重要的是,HackerOne创始人兼首席技术官Alex Rice在Twitter上表示,“我们支持”电子前沿基金会(EFF)提出的相反论点,该呼吁要求缩小CFAA,而沃茨则在摘要中引用了HackerOne。
同样,众包安全平台Bugcrowd的创始人兼首席技术官Casey Ellis(沃茨多次引用)也写道,他签署并支持EFF的摘要,而不是Voatz的摘要。
赖斯和埃利斯都表示,沃茨在提交简报之前没有与他们联系。
来源:https://www.coindesk.com/voatz-voting-supreme-court-brief-bu
来源:中币网 https://www.zhongbi.net/news/blocknews/248586.html 声明:登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。 此文如侵犯到您的合法权益,请联系我们3111859717@qq.com,我们将第一时间处理。