(Techa Tungateja/iStock/Getty Images Plus)

Правда: исследователи в области безопасности шлема Voatz за позицию на белые шляпы хакеры

Находящееся на рассмотрении Верховного суда США дело имеет потенциал для фундаментального изменения взлома белых шляп. Это дело рассматривает закон о компьютерном мошенничестве и злоупотреблениях (CFAA) и может определить, могут ли добросовестные исследователи безопасности, также известные как хакеры в белых шляпах, подлежать уголовному наказанию за исследование уязвимостей в системах. 

Если будет принято решение о широкой интерпретации CFAA, это повлияет не только на технологию блокчейна, биржи и криптографию, но и на область исследований безопасности в целом. 

А затем в дискурс вступила блокчейн-голосующая компания Voatz. 

Регистрируясь, вы будете получать электронные письма о продуктах CoinDesk и соглашаетесь с нашими правилами и условиями и политикой конфиденциальности.

Ван Бюрен против Соединенных Штатов

В настоящее время Верховный суд рассматривает дело Ван Бюрен против Соединенных Штатов, в котором бывший сотрудник полиции Джорджии был осужден в соответствии с CFAA за поиск номерного знака в базе данных правоохранительных органов в обмен на деньги. Обвинение в соответствии с CFAA сосредоточилось вокруг определения закона о том, что “превышает разрешенный доступ”, которое, как известно, является расплывчатым. 

CFAA-это закон о борьбе с хакерством, который вступил в силу в 1986 году.  По мнению экспертов, если суд встанет на сторону широкой интерпретации закона (как это делает правительство), это может оказать охлаждающее воздействие на важные исследования в области безопасности. 

Широкое толкование позволило бы компаниям изложить, что означает “авторизованный доступ” в их условиях обслуживания, а не внедрять технический барьер (например, пароль) в систему, которая предупреждала бы исследователей безопасности, когда они заходили слишком далеко. 

Входит Воатц

Voatz неоднократно становился предметом критических исследований безопасности, которые CoinDesk ранее документировала. В одном случае студенты Массачусетского технологического института перепроектировали приложение Voatz и обнаружили уязвимости в системе безопасности. Воатц первоначально опроверг эти выводы, хотя некоторые из них были позже подтверждены Trail of Bits, охранной фирмой, нанятой Воатцем. Компания даже зашла так далеко, что направила исследователя студенческой безопасности в государственные органы за предполагаемую “несанкционированную деятельность” в соответствии с CFAA. 

Фонд Electronic Frontier Foundation (EFF) раскритиковал Voatz по имени в кратком отчете, поданном в суд, как пример компании, которая использует агрессивный подход к добросовестным исследователям безопасности. Воатц также сообщил о студенте Мичиганского университета в Федеральное бюро расследований, “потому что этот студент проводил исследование мобильного приложения для голосования Воатца для курса безопасности студенческих выборов”, согласно резюме.

С тех пор воатц подал заявление amicus по делу Ван Бюрена (к которому он не является стороной), обосновывая необходимость сохранения широкого охвата CFAA. Он предложил, чтобы хакеры из белых шляп проводили свои расследования потенциальных уязвимостей только после того, как они предупредили компанию, которую они оценивают, и получили ее благословение. 

Такая практика не распространена в сообществе безопасности, хотя хакеры в белых шляпах предупреждают компании об уязвимостях, если они обнаружены. 

Исследователи безопасности хлопают в ответ

Напишите комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*