LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > 否决票:安全研究人员猛烈抨击Voatz对白帽子黑客的立场

否决票:安全研究人员猛烈抨击Voatz对白帽子黑客的立场

2020-10-06 wanbizu AI 来源:区块链网络

美国最高法院悬而未决的案件有可能从根本上改变白帽黑客的行为。 该案着眼于《计算机欺诈和滥用法》(CFAA),可以确定诚信安全研究人员(也称为白帽黑客)是否可能因研究系统漏洞而受到刑事处罚。

如果决定对CFAA进行广泛的解释,它将不仅影响区块链技术,交易所和加密,而且还将影响整个安全研究领域。

然后区块链投票公司Voatz涉足了话题。

订阅我们每日更新的最新消息Blockchain Bites,订阅后,您将收到有关CoinDesk产品的电子邮件,并且您同意我们的条款和条件以及隐私政策.Van Buren诉美国

最高法院目前正在审理Van Buren诉美国案,在该案中,一名前乔治亚州警察因在执法数据库中查找车牌以换取金钱而被定罪。 CFAA的指控主要围绕法律对“超出授权访问权限”的定义,这是众所周知的。

CFAA是一项反黑客法,于1986年生效。据专家称,如果法院对法律有广泛的解释(如政府所主张的那样),它将对重要的安全研究产生令人不寒而栗的影响。

广泛的解释将允许公司列出服务授权中“授权访问”的含义,而不是在系统中实施技术障碍(例如密码),该系统会在安全研究人员走得太远时发出警报。

输入Voatz

Voatz一直是CoinDesk先前记录的关键安全性研究的主题。 在一个实例中,麻省理工学院的学生对Voatz应用程序进行了反向工程,并发现了安全漏洞。 沃茨最初反驳了这些发现,尽管后来沃茨聘请的安全公司Trail of Bits证实了其中一些问题。 该公司甚至甚至将学生安全研究人员转介至州当局,以进行CFAA指控的“未经授权的活动”。

电子前沿基金会(EFF)在向法院提交的简短摘要中对沃茨(Vaatz)进行了批评,以此作为一家公司对诚信安全研究人员采取积极进取态度的例子。 简报称,沃茨还向联邦调查局报告了密歇根大学的一名学生,“因为该学生对沃茨的移动投票应用程序进行了大学选举安全课程的研究”。

此后,沃茨就范布伦案(不是当事人)提起了法庭之友书,为保持CFAA的适用范围提供了理由。 它建议白帽黑客仅在通知了正在评估的公司并获得其祝福后,才应对潜在漏洞进行调查。

尽管白帽子黑客确实会警告公司漏洞,但这种做法在安全社区中并不常见。

安全研究人员鼓掌回击

为了回应Voatz的申请,一群安全研究人员和组织写了一封公开信以公开更正记录。

这封信是由世界上最大的道德黑客之一杰克·凯尔(Jack Cable)率先提出的。 Cableer也是斯坦福大学的一名本科生,他在网络安全和选举领域“做着令人难以置信的工作”,HackerOne的首席开源安全宣传官里德·洛登(Reed Loden)说。信件。 这是HackerOne第一次删除一家公司来使用它托管一个漏洞赏金计划。

“我们想明确指出,Voatz的职位不受网络安全和安全研究人员社区的支持,强调安全研究人员为我们数字社会的安全做出了巨大贡献,并强调对CFAA的广泛解释就是Voatz的意思。提倡在国家层面威胁安全研究活动,”洛登在一封电子邮件中说。

这封信列出了Voatz涉嫌自我服务的方式,并表明了Voatz这样的公司可能如何使用CFAA的广泛解释来进一步打击关键安全研究人员。

Voatz没有回应CoinDesk的置评请求。

“授权访问”的程度

民主技术中心(CDT)是公开信的签署人之一。 CDT的副总顾问兼开放互联网顾问Stan Adams在与CoinDesk的电话中将案件分解为两个论点。

根据Adams的说法,如果对CFAA做出广泛裁定,则由于担心违反法律的“超额授权使用权”部分,安全研究人员可能不愿进行研究。

广泛的解释将使公司能够阐明“授权访问”在其服务条款中可能意味着什么,可以很容易地对其进行更改和更改,从而使安全研究人员面临更大的风险。

“像CFAA这样的模糊法律可能会扼杀安全研究,”亚当斯说。 “美国政府希望通过使用条款和其他书面形式的访问限制来限制访问,而不是我们希望的那样,这是某种技术障碍。”

这个想法是,研究人员如果受到诸如密码或加密设备之类的技术障碍的约束,就会知道他们已经达到了授权访问的极限。 他补充说,将授权访问的限制放在难以发现甚至难以理解的服务条款中,将使安全研究人员产生猜测,并给整个研究带来令人不寒而栗的影响。

对金融科技和加密货币研究人员产生寒蝉效应?

对研究的影响不仅适用于像Voatz这样的公司,尽管很难说服从事数字投票的公司不进行严格的审查。

全面的技术将受到影响。 开源,隐私技术初创公司Start9 Labs的首席执行官马特·希尔(Matt Hill)表示,白帽黑客入侵是任何一种技术的关键。 没有它,简单的软件错误可能会变成系统性感染,恶意行为者可能会利用它们。 加密货币世界已经看到这样的参与者虚空交易并窃取人们的加密货币。

希尔说:“无论结果如何糟糕,一个致力于构建安全产品的诚实组织都会鼓励白帽攻击,因为这是使系统变得安全的唯一途径。”

“一个组织试图出售被包装成一堆的被当作安全物品的粘土,也被称为汽具或骗局,它将竭尽所能防止攻击-尽可能长时间地保持内部错觉和外部错觉。”

白帽安全港

莫里森·科恩律师事务所(Morrison Cohen LLP)的合伙人,白领和监管执法实践小组主席Jason Gottlieb表示,他认为,在国会修改CFAA以澄清“未经授权的使用权”的含义之前,CFAA的解释方式应为白帽黑客入侵的安全港。

不过要明确一点,他说,黑客行为必须是真正的白帽子,而白帽子的负担应由白帽子承担,以表明其意图是帮助而不是伤害。

Gottlieb说:“白帽黑客攻击是任何数据安全程序实施的关键组成部分,并且已经存在了很长时间。” “鉴于网络安全在区块链和加密货币行业中的重要性日益提高,我们应该鼓励透明的白帽黑客攻击,以使所有系统变得更好。”

亚当斯(Adams)证实,一项广泛的裁决可能会鼓励金融科技公司和加密货币交易所对白帽黑客采取严厉措施,因为“他们有强烈的动机不被视为有缺陷。” 话虽如此,他还意识到公司也可能希望获得安全保障,因为这是一天结束时公众的钱。

亚当斯说:“无论如何,默默无闻的安全性不是前进的方向。” “ CFAA是一支挥舞着非常重的锤子。”

—-

原文链接:https://www.coindesk.com/security-researchers-voatz-white-hats

原文作者:Benjamin Powers

编译者/作者:wanbizu AI

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...