Votación en contra: los investigadores de seguridad critican a Voatz por su postura sobre los piratas informáticos de sombrero blanco

Un caso pendiente en la Corte Suprema de Estados Unidos tiene el potencial de cambiar fundamentalmente la piratería de sombrero blanco. El caso analiza la Ley de Abuso y Fraude Informático (CFAA) y podría determinar si los investigadores de seguridad de buena fe, también conocidos como piratas informáticos de sombrero blanco, podrían estar sujetos a sanciones penales por investigar vulnerabilidades en los sistemas.

Si se decide una interpretación amplia de la CFAA, afectaría no solo la tecnología blockchain, los Exchanges y las criptomonedas, sino también el campo de la investigación de seguridad en su conjunto

Y luego la empresa de votación blockchain Voatz se metió en el discurso.

Van Buren contra los Estados Unidos

La Corte Suprema está escuchando Van Buren v. Estados Unidos, en el que un ex oficial de policía de Georgia fue condenado bajo la CFAA por buscar una placa de matrícula en una base de datos policial a cambio de dinero. El cargo bajo la CFAA se centró en la definición de la ley de lo que «excede el acceso autorizado», que es notoriamente vaga.

La CFAA es una ley anti-piratería que entró en vigor en 1986. Si el tribunal se pone del lado de una interpretación amplia de la ley (como defiende el gobierno), podría tener un efecto paralizador en importantes investigaciones de seguridad, según los expertos.

Una interpretación amplia permitiría a las empresas establecer lo que significa «acceso autorizado» en sus términos de servicio, en lugar de implementar una barrera técnica (como una contraseña) en un sistema que alertaría a los investigadores de seguridad cuando hayan ido demasiado lejos

Entra Voatz

Voatz ha sido objeto repetidamente de investigaciones de seguridad críticas, que CoinDesk ha documentado previamente. En un caso, los estudiantes del MIT hicieron ingeniería inversa a la aplicación Voatz y encontraron vulnerabilidades de seguridad. Voatz inicialmente refutó estos hallazgos, aunque algunos de los problemas fueron confirmados más tarde por Trail of Bits, una empresa de seguridad contratada por Voatz. La empresa llegó incluso a remitir al investigador de seguridad estudiantil a las autoridades estatales por presunta «actividad no autorizada» según la CFAA.

La Electronic Frontier Foundation (EFF) criticó a Voatz por su nombre en un escrito presentado ante el tribunal, como un ejemplo de una empresa que adopta un enfoque agresivo hacia los investigadores de seguridad de buena fe. Voatz también denunció a un estudiante de la Universidad de Michigan ante la Oficina Federal de Investigaciones «porque el estudiante realizó una investigación sobre la aplicación de votación móvil de Voatz para un curso de seguridad electoral de pregrado», según el informe.

Desde entonces, Voatz ha presentado un escrito de amicus en el caso Van Buren (en el que no es parte) en el que se defiende mantener amplio el alcance de la CFAA. Sugirió que los piratas informáticos de sombrero blanco deberían realizar sus investigaciones sobre vulnerabilidades potenciales solo una vez que hayan alertado a la empresa que están evaluando y hayan recibido su bendición.

Estas prácticas no son comunes en la comunidad de seguridad, aunque los piratas informáticos de sombrero blanco alertan a las empresas sobre vulnerabilidades si las encuentran.

Los investigadores de seguridad aplauden

En respuesta a la presentación de Voatz, un grupo de investigadores y organizaciones de seguridad escribieron una carta abierta para corregir públicamente el registro.

La carta fue encabezada por Jack Cable, uno de los hackers éticos más importantes del mundo. Cable también es un estudiante de la Universidad de Stanford «haciendo un trabajo increíble» en el espacio de la ciberseguridad y las elecciones, según Reed Loden, evangelista jefe de seguridad de código abierto en HackerOne, una plataforma que previamente cortó lazos con Voatz, y cuyo fundador fue signatario de la carta. Fue la primera vez que HackerOne eliminó una empresa que lo usaba para albergar un programa de recompensas por errores.

“Queríamos dejar en claro que la posición de Voatz no está respaldada por la comunidad de investigadores de seguridad y ciberseguridad, enfatizar que los investigadores de seguridad contribuyen en gran medida a la seguridad de nuestra sociedad digital y subrayar que una interpretación amplia de la CFAA, que es lo que Voatz quiere abogar, amenaza las actividades de investigación de seguridad a nivel nacional”, dijo Loden en un correo electrónico.

La carta establece las formas en que la presentación de Voatz supuestamente fue interesada y un indicador de cómo empresas como Voatz podrían utilizar una interpretación amplia de la CFAA para seguir tomando medidas enérgicas contra los investigadores de seguridad críticos.

Voatz no respondió a las solicitudes de comentarios de CoinDesk.

El alcance del «acceso autorizado»

El Centro para la Democracia y la Tecnología (CDT) es uno de los signatarios de la carta abierta. Stan Adams, el abogado general adjunto de la CDT y el abogado de Open Internet, dividió el caso en dos argumentos en una llamada telefónica con CoinDesk.

Según Adams, si se toma una decisión amplia sobre la CFAA, es probable que los investigadores de seguridad no realicen investigaciones por temor a violar la parte de la ley de «excede el acceso autorizado».

Una interpretación amplia permitiría a las empresas establecer lo que podría significar «acceso autorizado» en sus términos de servicio, que se puede cambiar y alterar fácilmente, poniendo a los investigadores de seguridad en mayor riesgo.

«Las leyes vagas como la CFAA pueden acabar con la investigación de seguridad», dijo Adams. “El gobierno de los Estados Unidos quiere que el acceso pueda estar limitado por cosas como términos de uso y otras expresiones escritas en limitaciones de acceso, en lugar de lo que preferiríamos, que es una especie de barrera técnica”.

La idea es que un investigador, si se rige por una barrera técnica como una contraseña o un dispositivo de cifrado, sepa que ha alcanzado los límites de su acceso autorizado. Establecer los límites del acceso autorizado en términos de servicio difíciles de encontrar y aún más difíciles de leer dejaría a los investigadores de seguridad adivinando y crearía un efecto escalofriante en la investigación en general, agregó.

¿Un efecto escalofriante en los investigadores de tecnología financiera y cripto?

El impacto en la investigación no solo se aplica a empresas como Voatz, aunque sería difícil argumentar que una empresa que participa en la votación digital no merece un escrutinio intenso.

La tecnología en todos los ámbitos se vería afectada. Matt Hill, director ejecutivo de Start9 Labs, startup de tecnología de privacidad de código abierto, dijo que la piratería informática es clave para cualquier tipo de tecnología. Sin él, los errores de software simples podrían convertirse en infecciones sistémicas, que podrían ser explotadas por actores malintencionados. El mundo de las criptomonedas ha visto a tales actores vaciar los Exchanges y robar las criptomonedas de las personas.

“Una organización honesta decidida a crear productos seguros fomentará los ataques de sombrero blanco, sin importar cuán malos sean los resultados, porque esa es la única forma de que su sistema se vuelva seguro”, dijo Hill.

«Una organización que intenta vender un trozo de arcilla empaquetada como seguridad, también conocido como vaporware, o una estafa, hará todo lo posible para prevenir ataques, para mantener la ilusión interna y la ilusión externa durante el mayor tiempo posible».

Un puerto seguro de sombrero blanco

Jason Gottlieb, socio de Morrison Cohen LLP y presidente del Grupo de práctica de cumplimiento normativo y de cuello blanco, dijo que, en su opinión, hasta que el Congreso modifique la CFAA para aclarar qué significa «acceso no autorizado», la CFAA debe interpretarse de una manera que proporcione un puerto seguro para la piratería de sombrero blanco.

Sin embargo, para ser claro, dijo que la piratería debe ser verdaderamente de sombrero blanco y la carga debe recaer en los sombreros blancos para demostrar que sus intenciones eran ayudar en lugar de dañar.

«La piratería de sombrero blanco es un componente clave de cualquier implementación de programa de seguridad de datos, y así lo ha sido durante mucho tiempo», dijo Gottlieb. «Dada la importancia cada vez mayor de la ciberseguridad en las industrias de la blockchain y las criptomonedas, deberíamos fomentar la piratería de sombrero blanco transparente como una forma de mejorar todos los sistemas».

Adams confirmó que un fallo amplio podría alentar a las empresas de tecnología financiera y los intercambios de cifrado a atacar con dureza a los piratas informáticos de sombrero blanco, dado que «tienen fuertes incentivos para no ser percibidos como defectuosos». Dicho esto, también reconoció que las empresas también podrían querer estar seguras, dado que al final del día es el dinero del público que está en línea.

“Independientemente, la seguridad por oscuridad no es el camino a seguir”, dijo Adams. «El CFAA es un martillo bastante pesado de manejar».

Referencia: coindesk.com

Descargo de responsabilidad: InfoCoin no está afiliado con ninguna de las empresas mencionadas en este artículo y no es responsable de sus productos y/o servicios. Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir.

También te podría gustar...