Pesquisadores de segurança enviam comunicado de Voatz à Suprema Corte sobre a lei anti-hacking

Um grupo de especialistas em segurança cibernética de alto nível não quer que a empresa de votação móvel Voatz dê a última palavra antes que a Suprema Corte inicie um caso com grandes implicações para a pesquisa de computadores.

Os profissionais de segurança, incluindo cientistas da computação e especialistas em divulgação de vulnerabilidades, criticaram na segunda-feira o argumento de Voatz de que uma lei federal anti-hacking deveria apenas autorizar pesquisadores com permissão clara para sondar vulnerabilidades em sistemas de computador. Um amicus brief apresentado por Voatz no início deste mês, os especialistas em segurança acusaram, “fundamentalmente deturpa práticas amplamente aceitas em pesquisa de segurança e divulgação de vulnerabilidades”.

Em questão está a Lei de Fraude e Abuso de Computadores (CFAA), uma lei de mais de 30 anos que os especialistas jurídicos dizem que pode ser usada para atingir pesquisadores de boa fé que quebram sistemas ao tentar torná-los mais seguros. O Supremo Tribunal está definido para considerar se os termos de serviço corporativos podem ser considerados uma fronteira inviolável sob o CFAA quando ele for reiniciado em outubro.

Especialistas jurídicos e tecnólogos veem a decisão como uma chance, após décadas de ambigüidade, de esclarecer o que pesquisadores de segurança bem-intencionados podem fazer ao sondar sistemas de terceiros.

“Nós nos beneficiamos da pesquisa de segurança em quase todos os aspectos de nossas vidas”, afirma a carta de segunda-feira. “Com o trabalho crucial expondo vulnerabilidades em tecnologias que variam de sistemas eleitorais a dispositivos médicos e automóveis, fica claro que a pesquisa de segurança melhorou de forma tangível a proteção e a segurança dos sistemas dos quais dependemos. Não é um dado adquirido que este trabalho vital de segurança continuará. Uma interpretação ampla do CFAA aumentaria os efeitos de refrigeração existentes, mesmo quando existe uma obrigação social de realizar essa pesquisa. ”

A notícia de que o CFAA estava na pauta da Suprema Corte levou hackers de chapéu branco famosos como Peiter “Mudge” Zatko a pedir ao tribunal que codificasse proteções para pesquisadores. Voatz, cujo aplicativo de votação tem sido usado em alguns condados dos EUA nas eleições desde 2018, também se sentiu compelido a opinar sobre o CFAA. A empresa argumentou  que “nenhum estreitamento” da lei era necessário para proteger os pesquisadores.

Em sua carta aberta na segunda-feira, os especialistas em segurança contra-atacaram, alegando que o amicus brief de Voatz se refere à “pesquisa de segurança independente de boa fé como uma ameaça à segurança cibernética e encobre os efeitos prejudiciais à pesquisa de segurança de um CFAA abrangente”

Em jogo está uma pesquisa transparente em sistemas críticos, como software de votação e dispositivos médicos, disseram os signatários da carta, que incluía as empresas de divulgação de vulnerabilidades Bugcrowd e HackerOne , o criptologista e especialista em segurança eleitoral Matt Blaze e vários outros tecnólogos. Em março, o HackerOne expulsou a Voatz de sua plataforma, citando a hostilidade da empresa aos pesquisadores.

Mais e mais corporações – e até agências governamentais – estão adotando políticas de divulgação de vulnerabilidades que, em princípio, protegem os pesquisadores de retaliação por sondar sistemas de computador. Mas especialistas em segurança dizem que essas políticas podem ser abusadas e apontam para o próprio histórico de Voatz de confrontos com pesquisadores de segurança, um exemplo. Uma interpretação mais restrita do CFAA, que não criminaliza a pesquisa, é uma salvaguarda contra esse abuso, dizem eles.

Um porta-voz da Voatz não respondeu até o momento a um pedido de comentários sobre a carta aberta.

Fonte: https://www.cyberscoop.com/voatz-supreme-court-cfaa-security-research/