1. CoinON官网首页
  2. 百科知识

沃茨在最高法院的简报中呼吁限制独立的网络安全研究

Bob鲍师傅 百科知识 阅读 4693
voatz

Voatz应用程序(Danny Nelson/CoinDesk)

区块链投票初创公司Voatz在美国最高法院(SCOTUS)的一份“法庭之友”简报中指出,有关网络安全的漏洞悬赏项目应在严格监督下运作。

沃茨星期四就范布伦诉美国一案进行了权衡,这是最高法院审理的一个案件,该案审查的是,如果某人已经获得访问计算机上其他文件的许可,“出于不正当目的”访问计算机是否构成联邦犯罪。

本案的请愿人内森·范布伦(Nathan Van Buren)是佐治亚州的一名前警官,他在为一位熟人查找车牌后,根据《计算机欺诈和滥用法案》(CFAA)被起诉。范布伦声称,下级法院维持其定罪的裁决可能被认为意味着“任何轻微的破坏”计算机系统的行为都可能是联邦犯罪。

此案的范围似乎有所扩大,不仅涉及违规行为,还涉及如何解释CFAA本身。斯科特斯简报上列出的问题是:

被告美国辩称,该案在审查CFAA是否过于宽泛方面是“糟糕的工具”,并在案情摘要中表示,SCOTUS的审查甚至没有必要。

沃茨在简报中说,CFAA不需要缩小范围,对计算机系统的一些破坏是必要的。不过,该公司辩称,研究人员在调查潜在漏洞之前,应与他们正在评估的公司进行具体核实,并且只应获得公司的授权。

另见:沃茨和为什么我们不能信任在线投票

沃茨写道:“窃听奖励计划非常有效。“它们在科技行业非常普遍,甚至在科技行业之外,2019年的一项调查报告称,42%的科技行业以外的公司都在运行众包网络安全计划。”

这份简报可能是对一组安全研究人员提交的另一份文件的回应,他们认为CFAA确实“被解释得太宽泛”,这阻碍了计算机安全工作。这篇简报批评了沃茨的其他论点。

Voatz显然受到了网络安全研究人员的批评,其中包括麻省理工学院的一个研究小组,该小组在2月份发表了一份报告,声称Voatz的透明度不够,其内部系统面临许多漏洞。沃茨对报告中的说法提出了异议;

沃茨聘请另一家网络安全公司Trail of Bits对其系统进行审计,在随后的报告中证实了麻省理工学院研究人员的说法。

沃茨也直接与研究人员发生争执。去年底,西弗吉尼亚州南区的美国检察官斯图尔特(Mike Stuart)宣布,联邦调查局正在调查对沃茨的“未遂入侵未遂事件”,这很可能是由密歇根大学的一名或多名学生参加安全课程造成的

沃茨在简报中说,向西弗吉尼亚州官员报告了“学生的不明智行为”,因为该公司无法区分他们的研究和实际的敌对攻击;

沃茨写道:“不管具体情况如何,西弗吉尼亚州事件都说明了在没有适当的访问或授权的情况下攻击或‘研究’关键基础设施所造成的危害,尤其是在选举期间。”。

法律简报称,非恶意研究人员试图侵入数字工具给组织“带来了巨大的额外成本”,并可能损害公众信心。

另请参阅:“蛇油和定价过高的垃圾”:为什么区块链不修复在线投票

创建Rendition Security的Jake Williams告诉CNET,“绝大多数”网络安全研究人员可能没有授权,这意味着Voatz对广泛CFAA的支持将“100%地增加研究人员的难度”。

沃茨的简报发表前一天,该公司发表了一份新闻声明,声称密歇根民主党在最近的一次党代会上使用了它的应用程序,投票选举了一些职位。密歇根民主党没有立即回复置评请求。

撇开沃茨的论点不谈,它的简短引证和声明似乎缺乏上下文。

沃茨说,它已经在70次选举中使用,包括州和市的选举,并在简报中声称,它被国土安全部视为“关键基础设施”。

这些选举包括西弗吉尼亚州(该州在3月宣布将不会在即将到来的选举中使用Voatz)和犹他州(犹他州的书记员和审计员收到了Overstock首席执行官乔纳森·约翰逊(Jonathan Johnson)1500美元的竞选捐款,他也是Voatz investor Medici Ventures的总裁)。

该公司曾表示,它符合联邦投票系统测试实验室Pro V&V的要求,但据Politico网络安全记者埃里克•盖勒(Eric Geller)的说法,“这份报告毫无意义”,因为标准是多年前制定的,评估并不客观。

开源选举技术研究所(opensourceelection Technology Institute)技术开发全球总监埃迪•佩雷斯(Eddie Perez)写道,选举援助委员会(Election Assistance Commission,EAC)是一个联邦实体,负责认证Pro V&V,但实际上并没有任何远程投票系统的国家标准。

另请参阅:硬件钱包缺陷让攻击者在不接触设备的情况下持有加密勒索

选管会本身也发表声明说,“这些测试报告不应被视为[投票系统测试实验室]或选管会的默示认可,即所评估的系统符合[自愿投票系统指引]标准,或等同于经选管会认证的投票系统。”

“目前这些项目是由Voatz自己组织的,但过去有些项目是通过HackerOne公司等供应商进行的,”简报说。它没有提到哈克龙在三月份与沃茨断交。

此外,HackerOne创始人兼首席技术官亚历克斯·赖斯(Alex Rice)在Twitter上表示,“我们支持”电子前沿基金会(EFF)提出的反对意见,该基金会呼吁缩小CFAA,而不像Voatz在简报中引用了HackerOne。

同样,沃茨多次引用众包安全平台Bugcrowd的创始人兼首席技术官凯西•埃利斯(Casey Ellis)也写道,他签署并支持EFF的简报,而不是Voatz的。

赖斯和埃利斯都表示,沃茨在提交诉讼状之前没有与他们联系。

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
Bob鲍师傅Bob鲍师傅
0
上一篇 2020年9月7日 下午3:02
下一篇 2020年9月7日 下午3:02

相关推荐

沃茨在最高法院的简报中呼吁限制独立的网络安全研究

星期一 2020-09-07 15:02:17

voatz

Voatz应用程序(Danny Nelson/CoinDesk)

区块链投票初创公司Voatz在美国最高法院(SCOTUS)的一份“法庭之友”简报中指出,有关网络安全的漏洞悬赏项目应在严格监督下运作。

沃茨星期四就范布伦诉美国一案进行了权衡,这是最高法院审理的一个案件,该案审查的是,如果某人已经获得访问计算机上其他文件的许可,“出于不正当目的”访问计算机是否构成联邦犯罪。

本案的请愿人内森·范布伦(Nathan Van Buren)是佐治亚州的一名前警官,他在为一位熟人查找车牌后,根据《计算机欺诈和滥用法案》(CFAA)被起诉。范布伦声称,下级法院维持其定罪的裁决可能被认为意味着“任何轻微的破坏”计算机系统的行为都可能是联邦犯罪。

此案的范围似乎有所扩大,不仅涉及违规行为,还涉及如何解释CFAA本身。斯科特斯简报上列出的问题是:

被告美国辩称,该案在审查CFAA是否过于宽泛方面是“糟糕的工具”,并在案情摘要中表示,SCOTUS的审查甚至没有必要。

沃茨在简报中说,CFAA不需要缩小范围,对计算机系统的一些破坏是必要的。不过,该公司辩称,研究人员在调查潜在漏洞之前,应与他们正在评估的公司进行具体核实,并且只应获得公司的授权。

另见:沃茨和为什么我们不能信任在线投票

沃茨写道:“窃听奖励计划非常有效。“它们在科技行业非常普遍,甚至在科技行业之外,2019年的一项调查报告称,42%的科技行业以外的公司都在运行众包网络安全计划。”

这份简报可能是对一组安全研究人员提交的另一份文件的回应,他们认为CFAA确实“被解释得太宽泛”,这阻碍了计算机安全工作。这篇简报批评了沃茨的其他论点。

Voatz显然受到了网络安全研究人员的批评,其中包括麻省理工学院的一个研究小组,该小组在2月份发表了一份报告,声称Voatz的透明度不够,其内部系统面临许多漏洞。沃茨对报告中的说法提出了异议;

沃茨聘请另一家网络安全公司Trail of Bits对其系统进行审计,在随后的报告中证实了麻省理工学院研究人员的说法。

沃茨也直接与研究人员发生争执。去年底,西弗吉尼亚州南区的美国检察官斯图尔特(Mike Stuart)宣布,联邦调查局正在调查对沃茨的“未遂入侵未遂事件”,这很可能是由密歇根大学的一名或多名学生参加安全课程造成的

沃茨在简报中说,向西弗吉尼亚州官员报告了“学生的不明智行为”,因为该公司无法区分他们的研究和实际的敌对攻击;

沃茨写道:“不管具体情况如何,西弗吉尼亚州事件都说明了在没有适当的访问或授权的情况下攻击或‘研究’关键基础设施所造成的危害,尤其是在选举期间。”。

法律简报称,非恶意研究人员试图侵入数字工具给组织“带来了巨大的额外成本”,并可能损害公众信心。

另请参阅:“蛇油和定价过高的垃圾”:为什么区块链不修复在线投票

创建Rendition Security的Jake Williams告诉CNET,“绝大多数”网络安全研究人员可能没有授权,这意味着Voatz对广泛CFAA的支持将“100%地增加研究人员的难度”。

沃茨的简报发表前一天,该公司发表了一份新闻声明,声称密歇根民主党在最近的一次党代会上使用了它的应用程序,投票选举了一些职位。密歇根民主党没有立即回复置评请求。

撇开沃茨的论点不谈,它的简短引证和声明似乎缺乏上下文。

沃茨说,它已经在70次选举中使用,包括州和市的选举,并在简报中声称,它被国土安全部视为“关键基础设施”。

这些选举包括西弗吉尼亚州(该州在3月宣布将不会在即将到来的选举中使用Voatz)和犹他州(犹他州的书记员和审计员收到了Overstock首席执行官乔纳森·约翰逊(Jonathan Johnson)1500美元的竞选捐款,他也是Voatz investor Medici Ventures的总裁)。

该公司曾表示,它符合联邦投票系统测试实验室Pro V&V的要求,但据Politico网络安全记者埃里克•盖勒(Eric Geller)的说法,“这份报告毫无意义”,因为标准是多年前制定的,评估并不客观。

开源选举技术研究所(opensourceelection Technology Institute)技术开发全球总监埃迪•佩雷斯(Eddie Perez)写道,选举援助委员会(Election Assistance Commission,EAC)是一个联邦实体,负责认证Pro V&V,但实际上并没有任何远程投票系统的国家标准。

另请参阅:硬件钱包缺陷让攻击者在不接触设备的情况下持有加密勒索

选管会本身也发表声明说,“这些测试报告不应被视为[投票系统测试实验室]或选管会的默示认可,即所评估的系统符合[自愿投票系统指引]标准,或等同于经选管会认证的投票系统。”

“目前这些项目是由Voatz自己组织的,但过去有些项目是通过HackerOne公司等供应商进行的,”简报说。它没有提到哈克龙在三月份与沃茨断交。

此外,HackerOne创始人兼首席技术官亚历克斯·赖斯(Alex Rice)在Twitter上表示,“我们支持”电子前沿基金会(EFF)提出的反对意见,该基金会呼吁缩小CFAA,而不像Voatz在简报中引用了HackerOne。

同样,沃茨多次引用众包安全平台Bugcrowd的创始人兼首席技术官凯西•埃利斯(Casey Ellis)也写道,他签署并支持EFF的简报,而不是Voatz的。

赖斯和埃利斯都表示,沃茨在提交诉讼状之前没有与他们联系。

主页
快讯
精选
电报