最高法院正在考虑是否广泛解读计算机欺诈和滥用法案,批评人士称,该法案可能会将某些类型的独立安全研究定为刑事犯罪,并给许多安全研究人员带来法律上的不确定性。Voatz是一家在线投票供应商,其软件曾被西弗吉尼亚州在2018年大选中用于海外军人选民。该公司辩称,这不会成为问题。
必要的研究和测试可以由授权的各方进行,沃茨在给最高法院的一份之友简报中写道。沃茨自己的安全经验很好地说明了授权安全研究的好处,也展示了未经授权的研究和未经验证或理论上的安全漏洞的公开传播实际上会造成有害影响。
碰巧的是,我们在上周四关于在线投票的深度研究中报道了Voatz和一位独立安全研究人员最近发生的一起冲突。参与那场争吵的其他人并不像沃茨那样看待这件事。
沃茨抱怨的未经授权的研究包括麻省理工学院2月份的一篇研究论文,该论文揭露了Voatz应用程序的严重安全问题。麻省理工学院这项研究的主要作者迈克尔·斯佩克特(Michael Specter)上个月在享有盛誉的同行评议的Usenix安全会议上展示了他的发现。沃茨最高法院的案情摘要没有提到麻省理工学院术语中发现的问题在很大程度上得到了一家名为Trail of Bits的计算机安全公司的证实,沃茨自己聘请该公司来审查其软件。
沃茨决定延长与麻省理工学院团队的口角,介入一起与最高法院无关的案件,这有点让人摸不着头脑。麻省理工学院的团队只分析了Voatz的Android应用程序,而没有分析它的服务器。所以很难看出他们怎么可能违反CFAA的规定。
在给ARS的一份声明中,沃茨表示,它被迫向最高法院提交一份之友案情摘要,因为在同一案件的另一份之友案情摘要中提到了这一点。沃茨说,这份由Specter和其他一些安全研究人员签署的早些时候的简报,有一些事实上的不准确之处,公司想要纠正。
但Voatz也声称,其自身经验表明,独立的安全研究无济于事,甚至适得其反。其他人则认为,Voatz的故事恰恰相反:独立的软件分析对于发现安全问题至关重要,而这些问题可能是公司自己更愿意保密的。
我认为,如果你回顾一下安全研究的历史,我猜绝大多数都是他们认为未经授权的,斯佩克特在周五的电话采访中告诉Ars。独立的安全研究很重要,如果您对安全研究人员可以查看和执行的内容设置条款和条件,您就会从本质上限制他们向消费者和市场提供有关这些产品的可靠研究和建议的能力。
“之友”的案情摘要是在最高法院的一起案件中提交的,这起案件与在线投票无关,也不是专门针对安全研究的。这起案件是在佐治亚州一名名为内森·范布伦(Nathan Van Brurn)的警官被发现收受贿赂,以便在警方数据库中查找机密信息后发生的。行贿的男子在一家脱衣舞俱乐部遇到了一名女子,他想在与她发生性关系(想必是商业关系)之前确认她不是卧底警察。
对范布伦来说,不幸的是,另一名男子与联邦调查局合作,联邦调查局逮捕了范布伦,并指控他违反了CFAA。CFAA禁止未经授权访问计算机系统--换言之,即黑客攻击--但也禁止超出授权访问权限以获取数据。检察官辩称,范布伦在脱衣舞夜总会查找有关这名女子的信息时,超出了授权访问的范围。
但范布伦的律师对此提出异议。他们辩称,他的警察登录凭证授权他访问数据库中的任何数据。他们辩称,提供机密信息以换取贿赂可能违反了国务院的政策和州法律,但就CFAA而言,这并没有超出授权访问权限。
这一区别在其他情况下也有重大影响。例如,早在2010年,联邦检察官就指控一家名为Wisguy Tickets的公司违反了Ticketmaster的服务条款,自动从Ticketmaster购买和转售门票。在最初的裁决对被告不利后,他们接受了认罪协议。
2011年,联邦检察官指控CFAA下的活动家亚伦·斯沃茨(Aaron Swartz)通过麻省理工学院(MIT)网络从JSTOR数据库大规模下载付费学术文章。可以说,斯沃茨被授权访问麻省理工学院的网络和JSTOR的文章,但下载量违反了麻省理工学院和JSTOR的政策。斯沃茨在法院对他的案件做出裁决之前自杀了。
最近,LinkedIn起诉CFAA下属的一家名为hiQ的小型分析公司,称其窃取了LinkedIn网站的数据。去年,第九巡回上诉法院做出了有利于HiQ的裁决,认为违反LinkedIn的服务条款并不违反CFAA。
但是,并非所有其他上诉法院都认同第九巡回法庭对该法律的解读。如果此案在其他一些巡回法庭开庭审理,hiq可能会输掉这场官司。这就是最高法院受理此案的原因:使一项在全国不同地区有不同解释的法律得到一些统一。
批评CFAA超出授权使用范围的语言的批评者认为,这将有效地将许多违反产品使用条款的行为定为刑事犯罪。这是安全研究人员特别担心的问题,因为他们的工作经常使他们与他们正在评估的公司的官方政策相抵触。
制造数字设备和软件的公司通常不喜欢人们揭露他们产品中的缺陷。他们经常有服务条款,禁止网站抓取和反向工程等行为。如果违反产品的服务条款是根据CFAA的犯罪行为,那么重要的计算机安全研究技术可能会成为法律上的危险。
研究人员简报列举了几个安全研究人员实际上被起诉的例子,但它提到了一些他们受到执法部门调查或受到私人公司诉讼威胁的案例。一些研究人员还表示,由于潜在的法律复杂性,他们已经回避了某些类型的研究。
这就是沃茨的用武之地。研究人员写道,沃茨向联邦调查局举报了密歇根大学的一名学生,因为这名学生在一门本科生选举安全课程中对沃茨的移动投票应用进行了研究。
在自己的简报中,Voatz驳斥了这一说法,声称它只是向其客户-西弗吉尼亚州的国务卿-报告了可疑活动,并声称该州通知了联邦调查局。这名学生的名字还没有公之于众,他似乎没有被指控犯罪。但当局显然确实获得了搜查与这起事件有关的一名学生的手机的搜查令。
在自己的简报中,Voatz引用了麻省理工学院的研究作为独立研究出错的另一个例子。沃茨声称,一旦他们发现了潜在的漏洞,麻省理工学院的研究人员就要求提供所有沃茨客户的联系方式,威胁要立即向媒体公布。
斯派克特说那完全不是真的。他说,他和他的同事从未向沃茨索要客户联系方式。事实上,他说,在发表论文之前的几个月里,他的团队与沃茨完全没有联系。取而代之的是,研究人员联系了国土安全部的网络安全和基础设施安全局,详细介绍了他们的发现。斯佩克特说,如果有人试图联系Voatz的客户,那就是CISA,而不是麻省理工学院的任何人。
虽然沃茨将官方的漏洞赏金测试计划描述为比未经授权的安全研究更好的替代方案,但斯佩克特表示,在斯佩克特开始研究的时候,沃茨的漏洞赏金计划并不是一个可行的选择。
用于安全测试的Voatz应用程序版本本应连接到测试服务器,理论上允许研究人员观察该应用程序的运行情况,并测试其网络通信的安全性。但是,当麻省理工学院的团队下载该应用的测试版时,它并不起作用。进一步的研究使斯佩克特相信这些服务器根本没有运行过。
沃茨的法律条件之一也使得沃茨的官方安全测试计划成为麻省理工学院团队的禁忌。该计划的条款要求研究人员在漏洞公开发布之前给公司足够的时间来修补漏洞。
这听起来不错,斯佩克特告诉Ars,但后来他们在同一份文件中说[沃茨得到]来定义合理时间是什么意思。这实际上意味着他们可以拿到你的研究成果,然后说,我们要到今天晚些时候才会修补它。
计算机安全界似乎很少有人同意沃茨的观点。在麻省理工学院团队进行研究时,Voatz的漏洞赏金计划是由一个名为HackerOne的流行安全测试平台管理的。但HackerOne采取了不同寻常的举措,在麻省理工学院研究报告公布的同一个月切断了与沃茨的联系。
HackerOne在3月份提交给CyberScoop的一份声明中表示:在评估了Voatz与研究社区的互动模式后,我们决定终止HackerOne平台上的项目。“网络独家新闻”称,这是黑客一号八年来首次这么做。
周四,HackerOne首席执行官马尔滕·米科斯在推特上写道,我们强烈反对他们的观点。凯西·埃利斯(Casey Ellis)是另一家在沃茨的简报中提到的虫子赏金平台Buggroup的创始人。同一天,他在推特上表示,该公司不同意沃茨之友简报的原则。