网络安全专家和议员们对网上投票几乎没有信心,因为黑客攻击的可能性很大,而且他们也担心网络安全漏洞,这两种漏洞都可能影响选举结果。安全研究人员经常会发现在线投票系统的漏洞,现在一家电子投票公司正在努力提高发现漏洞的难度。
在周四提交给最高法院的一份简报中,总部位于波士顿的电子投票公司Voatz辩称,天辰注册安全研究人员在未经允许寻找漏洞时不应受到法律保护。
“未经授权的研究允许黑客/攻击活系统的形式将导致不确定的和经常错误的结果和结论,使区分真正的研究人员和恶意黑客困难,和不必要的负担国家关键基础设施的授权,“Voatz CNET在一份声明中说。
Voatz的移动投票软件在11个州使用,安全研究人员发现该软件存在问题,Voatz对此表示反对。今年2月,Voatz对麻省理工学院研究人员的发现提出了质疑,后者称电子投票平台存在安全漏洞。
“通过在未经授权的基础上进行活动,而不是通过Voatz授权的漏洞奖励计划或与Voatz直接合作,研究人员使他们自己的发现相对无用,”该公司在周四的简报中说。
去年10月,Voatz还向西维吉尼亚官员报告了一名密歇根大学选举安全专业的学生,后者将调查结果移交给了联邦调查局。据美国有线电视新闻网(CNN)报道,这名学生参加了一门需要研究移动投票技术(包括Voatz)潜在缺陷的课程。
安全研究人员总是冒着违反《计算机欺诈和滥用法案》(CFAA)的风险,该法案于1986年制定,对黑客行为有广泛的定义。该法律将任何未经授权而故意访问计算机的行为视为联邦犯罪。它的范围足够广泛,以至于共享Netflix的密码可能会被视为违反CFAA的规定。
今年4月,最高法院同意审理范布伦诉美国公司(Van Buren v. United States)一案,该案件的核心问题是什么可以被视为违反了CFAA。Voatz文件是作为一个朋友的法庭简报在那个案件。
安全研究人员希望最高法院认为他们的工作不受CFAA的保护。
一组安全研究人员在7月8日的简报中写道:“几乎就其本质而言,发现安全漏洞需要以一种电脑所有者没有预料到的方式访问电脑,而且经常违反所有者声明的政策。”
安全研究人员发现并报告了包括投票机在内的关键基础设施的漏洞。这项工作如此重要,以至于国土安全部的官员邀请黑客继续寻找选举基础设施的漏洞。
多年来,投票机供应商一直对这一过程感到担忧,担心黑客会在未经适当许可的情况下发现他们的软件存在问题。今年8月,主要的选举供应商ES&S开始允许在其机器上进行渗透测试。
在简短的声明中,Voatz明确表示不同意这个方向。
该公司辩称,如果最高法院允许安全研究人员在未经授权的情况下测试漏洞,那么最高法院将为恶意黑客制造一个漏洞来实施攻击。
“这无疑会导致这种未经授权的黑客行为的显著增加,天辰注册”Voatz在其简报中表示。
安全研究人员警告说,如果他们只能在获得相关公司明确许可的情况下才能发现和披露漏洞,那么不受法律限制的恶意黑客将会利用这一知识缺口。
Bugcrowd创始人凯西·艾利斯在一份声明中说:“更确切地说,如果有一种利用该系统的方法是该组织不知情的,他们就不可能提供合法的访问来测试它。”“未经授权的访问是安全研究的主要目的之一——如果将其定为非法,研究人员将无法有效地完成工作,组织将无法关闭所有漏洞,而攻击者将会获胜。”
安全公司Rendition security的创始人杰克·威廉姆斯(Jake Williams)指出,漏洞暴露和漏洞发现之间是有区别的。
尽管安全研究人员和恶意黑客都是在没有授权的情况下工作,但只有安全研究人员才会向相关公司披露这些漏洞。他说,恶意黑客会发现漏洞,并经常在不通知公司的情况下利用这些漏洞谋取经济利益。
他补充说,瓦茨周四的言论将对这一局面产生不利影响。
“绝大多数的研究人员,我得说90%以上,都没有经过授权,”威廉姆斯说。“毫无疑问,他们100%地试图让它变得更困难。”