bfmedia

Yükleniyor…

Voatz Olayı: Kanunun Dijital Sınırı

Oylama uygulaması Voatz davasına EFF de karıştı. Elektronik Sınır Vakfı, CFAA kanununun herkesi mahkum etmek için kullanılabileceğini belirtti.

Voatz Olayı: Kanunun Dijital Sınırı

 Özetle:

  • Birçok başarısız ihlalin hedefi olan Voatz, Anayasa Mahkemesi karşısına çıktı. Mahkeme, MIT tarafından yapılan yetkisiz güvenlik araştırmasının Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası kapsamına girmesi gerektiğini belirtmişti. 

2020 başlarında Massachusetts Teknoloji Enstitüsü'nden (MIT) araştırmacıları blokzincir tabanlı oylama uygulaması Voatz hakkında iddia edilen güvenlik açıklarına ilişkin bir rapor yayınladılar. Bu raporun ardından Voatz, akademisyenleri sunucuya erişim istemek yerine “varsayımlara güvenmekle” eleştirdi.

Voatz, ABD Yüksek Mahkemesine üçüncü taraf araştırmacıların, araştırılan şirketin izni olmadan ve gözetimi altında başkalarının sistemlerinde yasal olarak hiçbir şekilde inceleme yapamayacaklarını söyledi.


Bir bilgisayar ihlali ne zaman suç olur?

Voatz dün Van Buren - Amerika Birleşik Devletleri davasında ABD yüksek mahkemesine bir brifing sundu. (Amicus brifingleri, duruşmada yer almayan ancak sonuçtan menfaati olan taraflardan gelen yasal iddialardır, bilirkişi.)

Dava, adı açıklanmayan bir kişinin kendisine bir yasa uygulama veritabanına erişmesi için para vermesini talep ettiği iddia edilen Nathan Van Buren adlı eski bir Georgia polis çavuşu ile ilişkili. Van Buren, bir operasyon sırasında FBI tarafından tutuklanmıştı ve insanların bilgisayarlara girmesini genel olarak engelleyen federal bir yasa olan 1986 tarihli Bilgisayar Sahtekârlığı ve Bilgisayarın Kötüye Kullanılması Kanununu (The Computer Fraud and Abuse Act - CFAA) ihlal etmekten suçlu bulunmuştu.

Ancak Van Buren, veri tabanına erişimi olduğu için CFAA'nın geçerli olmadığını savundu; "bu şekilde kullanmaması gerekmesine rağmen, o sadece bir bilgisayar korsanı değildi". Dava, bir bilgisayardaki bilgilere belirli amaçlarla erişme yetkisine sahip bir kişinin aynı bilgilere uygun olmayan bir amaçla erişmesi durumunda CFAA 'yı ihlal edip etmediğine karar verecek olan Yüksek Mahkeme'ye gitti.

Öte yandan, davayı potansiyel olarak daha büyük bir emsal olarak gören bir dizi sivil özgürlük grubu ve ceza adaleti örgütleri konuya ilişkin çeşitli fikirler öne sürdü. Tartışma ise şu soru çerçevesinde dönüyor: 

“Bağımsız güvenlik araştırmacıları, yargılanması gereken hackerlar gerçekten işe yaramaz mı yoksa değerli bir kamu hizmeti mi sağlıyorlar ve bu nedenle yasanın kapsamı dışında mı?”

Sorun, Voatz'ın mahkemeye kendi görüşünü sunmasına neden oldu.


"Kanun herkesi mahkum etmek için kullanılabilir"

Bir brifing hazırlayan gizlilik destekçisi Elektronik Sınır Vakfı (Electronic Frontier Foundation, EFF), şu anda yorumlandığı şekliyle CFAA'nın "bir web sitesinin hizmet şartlarını" ihlal eden herkesi mahkum etmek için kullanılabileceğini savundu.

EFF'ye göre, bu bağımsız “bilgisayar güvenliği araştırmacılarını, kamuya açık verilere kamuya faydalı ancak veri sahibi tarafından yasaklanmış bir şekilde erişim gibi standart güvenlik araştırma uygulamaları yoluyla sosyal açıdan yararlı güvenlik testlerine katılmak için yasal risk altına sokacaktır".

Voatz, CFAA'nın kapsamının daraltılmaması gerektiğini savundu. Bağımsız araştırmaya gerek olmadığını belirten Voatz tarafından şu açıklama yapıldı:

“Yetkili kişiler tarafından gerekli araştırma ve testler yapılabilir. Bunlar, özel danışmanlık firmalarını ve organize ‘hata ödülü’ programlarındaki katılımcıları içerir. "

Voatz'a göre; doğrulanmamış veya teorik güvenlik açıklarının yetkisiz araştırılması ve halka duyurulması, aslında zararlı sonuçlara neden olabilir.

MIT araştırmacıları tarafından bu yıl yayınlanan araştırmaya atıfta bulunularak Voatz tarafından, oylama uygulamasının o sırada birkaç versiyonu geçmiş olan ve hiçbir seçimde kullanımına izin verilmeyen bir versiyonunun analiz edildiği belirtildi.


Hayali bir sunucu versiyonu

Araştırmacılar Voatz sunucularına erişemedikleri için, blokzincir oylama şirketi Voatz “sunucularının hayali bir versiyonunu uydurduklarını, muhtemelen nasıl çalışacağına ilişkin varsayımda bulunduklarını ve ardından yanlış olduğu ortaya çıkan sistem bileşenleri arasındaki etkileşimler hakkında tahminde bulunduklarını” iddia etti.

Açıklamada araştırmacıların Voatz ile çalışmış olmaları durumunda ilgili bulgular üretmiş olabileceklerine vurgu yapıldı. ABD Yüksek Mahkemesinin dava ile ilgili olarak 13 Ekim tarihinde bir görüş bildirmesi bekleniyor. 


Voatz hakkında

Blokzincir tabanlı oylama sistemi Voatz, Michigan Demokrat Parti tarafından dört kez kullanıldı. Ayrıca uygulama Batı Virginia, Oregon, Utah ve Colorado'da farklı seçimlerde de kullanıldı. Ancak Voatz tartışmasız değil. Massachusetts merkezli şirket, veri güvenliği konusunda şeffaflık eksikliği nedeniyle kamuoyu tarafından eleştirilmişti. 

Massachusetts Teknoloji Enstitüsü'nden (MIT) araştırmacıları, 2020 başlarında uygulamanın temel çerçevesi içindeki güvenlik açıklarını belirledikleri bir rapor yayınladılar. Voatz, MIT araştırmacılarının çalışmasını "kusurlu rapor" olarak nitelendiren bir blog gönderisiyle yanıt verdi.

Bu hatalar potansiyel olarak kötü niyetli kişilerin mevcut oy pusulalarını ve kullanıcıların kişisel bilgilerini tehlikeye atmasına izin verebilir. Batı Virginia, araştırmanın yayınlanmasının ardından gelecekteki seçimler için Voatz uygulamasını kullanmayacağını duyurdu.

Kaynak: https://decrypt.co/40964/blockchain-voting-app-voatz-wants-limits-outside-security-research

cfaa eff voatz

Bu haber için oy ver.

Yorumlar (0)

Henüz hiç yorum yapılmamış. İlk yorum yapan sen ol.








ÜLKELERİN YASALLIK DURUMLARI