Voatz, een bedrijf dat software maakt om online te stemmen, vraagt aan het Amerikaanse hooggerechtshof dat alleen onderzoekers die het daar toestemming voor geeft, zijn systemen mogen testen.
De zaak draait om de wettelijke bescherming van security-onderzoekers. Volgens Voatz moet die wegvallen als die onderzoekers software bekijken waarvoor ze geen toestemming hebben gekregen van het bedrijf zelf. De onderzoekers zelf zeggen dat het zo moeilijker zal worden om kwetsbaarheden in systemen te vinden.
Voatz maakt mobiele stemsoftware die al in enkele staten van de VS is gebruikt bij lokale verkiezingen. Online stemmen wordt daar met argusogen bekeken, en onderzoekers hebben al een hele reeks bugs in deze diensten gevonden. Nu vraagt Voatz in aan het Hooggerechtshof dat ze dat niet meer doen. “Als we onbevoegd onderzoek toelaten in de vorm van hacks op systemen die live staan, dan leidt dat tot onzekere en vaak foutieve resultaten. Het maakt het ook moeilijk om het verschil te maken tussen onderzoekers en criminelen,” zegt Voatz in een mededeling.
Voatz ligt onder meer in de clinch met onderzoekers van MIT, die zeggen dat het platform vol securityfouten zit. Het bedrijf rapporteerde eerder ook al een student van de University of Michigan aan de FBI. De student had onder meer de opdracht gekregen fouten te zoeken in technologie voor mobiel stemmen.
De security-onderzoekers van hun kant willen dat hun werk beschermd wordt. “Het ligt in de aard van het zoeken naar kwetsbaarheden dat je daarvoor computers moet aanspreken op een manier die niet was voorzien door de eigenaars, en vaak ingaat tegen de regels die die eigenaars opstellen,” schrijft een groep onderzoekers in een mededeling aan het Hof. Ze wijzen er ook op dat criminelen zich niet veel van wetten aantrekken, en dat dit hen een voorsprong kan geven op onderzoekers die alleen onder strikte voorwaarden systemen mogen bekijken.
Stemmachines worden in de VS, zeker in aanloop van een mogelijk chaotische presidentsverkiezing, gezien als kritieke infrastructuur. Het Department of Homeland Security heeft eerder al hackers uitgenodigd om de systemen te testen, en ook enkele makers van stemcomputers werken samen met pentesters. Hoe daarmee moet worden omgegaan, is echter niet altijd duidelijk. Zowel Voatz als de onderzoekers voegden hun mededelingen toe aan een bredere rechtszaak, Van Buren vs United States, die moet uitmaken op welke wettelijke basis security-onderzoek moet worden uitgevoerd.
Fout opgemerkt of meer nieuws? Meld het hier