Cisco урегулирует вопрос о защите осведомителей

«Я имею в виду, это было довольно приличное достижение», сказал Джеймс Гленн в четверг в телефонном интервью.

Эксперт по компьютерной безопасности, выигравший первоклассную выплату по иску о нарушениях в отношении критических недостатков безопасности, которые он обнаружил в октябре 2008 года в программном обеспечении видеонаблюдения Cisco Systems, подумал, что его открытие станет важной вехой в карьере.

Джеймс Гленн вообразил в то время, что Cisco зачислит его на свой веб-сайт. В конце концов, программное обеспечение использовалось в крупных международных аэропортах США и во многих федеральных агентствах с ответственными задачами.

«Я имею в виду, это было довольно приличное достижение», сказал Гленн в четверг в телефонном интервью.

Вместо этого он был уволен торговым представителем Cisco в Дании, который нанял его, что указывало на необходимость сокращения расходов. И Cisco сдерживала недостатки своей системы Video Surveillance Manager в течение пяти лет.

Только в среду, когда было объявлено о урегулировании 8,6 млн. Долл. США, и судебный иск, который он подал в 2011 году в соответствии с Федеральным законом о ложных претензиях, был раскрыт, испытание Гленна было раскрыто вместе с потенциальной опасностью, вызванной долгим молчанием Cisco.

Закон позволяет информаторам сообщать о мошенничестве и неправомерных действиях при заключении федеральных контрактов — по сути, о продаже ошибочных продуктов — и получать финансовое вознаграждение в случае успешного удовлетворения претензий. Адвокаты Гленна заявили, что это первое дело о кибербезопасности, успешно рассмотренное в рамках FCA.

Эксперт по кибербезопасности из компании Veracode Крис Уисопал (Chris Wysopal) заявил, что это дело открывает новые возможности, давая понять, что уязвимости в системе безопасности теперь попадают в дефектную категорию продуктов.

«Это позволяет исследователям в области безопасности получать новый тип вознаграждения за ошибки, если производители тянут свои ноги, продолжают продавать свои продукты правительствам, не уведомляя о риске, о котором они знают, и не исправляя свои недостатки», — сказал он.

Эксплуатация, которую обнаружил 42-летний Гленн, дала бы злоумышленнику полный административный доступ к программному обеспечению, которое управляло видеопотоками, позволяя контролировать их из одного места, говорится в иске. Это также может потенциально позволить несанкционированный доступ к чувствительным подключенным системам.

Это означало, что злоумышленник мог взять под контроль или обойти системы физической безопасности, такие как замки и пожарная сигнализация, которые регулярно подключаются к системам камер.

«Несанкционированный пользователь может эффективно закрыть весь аэропорт, взяв под контроль все камеры видеонаблюдения и отключив их», — говорится в иске. В число пострадавших аэропортов входят Лос-Анджелес Интернешнл и Чикаго Мидуэй.

«Вы могли бы проникнуть во всю систему. И вы могли бы сделать это безо всякого следа. И иметь полный доступ к системе через черный ход, когда бы вы ни захотели», — сказал Майкл Роникер, адвокат, представляющий Гленна в фирме Константина Кэннона.

Программное обеспечение также использовалось штаб-квартирой оперативной группы по биометрии Министерства обороны США, секретной службой США, министерством национальной безопасности, армией, военно-морским флотом, корпусом морской пехоты, Национальным управлением по аэронавтике и исследованию космического пространства и Федеральным агентством по чрезвычайным ситуациям. как говорится в иске, а также в полицейских участках, тюрьмах, школах и Amtrak на своих участках.

«Я чувствую себя оправданным, но не в праздничном смысле», — сказал Гленн, который получает 20 процентов от суммы выплаты населению, а остальное идет в федеральное правительство, 15 штатов и округ Колумбия.

«Я думаю, что с точки зрения уровня наказания для другой стороны, возможно, это не так важно», добавил он.

В среду Cisco опубликовала заявление, в котором говорилось, что было «приятно разрешить» спор и что «не было никаких утверждений или доказательств того, что какой-либо несанкционированный доступ к видео клиентов происходил» в результате архитектуры продукта. Но он добавил, что видеопотоки «теоретически могли быть взломаны».

Роникхер, адвокат Гленна, отметил, что иск не распространяется на все международные центры, в которых было приобретено программное обеспечение Cisco, в том числе, по его словам, аэропорт Окленда, крупнейший в Новой Зеландии.

Когда Гленн обнаружил недостатки, он сразу же предупредил Cisco, но технологический гигант США не признал их до 2013 года, когда он выпустил предупреждение о «множественных уязвимостях» в программном обеспечении.

Это уведомление пришло через два года после того, как федеральные власти начали расследование.

По словам его адвокатов, торговый посредник NetDesign уволил Гленна в марте 2009 года.

Два года спустя, после того, как сестра Гленна уведомила ФБР, и был подан иск, утверждая, что Cisco обманула федеральные власти США, штатов и местные органы власти, которые приобрели систему программного обеспечения.

22 июля истцы урегулировали с Cisco дело, возбужденное в западном округе Нью-Йорка.

Адвокаты Гленна и Cisco объявили о выплате истцам 8,6 миллионов.

Гленн, сын морского пехотинца родом из Вирджинии, сейчас живет в Болгарии и работает в той же компании с 2011 года, которую он отказался назвать.

Он сказал, что женат, имеет одного ребенка.

Для получения последних технических новостей и обзоров следите за Gadgets 360 в Twitter, Facebook и подпишитесь на наш канал YouTube.