Эксперт по компьютерной безопасности, выигравший первоклассную выплату по иску о нарушениях в отношении критических недостатков безопасности, которые он обнаружил в октябре 2008 года в программном обеспечении видеонаблюдения Cisco Systems, подумал, что его открытие станет важной вехой в карьере.
Джеймс Гленн вообразил в то время, что Cisco зачислит его на свой веб-сайт. В конце концов, программное обеспечение использовалось в крупных международных аэропортах США и во многих федеральных агентствах с ответственными задачами.
«Я имею в виду, это было довольно приличное достижение», сказал Гленн в четверг в телефонном интервью.
Вместо этого он был уволен торговым представителем Cisco в Дании, который нанял его, что указывало на необходимость сокращения расходов. И Cisco сдерживала недостатки своей системы Video Surveillance Manager в течение пяти лет.
Только в среду, когда было объявлено урегулирование на сумму 8,6 млн. Долл. США, и судебный иск, который он подал в 2011 году в соответствии с Федеральным законом о ложных претензиях, был раскрыт, испытание Гленна было раскрыто вместе с потенциальной опасностью, вызванной долгим молчанием Cisco.
Закон позволяет информаторам сообщать о мошенничестве и неправомерных действиях при заключении федеральных контрактов – по сути, о продаже ошибочных продуктов – и получать финансовое вознаграждение в случае успешного удовлетворения претензий. Адвокаты Гленна заявили, что это первое дело о кибербезопасности, успешно рассмотренное в рамках FCA.
Эксперт по кибербезопасности из компании Veracode Крис Уисопал [Chris Wysopal] заявил, что это дело открывает новые возможности, давая понять, что уязвимости в системе безопасности теперь попадают в дефектную категорию продуктов.
«Это позволяет исследователям в области безопасности получать новый тип вознаграждения за ошибки, если производители тянут свои ноги, продолжают продавать свои продукты правительствам, не уведомляя о риске, о котором они знают, и не исправляя свои недостатки», – сказал он.
Эксплуатация, которую обнаружил 42-летний Гленн, дала бы злоумышленнику полный административный доступ к программному обеспечению, которое управляло видеопотоками, позволяя контролировать их из одного места, говорится в иске. Это также может потенциально позволить несанкционированный доступ к чувствительным подключенным системам.
Это означало, что злоумышленник мог взять под контроль или обойти системы физической безопасности, такие как замки и пожарная сигнализация, которые регулярно подключаются к системам камер.
«Несанкционированный пользователь может эффективно закрыть весь аэропорт, взяв под контроль все камеры видеонаблюдения и отключив их», – говорится в иске. В число пострадавших аэропортов входят Лос-Анджелес Интернешнл и Чикаго Мидуэй.
«Вы могли бы проникнуть во всю систему. И вы могли бы сделать это безо всякого следа. И иметь полный доступ к системе через черный ход, когда бы вы ни захотели», – сказал Майкл Роникер, адвокат, представляющий Гленна в фирме Константина Кэннона.
Программное обеспечение также использовалось штаб-квартирой оперативной группы по биометрии Министерства обороны США, секретной службой США, министерством национальной безопасности, армией, военно-морским флотом, корпусом морской пехоты, Национальным управлением по аэронавтике и исследованию космического пространства и Федеральным агентством по чрезвычайным ситуациям. как говорится в иске, а также в полицейских участках, тюрьмах, школах и Amtrak на своих участках.
«Я чувствую себя оправданным, но не в праздничном смысле», – сказал Гленн, который получает 20 процентов от суммы выплаты населению, а остальное идет в федеральное правительство, 15 штатов и округ Колумбия.
«Я думаю, что с точки зрения уровня наказания для другой стороны, возможно, это не так важно», добавил он.
В среду Cisco опубликовала заявление, в котором говорилось, что было «приятно разрешить» спор и что «не было никаких утверждений или доказательств того, что какой-либо несанкционированный доступ к видео клиентов происходил» в результате архитектуры продукта. Но он добавил, что видеопотоки «теоретически могли быть взломаны».
Роникхер, адвокат Гленна, отметил, что иск не распространяется на все международные центры, в которых было приобретено программное обеспечение Cisco, в том числе, по его словам, аэропорт Окленда, крупнейший в Новой Зеландии.
Когда Гленн обнаружил недостатки, он сразу же предупредил Cisco, но технологический гигант США не признал их до 2013 года, когда он выпустил предупреждение о «множественных уязвимостях» в программном обеспечении.
Это уведомление пришло через два года после того, как федеральные власти начали расследование.
По словам его адвокатов, торговый посредник NetDesign уволил Гленна в марте 2009 года.
Два года спустя, после того, как сестра Гленна уведомила ФБР, и был подан иск, утверждая, что Cisco обманула федеральные власти США, штатов и местные органы власти, которые приобрели систему программного обеспечения.
22 июля истцы урегулировали с Cisco дело, возбужденное в западном округе Нью-Йорка.
Адвокаты Гленна и Cisco объявили о выплате истцам 8,6 млн. Долл. США.
Гленн, сын морского пехотинца родом из Вирджинии, сейчас живет в Болгарии и работает в той же компании с 2011 года, которую он отказался назвать.
Он сказал, что женат, имеет одного ребенка.
Add comment