思科支付了8.6米,在举报机揭示了视频监控系统中的安全缺陷之后
思科系统已同意在被指控地向美国联邦和州各国政府考虑的视频监控技术遏制漏洞提供视频监控技术后支付8,600万美元。
丹麦思科合作伙伴公司的前雇员带来的案件是第一个在美国举报立法下对美国技术公司带来的第一个成功的网络安全投诉。
思科系统已同意解决根据“虚假索赔法”提出的指控,即它明确地将其销售在美国的广大联邦,州和地方政府机构的视频监控软件,以达到未经授权的进入和篡改至少四年半的风险。
思科的视频监控管理软件套件被美国和欧洲的政府机构,监狱,学校和购物中心广泛使用,以管理和控制数千名在数字网络上运行的监视摄像机。
该公司将软件提供给包括美国国土安全部,秘密服务,陆军,海军,空军,海军陆战队和联邦应急管理机构(FEMA)的机构的软件。
根据今天在纽约西区法院的投诉,思科据称未能在该软件中披露已知的脆弱性,这可能使黑客尽管内部警告,但仍可获得敏感政府机构,学校和医院的计算机网络。
该公司在一份声明中表示,它很乐意通过2007年通过收购来解决涉及其涉及其投资组合的视频安全产品的争议。“没有指控或证据表明任何未经授权访问客户的视频,因为架构是由于架构的结果,”它说。
Video Murveillance ExpertJames Glenn,在丹麦哥本哈根担任思科经销商NetEndesign,警告思科的产品安全事件响应团队于2008年10月在旗舰视频监控软件中进行严重漏洞。
格伦最终在他的公司被描述为成本削减措施的公司中失去了工作,他的律师每周告诉电脑。
格伦在一份声明中说:“技术产业并未履行其专业责任,以保护公众免受其产品和服务。有这种文化倾向于优先考虑利润和声誉,而不是做正确的事情。我希望通过我的经验来导致技术公司的其他人思考他们的道德授权。“
思科Glenn声称,任何具有适度掌握网络安全的人都可以利用软件来获取未经授权访问存储视频,可以绕过物理安全系统,并在没有检测的情况下加入整个政府机构网络的管理访问。
“问题是,在软件中嵌入了一些代码,它留下了一个漏洞所以,作为访问权限非常有限的人,您可以获得管理访问权限,因此最终为自己构建后门进入系统 - 它不会记录创建该管理员账户,“律师Mike Ronickher表示,代表Glenn。
“您可以基本上有释放软件 - 修改,删除您想要的任何内容。根据它与特定安装的建立方式,这将为您提供对系统已联网的任何内容。您不仅可以获得正在运行的计算机本身,而且通常会安装它们,但通常会连接到物理安全性,因此您可以访问电子贺卡读卡器和警报。“
格伦的律师提出了一份称为Qui TAM诉讼的投诉,以代表联邦政府,15个州和哥伦比亚地区的思科,该公司于2011年5月购买了思科设备。纽约州的司法部长纽约办事处代表了15个国家在结算谈判中行事。
思科发布了一项最佳实践指导,然后于2012年9月发布了一款更新版本的视频监控软件,而ItClimed则讨论了格伦在三年多以上识别的问题。它在2013年7月,格伦首次提醒了这些问题后,泄露了对公众及其客户的脆弱性,四年和九个月。
自2013年7月以来,思科已经发布了关于严重安全漏洞的有关严重安全漏洞的进一步警报,并在其视频监控软件经理软件中没有。
2018年9月,思科报告说,系统上的某些配置包含了一个硬编码密码,可以使Hackers登录并将命令作为“root用户”登录。
2019年5月,思科建议该软件的一些版本包含一个可能允许攻击者下载敏感文件的漏洞。
根据美国联邦错误索赔法,格伦可能收到思科恢复的15%至20%的成本。
该案件可能会鼓励欧洲技术行业的其他举报人利用美国举报人保护法,向美国监管机构和执法人员报告差的网络安全实践和企业渎职。
玛丽·奥曼是代表格伦的法律团队之一:“我认为这是我们认为是第一个成功的举报人发起的案件,以暴露网络脆弱性的重要意义。我的观点是,这是即将到来的东西的预兆。这将是众多的第一个。“
除了虚假的索赔法外,美国拥有一系列举报人法律,该法律涵盖美国证券交易委员会(SEC),内部收入服务和商品期货交易委员会。
曾任英国和欧洲的更多人越来越意识到他们可以根据保护美国法律吹哨。
对于过去九年来的八年来,英国一直是举报美国境外的举报人的顶级资源。
Hamsa Mahendranathan代表Glenn表示,它特别令人不安的是,在机场,警察部门和学校使用的视频监控软件中发现了漏洞,该漏洞应该让人更安全。
“如果没有举报人,这些脆弱性永远不会在没有录音机,而不是思科,而不是政府,”Mahendranathan说。“随着我们更加信任的科技公司来保持我们的安全,我们需要鼓励行业举报人现在比以往任何时候都更出来。”
思科首席法律官员撰写博客文章,思科首席法律官员表示,思科在2007年通过思科收购了思科的一家公司的VSM软件,该公司使用了“开放式架构”设计了该软件。由于这个“视频饲料理论上可能受到黑客攻击,尽管没有证据表明任何客户的安全被违反。”
“2013年7月,我们建议客户应升级到新版本的软件,以解决安全功能。他写道,所有旧版本的软件的销量都已结束于2014年9月。“
格伦由康斯坦丁大炮LLP及其举报人·哈特曼,迈克尔·克隆,Hamsa Mahendranathan和Philips和Cohen的共同咨询克莱尔西尔维亚共同咨询。
James Glenn与思科的战斗在视频监控安全
2007年5月:思科在购买宽软件技术后获得视频监控技术,这是一种基于IP的监控软件的提供商。
2008年10月:詹姆斯格伦(James Glenn)在丹麦撰写思科经销商NetDesign,发现了思科的视频监控经理(VSM)的严重安全漏洞。他向思科产品安全事件响应团队(第Pirst)提交报告。
2008年11月:Glenn在收到无响应后向Cisco发送后续信件。格伦和思科之间的拟议会议没有发生。
2009年3月9日:格伦在NetDesign失去了他的工作。
2010年9月:格伦在华盛顿特区的一个亲密家庭成员的事件谈到,他提醒了美国政府网络安全机构,他将信息传递给FBI。格伦与举办举报人,蒂姆麦卡克,那么律师事务所菲利普斯和科恩。
2011年5月10日:格伦的律师代表美国政府在纽约西区美国地方法院的美国政府提出投诉。思科随后释放软件的最佳实践指南。
2012年9月:思科释放了其视频监控管理软件的产品更新,它表示固定格伦识别的漏洞。
2013年3月13日:一名名为Bassam Sealh的研究员在Buqtraq邮件列表中举报了思科视频监控经理中的多个严重的安全漏洞。
2013年7月24日:思科通过Glenn和其他人确定的漏洞发出公共安全警报。思科的安全警报在7.0.0之前的版本中识别Cisco视频监控管理器中的多种安全漏洞。它警告说,一个漏洞“可能允许攻击者在系统上获得完全管理权限”,并且未经授权的攻击者可以通过使用“制作的URL”来访问敏感系统文件。其他漏洞将允许攻击者创建,修改和删除相机馈送,存档,日志和用户。
2013年8月:CRAIG Heffner是一个与国家安全机构的前软件开发商,展示了思科和其他供应商的IP视频监控摄像机的安全漏洞。他在思科系统中确定了一个硬编码的密码和用户名,攻击者可以使用攻击者访问酒店,服务器室和工程公司参与空间计划的摄像机。
21 2018年21年度思科公开了在其视频监控经理的许多配置中存在后门漏洞。该软件包含未记录的硬编码密码。“攻击者可以通过使用帐户登录受影响的系统来利用此漏洞,”它说。“成功的漏洞利用可能允许攻击者登录受影响的系统并将任意命令作为root用户身份执行。”
2019年5月:思科披露了视频监控管理器中的安全漏洞,可以允许未经身份验证的远程攻击者访问敏感信息。漏洞是由于基于Web的管理界面处理的参数的验证不当。“攻击者可以通过向受影响的组件发送恶意请求来利用此漏洞,”它说。“成功的漏洞利用可以允许攻击者从受影响的设备下载任意文件,这可能包含敏感信息。”
2019年8月:思科同意支付8.6亿美元以使其明确地将包含严重安全漏洞的视频监控设备销售给美国政府机构,包括美国国土安全,秘密服务,军队,海军,空军,海军陆战队和海军陆战队和联邦应急管理机构(FEMA)。