Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
NYTimes: Cisco świadomie dostarczyło system monitoringu wizyjnego z „poważną podatnością”. Firma ma zapłaci 8.6 miliona USD w ramach ugody
Dostarczasz wrażliwy system ze znanymi ci istotnymi podatnościami. Powinieneś ponieść odpowiedzialność? Tak? Nie? Zazwyczaj nie, choć ta sprawa rzuca nieco odmienne światło na tego typu problemy:
Cisco Systems agreed on Wednesday to pay $8.6 million to settle claims that it sold video surveillance technology that it knew had a significant security flaw to federal, state and local government agencies.
Wg prawników historia sięga roku 2008, kiedy to James Glenn zgłosił problem do producenta:
The software vulnerability was identified in 2008 by a whistle-blower, James Glenn, who was working as a Cisco subcontractor in Denmark when he discovered that he could hack into the video software and take over the surveillance system without being detected, according to his lawyers at Constantine Cannon.
Wg dokumentów sądowych podatność została załatana dopiero w 2012 roku, a Cisco nie wystosowało stosownej informacji (security advisory) do firm używających podatnego systemu aż do 2015 roku:
But according to court filings cited by Glenn’s attorneys, Cisco didn’t fix the vulnerability until an updated version of the software was released in 2012. The company also didn’t release a security advisory to companies using the previous, flawed version of the software until 2015.
Nieco więcej szczegółów można uzyskać ze źródłowego dokumentu sądowego:
Due to the vulnerability in Cisco’s surveillance system, any user who has or can gain access to one video camera could potentially gain unauthorized access to the entire network of a federal agency.
PS
Oj, chyba musimy zgłosić to znalezisko do odpowiednich agencji w USA. Ponoć z rozwiązań tego producenta korzysta FBI, Policja czy więzienia amerykańskie…
–ms
A Huawei taki brzydki, szpiegujący. Nie to co nasze…
Bezpieczenstwo np w sieci, nie istnieje i nigdy nie bedzie istniec. Kiedy sie to zrozumie to tak jakby caly swiat podali Ci na talerzu.
W głowie się nie mieści. Rozumiem że firmy kombinują. Tak jak np. pewna firma niemiecka w sprawach emisji spalin ich produktów. Jednak w tym przypadku to zdecydowanie nie to samo.
^
@Borygo nie pisz tak bo zostaniesz „ruskim agentem” albo lepiej – „ruskim na garnuszku chińskim” ;-E hi hi hi
всего доброго