Поделиться
Cisco заплатит миллионы за продажи «дырявого» ПО госорганам США
По решению суда, Cisco заплатит $8,6 млн за то, что продавала школам, больницам и госорганам США ПО для камер наблюдения, зная о наличии в нем уязвимости. «Дыру» нашел сотрудник компании-субподрядчика, который получит часть компенсации.
Cisco заплатит штраф
Компания Cisco согласилась оплатить штраф в размере $8,6 млн за то, что сознательно поставляла уязвимое ПО в больницы, аэропорты, школы и госорганы США. Речь идет о ПО для камер видеонаблюдения Cisco Video Surveillance Manager. Компания узнала о наличии серьезной уязвимости в продукте в 2008 г., и в течение нескольких лет продолжала его продавать, не предпринимая попыток закрыть «дыру».
Продукт поставлялся в том числе в госорганы, включая Секретную службу США, Федеральное агентство по управлению в чрезвычайных ситуациях и военные ведомства. Также это ПО закупалось исправительными учреждениями и полицейскими департаментами, включая полицейский департамент Нью-Йорка.
Уязвимость можно было использовать для просмотра видео с камер наблюдения, удаления этого видео, а также для удаленного включения и выключения камер. Более того, через «дыру» можно было скомпрометировать другие устройства системы безопасности, подключенные к камере — например, замки и сигнализацию. При этом уязвимость было достаточно просто найти и использовать.
Как нашли уязвимость
Уязвимость обнаружил Джеймс Гленн (James Glenn), который работал на субподрядчика Cisco в Дании. Его компания называлась NetDesign. Обнаружив «дыру», Гленн на протяжении всего 2008 г. отправлял в Cisco подробные отчеты о том, что в их продукте есть уязвимость, и что любой злоумышленник, даже с посредственными представлениями о сетевой безопасности, может ее использовать.
Однако Cisco так и не ответила ни на одно предупреждение Гленна. Сам он был уволен из NetDesign в 2009 г., но никак не связывает этот факт с обращениями в Cisco. Еще через два года, поскольку уязвимость так и не была закрыта, Гленн подал на Cisco в суд в Нью-Йорке. Американское законодательство позволяет гражданину подать иск от имени правительства, если он полагает, что правительственный подрядчик совершает мошенничество. Правительство может присоединиться к иску позже, причем ему отойдет большая часть компенсации.
К иску Гленна в конечном счете присоединились Министерство юстиции, 15 штатов и Западный округ Нью-Йорка, в суд которого был подан иск. В иске Гленн потребовал от Cisco компенсации в размере $8,6 млн. Однако 80% этой суммы получит государство, остальные 20% достанутся самому Гленну и его адвокатам.
Позиция компании
Cisco уверяет, что доказательств реального использования найденной уязвимости злоумышленниками нет. Но Гленн утверждает, что «дыру» можно эксплуатировать, не оставляя за собой никаких следов, поэтому он не уверен в отсутствии реальных случаев взлома.
Согласно позиции юристов Cisco, их ПО для видеонаблюдения специально было спроектировано так, чтобы не предоставлять заказчику полной защиты — таким образом у него появлялась возможность добавить собственные защитные решения. Само ПО, о котором идет речь, было создано компанией Broadware, выкупленной Cisco в 2007 г.
Cisco подчеркивает тот факт, что в 2009 г. в Руководстве по передовому опыту предупредила клиентов, что им «следует уделить особое внимание созданию необходимого защитного функционала поверх ПО». Однако уязвимость при этом закрыта не была. Только в 2013 г. Cisco пришла к выводу, что ее клиентам нужна более полная защита, и обновила продукт. При этом продажи уязвимой версии были прекращены лишь к сентябрю 2014 г.
Короткая ссылка
