Cisco заплатит миллионы за продажи «дырявого» ПО госорганам США

Cisco заплатит миллионы за продажи «дырявого» ПО госорганам США

Спецпроекты

cnews.ru/inc/design2019/img/icons/caret-down.png" alt="">

По решению суда, Cisco заплатит $8,6 млн за то, что продавала школам, больницам и госорганам США ПО для камер наблюдения, зная о наличии в нем уязвимости. «Дыру» нашел сотрудник компании-субподрядчика, который получит часть компенсации.

Компания Cisco согласилась оплатить штраф в размере $8,6 млн за то, что сознательно поставляла уязвимое ПО в больницы, аэропорты, школы и госорганы США. Речь идет о ПО для камер видеонаблюдения Cisco Video Surveillance Manager. Компания узнала о наличии серьезной уязвимости в продукте в 2008 г., и в течение нескольких лет продолжала его продавать, не предпринимая попыток закрыть «дыру».

Продукт поставлялся в том числе в госорганы, включая Секретную службу США, Федеральное агентство по управлению в чрезвычайных ситуациях и военные ведомства. Также это ПО закупалось исправительными учреждениями и полицейскими департаментами, включая полицейский департамент Нью-Йорка.

Уязвимость можно было использовать для просмотра видео с камер наблюдения, удаления этого видео, а также для удаленного включения и выключения камер. Более того, через «дыру» можно было скомпрометировать другие устройства системы безопасности, подключенные к камере — например, замки и сигнализацию. При этом уязвимость было достаточно просто найти и использовать.

Уязвимость обнаружил Джеймс Гленн (James Glenn), который работал на субподрядчика Cisco в Дании. Его компания называлась NetDesign. Обнаружив «дыру», Гленн на протяжении всего 2008 г. отправлял в Cisco подробные отчеты о том, что в их продукте есть уязвимость, и что любой злоумышленник, даже с посредственными представлениями о сетевой безопасности, может ее использовать.

Однако Cisco так и не ответила ни на одно предупреждение Гленна. Сам он был уволен из NetDesign в 2009 г., но никак не связывает этот факт с обращениями в Cisco. Еще через два года, поскольку уязвимость так и не была закрыта, Гленн подал на Cisco в суд в Нью-Йорке. Американское законодательство позволяет гражданину подать иск от имени правительства, если он полагает, что правительственный подрядчик совершает мошенничество. Правительство может присоединиться к иску позже, причем ему отойдет большая часть компенсации.

К иску Гленна в конечном счете присоединились Министерство юстиции, 15 штатов и Западный округ Нью-Йорка, в суд которого был подан иск. В иске Гленн потребовал от Cisco компенсации в размере $8,6 млн. Однако 80% этой суммы получит государство, остальные 20% достанутся самому Гленну и его адвокатам.

Cisco уверяет, что доказательств реального использования найденной уязвимости злоумышленниками нет. Но Гленн утверждает, что «дыру» можно эксплуатировать, не оставляя за собой никаких следов, поэтому он не уверен в отсутствии реальных случаев взлома.

Согласно позиции юристов Cisco, их ПО для видеонаблюдения специально было спроектировано так, чтобы не предоставлять заказчику полной защиты — таким образом у него появлялась возможность добавить собственные защитные решения. Само ПО, о котором идет речь, было создано компанией Broadware, выкупленной Cisco в 2007 г.

Cisco подчеркивает тот факт, что в 2009 г. в Руководстве по передовому опыту предупредила клиентов, что им «следует уделить особое внимание созданию необходимого защитного функционала поверх ПО». Однако уязвимость при этом закрыта не была. Только в 2013 г. Cisco пришла к выводу, что ее клиентам нужна более полная защита, и обновила продукт. При этом продажи уязвимой версии были прекращены лишь к сентябрю 2014 г.

Данные клиентов «Ростелекома» и Tele2 будут храниться на АЭС

В России создадут «киберполигон». Кто будет его строить?

В России запрещают анонимную электронную почту

Хакеры украли миллионы долларов, подделывая голоса гендиректоров компаний

Взломан крупный подрядчик ФСБ. Он работал над чтением чужой почты и деаноном пользователей Tor

Россиянин сел в тюрьму на 4,5 года за 80 взломов интернет-магазинов

Елена Сучкова

заместитель Председателя ФОМС

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений

Елена Сучкова

заместитель Председателя ФОМС

Александр Шохин

президент Российского союза промышленников и предпринимателей

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе