Domanda:
Ho scoperto che l'azienda per cui lavoro sta mettendo una backdoor nei telefoni cellulari
anonymousquery
2012-05-17 21:11:07 UTC
view on stackexchange narkive permalink

Ho scoperto di recente che il software dell'assistente personale che mettiamo in uno smartphone che vendiamo può essere attivato da noi senza l'approvazione dell'utente.

Non stiamo usando questa opzione, ed è probabilmente lì da sbaglio. Ma le persone responsabili di questo sistema non lo vedono come un grosso problema. Perché "Non lo useremo" ...

Sbaglio se esagero?

Cosa faresti se fosse il tuo posto di lavoro?

Questa domanda era Domanda della settimana sulla sicurezza IT .
Leggi il post di blog del 16 giugno 2012 a> per maggiori dettagli o invia la tua domanda della settimana.

Esiste un caso d'uso del software per situazioni in cui l'utente legittimo potrebbe non avere il controllo del dispositivo? Dì, esiste la funzionalità "cancella dispositivo" o "dispositivo di blocco rigido"? Non immagino che qualcuno che _stole_ il dispositivo vorrà accettare azioni remote che rendono inutile il dispositivo.
Quali operatori utilizzano il tuo telefono, quindi posso cambiare il mio provider se necessario?
La tua azienda ha sviluppato il software o lo stai concedendo in licenza da qualcun altro?
Screenshot o non è successo! ;)
una parola ** wikileaks **
Il più grande ISP in Germania ha ricevuto molta [cattiva copertura da parte della stampa] (http://www.heise.de/netze/meldung/WLAN-Hintertuer-in-Telekom-Routern-1558346.html) durante l'ultimo mese perché una backdoor è stato scoperto un account nei router degli utenti finali.
Intendi [Carrier IQ] (http://www.zdnet.com/blog/btl/which-phones-networks-run-carrier-iq-mobile-tracking-software/64500)? O è qualcosa di più nuovo e forse non ancora ampiamente conosciuto?
Io chiamo stronzate su "non le useremo". Non metti quel tipo di backdoor a meno che tu non abbia assolutamente intenzione di usarlo o di darlo a qualcun altro per usarlo. Fischiare.
Suona come "Do No Evil" di Google
@Shadur Dalla mia (limitata) esperienza, nelle grandi aziende cose del genere possono accadere puramente a causa della mancanza di organizzazione. Non lo rende meno pericoloso, ma non è necessariamente a causa di un intento malvagio.
@anonymousquery, Quali sono le implicazioni dell'attivazione dell'assistente personale? Ad esempio, sarà rilevabile dall'utente, consente il controllo del sistema o la lettura di dati privati?
"Cosa succederebbe alla nostra reputazione se diventasse pubblico che avessimo una backdoor su tutti quei telefoni?" Quella domanda forzerà una patch ...
ZTE ha recentemente avuto sfortuna con un problema simile http://www.theverge.com/2012/5/18/3028207/zte-score-backdoor-vulnerability-confirmed-skate ci sono altri esempi recenti in cui un account e una password predefiniti ( che non può essere disabilitato o modificato) nell'hardware fisico ha causato molte domande su come proteggere dispositivi del genere (cioè cose per l'infrastruttura).
@AntonStrogonoff Ben detto. "Non attribuire mai alla malizia ciò che è adeguatamente spiegato dalla stupidità."
@FrankFarmer Sono abbastanza sicuro che il detto sia stato inventato da persone malvagie per rendere loro più facile giocare da stupidi quando vengono scoperti
Sperare che questo post e le notizie ZTE arrivino così vicine significa che hai ottenuto la tua strada, grazie amico :)
C'è qualche possibilità che possiamo ottenere marca / modello del telefono? Vorrei assicurarmi che non sia il telefono che sto usando. Funziona con Android?
Ho bisogno di una bomba nucleare. Non lo userò. Ne ho solo bisogno.
@schwiz Probabilmente no. In caso di una caccia alle streghe interna, nominare i nomi qui farebbe molto per rimuovere l'anonimato.
..... non lo vedo come un grosso problema. Perché "Non lo useremo" - sembra che non si preoccupino del loro cliente. Possono essere citati in giudizio una volta che il cliente lo sa.
Potrebbero non usarlo, ma qualche organizzazione di 3 lettere lo farà se hanno un ordine del tribunale
Contatta la [Electronic Frontier Foundation] (https://eff.org), anonimamente se necessario. Chiedi loro aiuto per trovare un avvocato che ti aiuti a stabilire se e, in tal caso, come puoi eseguire una divulgazione responsabile.
Forse lavori per Samsung? Http: //redmine.replicant.us/projects/replicant/wiki/SamsungGalaxyBackdoor
Mi chiedo cosa sia successo alla fine con questa situazione.Tuttavia, guardando il profilo, l'OP non è mai più loggato qui dopo aver posto la domanda, quindi dubito che vedrà il mio commento :(
22 risposte:
#1
+312
Oleksi
2012-05-17 22:28:11 UTC
view on stackexchange narkive permalink

Solo perché non lo useranno, non significa che qualcun altro non lo troverà e non lo userà.

Una backdoor è una vulnerabilità incorporata e può essere utilizzata da chiunque. Dovresti spiegare che fare qualcosa del genere è molto rischioso per la tua azienda. Cosa succede quando un malintenzionato trova questa backdoor e la utilizza? Questo costerà alla tua azienda molto tempo e denaro per risolvere il problema. E cosa dirà la tua azienda quando le persone chiederanno perché il software conteneva quella backdoor in primo luogo? La reputazione dell'azienda potrebbe essere danneggiata per sempre.

Il rischio non vale certamente la pena averlo nel codice.

+1 Tutte le cose dovrebbero essere documentate e condivise con l'utente. Non dovrebbero essere consentite backdoor. [MSFT si è persino spinto a vietare innocui easter egg da tutti i software] (http://blogs.msdn.com/b/larryosterman/archive/2005/10/21/483608.aspx) poiché implica che il codice contenga funzionalità nascoste e funzionalità. La tua azienda dovrebbe seguire l'esempio di un computing affidabile o rischiare di finire in una tana del coniglio da cui potrebbero non riprendersi (cattive relazioni pubbliche, vendite perse, ecc.)
+1 "Ma non lo useremo" è la * peggiore * scusa per una backdoor. Se non lo userai, qual è il punto? Qualcun altro lo farà, quasi garantito. Almeno se prevedi di usarlo per qualche motivo, ha una ragione d'essere e puoi soppesare i rischi coinvolti.
Non è realistico presumere che tutti in una grande azienda la pensino allo stesso modo, quindi una persona che dice "Ma non lo useremo" non significa molto a meno che non sia supportato da politiche esplicite e ripercussioni contro coloro che lo usano . È improbabile che accada se i poteri forti sono felici di averlo esistito.
@makerofthings7 Giusto per essere chiari sulla tua dichiarazione MSFT. Non l'hanno fermato intenzionalmente perché quelli hanno scelto di farlo. Il tribunale ha ordinato per legge di fermarlo. "per fornire software ad alcune agenzie governative, Microsoft non può includere funzionalità non documentate, comprese le uova di Pasqua".
@SpoiledTechie.com Grazie per la correzione. Sposterò un sentimento di apprezzamento al governo ... per aver insistito nel fare le cose giuste nel modo giusto
Il software è proprio come un contratto. Se vedi una clausola in un contratto che potrebbe farti VERAMENTE fregare, non firmi il contratto finché non lo tirano fuori. Loro che dicono "ma non useremo mai la clausola" è semplicemente sciocco. Basta un dipendente sconvolto che ne sia a conoscenza per arrecare danni enormi alla tua azienda.
È facilmente possibile scrivere backdoor che non possono essere utilizzate da nessun altro.
Il collegamento "Domanda di sicurezza informatica della settimana" è interrotto
#2
+114
Mason Wheeler
2012-05-17 23:31:30 UTC
view on stackexchange narkive permalink

Se hai informato i responsabili delle decisioni e hanno deciso di non fare nulla, per definizione la tua azienda sta consapevolmente spedendo un prodotto con una grave vulnerabilità di sicurezza. (E, presumo, nascondendolo ai loro clienti.) Questa è una questione molto seria. Qual è la cosa peggiore che potrebbe fare una persona maligna con accesso a questa backdoor? Se è già abbastanza grave, andrei all'FBI per parlarne. (O chiunque abbia giurisdizione sulla sicurezza informatica se non sei negli Stati Uniti.)

Se la tua azienda conosce il problema e non gliene importa, allora esporlo è l'unica linea di condotta etica. E se tentano di intraprendere un'azione di ritorsione contro di te, potresti avere a disposizione ricorsi legali, a seconda delle circostanze e delle leggi in cui vivi. (Parla con un avvocato di questo se pensi che possa essere applicato al tuo caso.)

+1 Perché sono d'accordo con l'idea, ma penso che probabilmente perderai il lavoro e dovrai passare il resto della tua vita a raccogliere mele perché nessun altro ti assumerà ... Questa non è una decisione facile produrre.
-1
@Rob: Questo è interessante. Quando l'ho esaminato un po 'di più, sembra che le leggi sulla protezione degli informatori si applichino generalmente solo ai dipendenti del governo. Modificherò la mia risposta.
C'è un intero [sito web del governo degli Stati Uniti] (http://www.whistleblowers.gov/) dedicato agli informatori, compresi coloro che stanno segnalando violazioni di "violazioni di ... prodotti di consumo .. e leggi sui titoli". È probabile che ci sia qualcosa di simile, nella maggior parte dei paesi ricchi ..
Non è ovvio per me che (1) esporlo sia l'unico corso di azione etico; (2) l'FBI ha giurisdizione o interesse; e (3) esistono ricorsi legali per gli informatori. Qual è la differenza tra un elemento non documentato e uno scarsamente documentato?
Il sito web del governo del Regno Unito per l '[UK Whistleblowers act] (https://www.gov.uk/whistleblowing/overview).
#3
+68
Avio
2012-05-18 04:16:04 UTC
view on stackexchange narkive permalink

Per favore, scusa il mio cinismo, ma questa non è la prima e non sarà l'ultima backdoor che vediamo nelle nostre app e dispositivi legittimi e difficilmente guadagnati. Tanto per rinfrescarci la memoria, possiamo iniziare da quello più recente, il nuovo Kindle del Grande Fratello di Amazon [1] [2].

Ma abbiamo un'intera pletora di software e servizi con backdoor, come PGP Disk Encryption [3] [4], ProFTPD [5] o Hushmail [6], per citarne alcuni.

E non dimenticare i sistemi operativi: M $ è sempre avanti con la sua NSA_KEY [7] [8], ma anche OpenBSD [9] e il kernel Linux [10] non possono essere considerati sicuri al 100%. Abbiamo anche tentato a pagamento di ottenere un accesso backdoor a Skype da parte della NSA [11], che, tuttavia, è stato valutato come "architettonicamente sicuro" [12].

Passando al firmware, oggigiorno siamo quasi abituati ad avere persone del nostro ISP che sono in grado di guardare all'interno dei nostri router (sì, forse anche vedere la nostra amata password WPA), ma questi [13] [14] [15] possono sicuramente essere considerate anche backdoor!

Infine, alcune considerazioni su hardware e BIOS [16] e (questo è sia divertente che in qualche modo drammatico) EULA [17] [18], perché anche gli avvocati hanno le loro backdoor.

Ok, dato questo preambolo, cercherò di rispondere brevemente alla domanda. No, non sbagli ad arrabbiarti per questa cosa, ma dovresti concentrare la tua rabbia sulla motivazione corretta. Dovresti essere arrabbiato perché hai perso un pezzo di fiducia nei confronti dell'azienda per cui lavori, non per il fatto della backdoor stessa (lascia questa rabbia ai clienti).

E se fossi in te, io ' Sarò solo molto cauto. Innanzitutto, mi assicurerò davvero che ciò che ho visto fosse una backdoor, intendo legalmente parlando. In secondo luogo, cercherò in qualsiasi modo di convincere l'azienda a rimuovere la backdoor.

Probabilmente hai firmato un accordo di non divulgazione [19] con la tua azienda, quindi la tua domanda qui potrebbe essere già una violazione. Tuttavia non so dove finisca l'NDA e inizi la tua legge statale (potrebbe essere anche la frode del cliente), e probabilmente, a causa della tecnicità dell'argomento solo un avvocato altamente specializzato potrebbe aiutarti in questa faccenda. Quindi, se vuoi procedere, prima di fare qualsiasi altra cosa, anche parlare con le autorità, dovresti assumere un avvocato molto esperto ed essere pronto a perdere molto tempo e denaro, o anche il lavoro.

Il caso PGP non mi sembra una backdoor.
L'articolo di Skype sembra fuori luogo. È stato scritto nel 2009 e persino l'articolo fa sembrare che Skype declini le offerte di creare una backdoor.
Non stavo dicendo che Skype _ha_ una backdoor, ma stavo facendo notare che la NSA, un'agenzia governativa, ha offerto soldi (molti soldi) per portare a termine il lavoro. È legale anche solo chiedere una cosa del genere? Cosa succede se ti offri di pagare qualcuno per entrare nella linea telefonica di qualcun altro e essere scoperto? Questo è solo per dire che più grande è l'azienda, meno è probabile che paghino per i loro atti illegali.
Per non parlare di tutto il software che offre aggiornamenti automatici ...
Penso che il tuo enorme numero di link sia estremamente fuorviante. Rileggendolo all'inizio, ho avuto l'impressione che stessi indicando tutti questi casi di backdoor. Quindi, sono tornato a leggere i collegamenti e ho trovato un paio di istanze di backdoor autentiche, la maggior parte delle quali non erano segreti, un server compromesso che ospitava una versione dannosa di un software per un breve periodo di tempo, e poi un misto di cose che erano tutte * non * backdoor: tentativi falliti di backdoor, non-backdoor erroneamente identificate, voci infondate sulle backdoor e discussioni teoriche su potenziali backdoor.
Il collegamento al kernel Linux del 2003 non è affatto dannoso
@Jeremy Salwen - Stavo solo facendo notare che le backdoor e le "funzionalità indesiderate" non richieste dagli utenti e anche lavorando contro di loro, sono sempre esistite ed esisteranno per molto tempo. Potrei anche scommettere che quello che ho trovato nella mia ricerca di mezz'ora è solo la punta dell'iceberg. Questo è un argomento controverso e per la mia sicurezza ho iniziato a considerare le voci come mezze verità quando sceglievo il mio hardware e software. Se credi di essere perfettamente al sicuro, beh, buon per te.
Ah - Adoro il collegamento OCULUS ... "PC Pitstop - $ 1.000 gratis" merita sicuramente una lettura.
+1: la domanda sembra utilizzare l'over-linking per migliorare la sua legittimità. Il che sembra piuttosto brutto. Tuttavia, due punti risaltano davvero: * dovresti essere arrabbiato perché hai perso un pezzo di fiducia nei confronti dell'azienda per cui lavori, non per il fatto della backdoor stessa (lascia questa rabbia ai clienti): non avresti potuto dire di no meglio. * Non so dove finisce l'NDA e inizia la tua legge statale [...]: È sempre bello ricordare che nessun contratto firmato può violare la legge del paese / stato in cui è firmato. IANAL, ma l'ho già sentito da uno.
#4
+55
MartianInvader
2012-05-18 01:54:01 UTC
view on stackexchange narkive permalink

Se non lo vedono come un grosso problema, non stai facendo loro la domanda giusta. La domanda per motivare l'azione su questo non è "è giusto?" ma "cosa ci succede quando qualcuno lo trova e lo pubblica?" Che tu sia un'azienda grande o piccola, stai osservando gravi danni alla tua reputazione e tutte le cose negative che ne derivano se qualcuno al di fuori dell'azienda lo scopre prima che tu lo aggiusti.

questo problema non è solo etico, è essenziale per la sopravvivenza della tua azienda. È molto, molto meglio risolverlo in silenzio ora che una settimana dopo che tutti i tuoi utenti e clienti ti hanno lasciato perché è stato rivelato da un giornalista online.
Sono totalmente d'accordo. Potrebbero non comprendere gli argomenti morali / etici, ma se li costringi a seguire la scia del denaro, attirerai la loro attenzione.
+1. E se rifiutano, fatti gli affari tuoi. Sono abbastanza grande per sapere che la moralità non significa nulla. Sono tuoi amici. Ti pagano. Sei responsabile nei loro confronti, non nella società, a meno che il tuo culo non possa essere fritto.
@JimThio: potrebbe essere citato in giudizio e forse incorrere in accuse penali se viene utilizzata la backdoor, anche se (forse soprattutto?) Se non è la sua azienda a farlo. E la moralità esiste, non importa la tua età, semplicemente non ti garantisce un lieto fine.
Sarei molto attento a come presentare il "cosa ci succede quando qualcuno lo trova e lo pubblica?" problema, per non farlo sembrare una minaccia diretta. I decisori che stanno dietro a tutto questo sono ovviamente già abbastanza arroganti (se possono ignorare tali questioni), e raggiungere la convinzione che qualsiasi disaccordo con loro sia una minaccia diretta potrebbe essere solo un accenno di dubbio.
#5
+35
Bruce Ediger
2012-05-18 01:41:11 UTC
view on stackexchange narkive permalink

Dovresti prendere seriamente in considerazione l'idea di rivolgerti a qualche autorità governativa o normativa con questo, solo per proteggerti.

Immagina questo scenario:

  1. Informi la direzione sulla backdoor. Ora sanno che lo sai.
  2. Evil Hacker ZmEu scopre la backdoor e mette qualcosa su pastebin.
  3. La tua direzione scopre il pastebin di Evil Hacker ZmEu.
  4. La tua direzione ti incolpa e ti licenzia per giusta causa, per le tue proteste di innocenza.

La maggior parte delle vulnerabilità di sicurezza vengono scoperte più volte. Non sarai l'unico a trovarlo, sarai solo il più ovvio di cui fare il capro espiatorio.

Può anche peggiorare, può essere citato in giudizio per la backdoor come una delle persone coinvolte nel processo (lo sapeva ma ha continuato a essere coinvolto)
@lechlukasz Sì, dovrebbe almeno smettere al più presto. Più tardi potrebbe essere il testimone principale dell'FBI su qualunque cosa sia.
Penso che sia molto improbabile che venga citato in giudizio e ritenuto colpevole su questa base. Per coloro che sostengono il contrario, ti sfido a identificare la base dell'azione (ad esempio, lo statuto o l'illecito) e giustificare la tua opinione. In questo momento, queste affermazioni suonano come "avvocati di Internet" (ipotesi disinformate e speculazioni da parte di persone che non sono professionisti legali).
Caro D.W .: Sei mai stato accusato di qualcosa dal management? Non è un procedimento legale, non hai rappresentanza e di solito non esistono ricorsi. Stiamo parlando di capro espiatorio qui, non di giustizia. Inoltre, i tribunali, non i "professionisti legali", determinano l'innocenza, la colpa e la validità della base dell'azione. Stai solo cercando di sostenere l'autorità dei professionisti legali.
Se ZmEu semplicemente "mette qualcosa su pastebin", questo non è certamente il più malvagio che un hacker possa essere.
E se la tua azienda non volesse condividere con te il vero motivo di quella backdoor? Solo per un momento mi viene in mente: "governo". Se dietro c'è il governo, rivolgersi a qualche autorità governativa potrebbe non risolvere il problema (tutto dipende dal paese in cui ti trovi).
#6
+27
dannysauer
2012-05-18 04:50:27 UTC
view on stackexchange narkive permalink

Va ​​bene, le persone continueranno ad acquistare gli iPhone prodotti dalla tua azienda: il tuo segreto è al sicuro. ;)

Se fosse il mio posto di lavoro, dove sono impiegato come analista della sicurezza, accetterei che il mio lavoro è identificare e comunicare il rischio; spetta all'azienda accettare il rischio. Non posso accettare il rischio personalmente, quindi la mia unica vera opzione è assicurarmi di aver comunicato il livello di rischio nel forum appropriato al meglio delle mie capacità. Quindi, se lavori a un livello in cui puoi accettare il rischio, spetta a te decidere se questo è OK o meno. Sulla base del post, tuttavia, non sei a un livello in cui puoi accettare il rischio per conto dell'azienda. Quindi probabilmente tutto ciò che puoi fare è comunicare il rischio in un modo che l'area di business possa comprendere e quindi lasciare che l'area di business prenda una decisione commerciale appropriata utilizzando tutte le informazioni a loro disposizione.

La cosa che tu fare il controllo significa accettare il rischio per te stesso rappresentato dal lavoro per un'azienda che prende decisioni che ritieni siano sbagliate. I mezzi disponibili per mitigare tale rischio sono documentati su Monster.com e amici. :)

+1 "mezzi disponibili per mitigare tale rischio"
#7
+23
Christian
2012-05-18 03:28:15 UTC
view on stackexchange narkive permalink

Prima dell'area smartphone era una caratteristica standard di tutti i telefoni cellulari avere backdoor. Il protocollo GSM ha consentito alla stazione base di aggiornare il software del telefono. http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html è un bel discorso su quanto folle lo schema di sicurezza è stato.

Per quanto ne so, nessuna delle società coinvolte nella creazione del GSM ha avuto problemi legali per la vicenda. Le agenzie governative come la NSA hanno apprezzato il fatto che avessero backdoor. Al momento ci sono persone all'interno del governo che vogliono imporre backdoor per ogni piattaforma di comunicazione.

Penso che ci siano buone possibilità che la backdoor esista perché qualche altra entità come la NSA vuole che sia lì. Se le persone più in alto nella tua azienda hanno fatto un accordo con la NSA probabilmente non te lo diranno quando verrai a lamentarti della backdoor.

Per quanto ne sai, potrebbe essere il Mossad che sta pagando la tua azienda per mantenere la backdoor nel software.

Una backdoor chiara in uno smartphone moderno vale probabilmente 6 cifre o più sul mercato nero. Un dipendente potrebbe venderlo o potrebbe essere stato specificamente pagato per metterlo lì.

D'altra parte, se la backdoor esiste davvero solo perché i vertici della tua azienda sono troppo ignoranti di quanto potresti essere in grado di spiegare loro, è un problema serio.

#8
+15
Matthew Elvey
2012-05-19 22:14:57 UTC
view on stackexchange narkive permalink

Hai una responsabilità professionale e una responsabilità etica per garantire che questo sia affrontato, IMO. E sei entrato in un campo minato. Proteggiti. Guarda i tuoi passi. Vai piano. Pensa alla difesa in profondità. Ho sollecitato con successo un informatore che è riuscito a mantenere l'anonimato. La sollecitazione includeva consigli su come mantenere l'anonimato; guarda.

Controlla di non ripetere il fischio su qualcosa di già noto, come la roba di Carrier IQ. L'invio di una notifica scritta a un consulente aziendale potrebbe fare molto per risolvere il problema, ad es. tramite un account di posta elettronica anonimo in modo da poter avere una comunicazione bidirezionale. Inoltre: guarda gli archivi dell'ormai morto Wikileaks: pagina delle iscrizioni a cui ho fatto riferimento.

Whistleblower.org ha buone informazioni per te, anche se è incentrato sul governo .

Addendum : hai esaminato i log di controllo della versione del codice sorgente per vedere chi ha inserito la backdoor?

L'addendum da solo è un +1
#9
+13
anonymous_bidder
2012-05-18 09:10:11 UTC
view on stackexchange narkive permalink

Trattalo come una vulnerabilità di sicurezza che hai scoperto e segnalalo a, ad esempio, CVE. In modo anonimo, se lo desideri.

#10
+13
ecmanaut
2012-05-20 01:41:42 UTC
view on stackexchange narkive permalink

La tua reazione è sana e, a livello istintivo, significa che tieni a uno o più: la privacy dei tuoi clienti, l'immagine pubblica della tua azienda, la qualità della tua base di codice, la tua pelle.

In sul posto di lavoro, sarei abbastanza anziano da sapere che si tratta di un bug di sicurezza (e non lì per intento aziendale o mandato del governo) - e rimuoverlo. Tuttavia, sembra che questo non si applichi al tuo caso.

Se riesci a rintracciare "non lo useremo" in "lo mettiamo lì per il nostro uso, ma non è necessario "probabilmente puoi descrivere a qualcuno abbastanza in alto nell'organizzazione i pericoli che rappresenta per l'azienda quando compare su bugtraq / viene utilizzato per scopi nefasti da terze parti, cosa che probabilmente accadrà se il tuo smartphone è popolare, comune e sufficientemente prezioso (come obiettivo, che può tradursi in "utilizzato da persone abbastanza importanti") da attaccare.

Se riesci a risalire a "è lì per mandato del governo" o simili, potresti voler insistere sulla documentazione interna in tal senso, in modo che tu possa almeno lasciar perdere e sapere di aver fatto il possibile per proteggere la tua azienda e salvare altri tuoi colleghi qualificati dal dilemma in cui ti trovi, per una questione di bene pratiche di manutenzione del codice. (E rifletti sulle tue possibilità di lavorare in un settore che produce strumenti che servono e allo stesso tempo sacrificano i loro proprietari, se questo sembra profondamente demotivazionale.)

#11
+10
anildash
2012-05-18 08:04:45 UTC
view on stackexchange narkive permalink

Hai una vulnerabilità di sicurezza nota e la tua azienda è solo una delle infinite parti in grado di sfruttarla. Qualsiasi exploit di quel buco, da parte di qualsiasi parte, potrebbe ragionevolmente comportare una responsabilità della portata di Sony dopo il fiasco del root kit. Il loro costo in dollari e in reputazione è salito a centinaia di milioni di dollari, in una situazione direttamente analoga.

Affronta il caso tracciando paralleli diretti con Sony, con la tua base di utenti in rapporto a quella di Sony come indicatore per calcolare la potenziale responsabilità quando questo buco viene sfruttato.

#12
+7
Jens Pettersen
2012-05-19 19:54:58 UTC
view on stackexchange narkive permalink

Consiglierei seriamente di non denunciare immediatamente le irregolarità. Anche perché c'è una buona probabilità che ciò accada perché qualcuno della CIA / FBI ha fatto una chiacchierata con il capo dell'azienda che ha ordinato che accadesse attraverso canali di gestione fidati, ed è per questo che succede anche se tutti dovrebbero riconoscere che è una merda scusa.

Lo stai giustamente riconoscendo come una scusa di merda. Il problema è che anche altre persone dovrebbero avere. Da qualche parte qualcuno con il potere deve aver deciso che questo sarebbe accaduto. Il costrutto che è "OK perché non lo useremo" viene quindi perpetuato.

Ciò significa che se denunci (e vieni licenziato) e avvii una causa, non solo a) potresti trovare molto difficile trovare un altro lavoro, b) la tua causa potrebbe non andare da nessuna parte perché potrebbe girare (ehi, non sono un avvocato, ma è plausibile) che non sarebbe riconosciuto come "cattiva condotta" dallo studio. Se fossi il governo federale, farei tutto il possibile per proteggere le persone che fanno le mie azioni sporche.

D'altra parte, se hai un fondo fiduciario e vuoi catapultarti a 15 minuti di fama, tu può renderlo pubblico. Basta avere un percorso alternativo tracciato in "Alternative Computing" o il movimento del software libero. Non ci sono jet privati ​​su quella rotta.

Quello che consiglio è ottenere una discreta quantità di dettagli su di esso, trovare un nuovo impiego, quindi contattare in modo anonimo un profilo di sicurezza e dire che vuoi renderlo pubblico / denunciare attraverso di loro. La prima persona che contatti probabilmente obbedirà. L'azienda potrebbe tentare di inseguirti, ma NON DOVREBBE avere prove definitive da alcun registro o mandato di perquisizione e non è "ufficiale" nel senso che i nuovi datori di lavoro sarebbero costretti a riconoscerlo.

Non ci sono prove che la CIA / FBI avesse qualcosa a che fare con l'aggiunta di questa funzione.
#13
+7
user1301428
2012-05-17 22:08:43 UTC
view on stackexchange narkive permalink

Va ​​bene preoccuparsi, non preoccuparti, la tua reazione è normale ^^

Farei una di queste due cose:

  • Aggiornerei il accordo utente che spieghi che questa possibilità esiste, quindi chiedendo il consenso dell'utente (se i responsabili non vogliono davvero togliere la backdoor)
  • Rimuoverei completamente la backdoor (opzione migliore secondo me )

Inoltre, se è vero che questa backdoor non viene mai utilizzata, perché lasciarla lì?

Dubito fortemente che il richiedente sia in grado di fare entrambe le cose senza rischiare problemi. L'UA è qualcosa che un avvocato dovrebbe creare e nessun semplice sviluppatore di software è autorizzato a toccarlo. La seconda opzione, la rimozione della backdoor, può causare problemi se questa funzionalità è stata effettivamente intenzionale. Sono lontano dal dire che è moralmente accettabile lasciarlo, ma semplicemente rimuovere le funzionalità senza consenso dall'alto è un modo semplice per mettersi nei guai.
@mafutrct certo, stavo insinuando che l'utente doveva chiedere ai suoi superiori prima di fare una qualsiasi di queste cose: l'approvazione dai livelli superiori è obbligatoria. Grazie per averlo sottolineato però.
#14
+6
dhillonv10
2012-05-19 04:45:22 UTC
view on stackexchange narkive permalink

OP: Sai cosa è successo nel caso di ZTE? Vai su pastebin, crea un avviso di sicurezza completo e completo . Inutile dire che copri le tue tracce. Questo è che, se non eri sicuro al punto da aver posto la domanda qui, puoi avvantaggiarci tutti dando la consulenza.

#15
+4
George
2012-05-29 17:41:40 UTC
view on stackexchange narkive permalink

Come accennato altrove, ciò che mi spaventerebbe sarebbe l'utilizzo della funzionalità di intercettazione anche senza alcuna cattiva intenzione dei suoi sviluppatori / installatori originali. Viene subito in mente il cosiddetto "affare Atene" che sottolinea questa preoccupazione. Per una lettura tecnicamente informativa e allo stesso tempo entusiasmante puoi controllare:

The Athens Affair : come alcuni hacker estremamente intelligenti hanno tirato fuori la più audace interruzione della rete cellulare -in mai

#16
+3
GregT
2012-05-19 07:21:44 UTC
view on stackexchange narkive permalink

Probabilmente è lì per consentire alle agenzie governative di accedere al tuo cellulare e ascoltare quello che stai facendo in quel momento. È richiesto dalla legge.

Vedi:

Risposta affascinante. Tuttavia, non penso che "è richiesto dalla legge". è una dichiarazione accurata della normativa vigente. Suggerisco di modificare la tua risposta per rimuovere quella frase.
Quale legge? Sappiamo di quale paese stiamo parlando? Cina?
Questa risposta sembra una sciocchezza totale. L'utente non cita qual è la legge.
Stiamo parlando degli Stati Uniti con questa roba di microfoni per telefoni cellulari attivati ​​da remoto. Vorrei postare la legge ma non ho idea di dove sia. Se qualcuno ha più competenze legislative, non esitare a dare una mano.
#17
+3
Phillipe
2012-05-19 08:46:13 UTC
view on stackexchange narkive permalink

Questo è stato segnalato all'inizio di questa settimana in ZTE Ships Smartphone cinese con backdoor per MetroPCS , ma finalmente alcuni lo stanno vedendo. Sembrava non essere stato notato da molti ...

Interessante, ma non so perché affermi che è la stessa backdoor di quella menzionata nella domanda. Quello ZTE a cui ti colleghi è solo un programma setuid-root, non qualcosa che può essere attivato da remoto (non senza qualcosa in più sul telefono).
#18
  0
Dark Star1
2012-05-18 20:05:47 UTC
view on stackexchange narkive permalink

Bene, quello che dovresti davvero cercare sono i motivi per cui hanno messo una backdoor. Come ha detto il più alto elettore, solo perché non lo userai non significa che non verrà trovato. Se fossi in me, scoprirei qual è il motivo dietro a detta backdoor, avvisando in modo anonimo un'importante pubblicazione tecnologica su detta backdoor. Poi di nuovo questo dipende dal fatto che tu senta una responsabilità nei confronti del pubblico in generale o se ritieni che spetti all'azienda ripulire le proprie azioni e lasciare che qualcun altro li tenga per rendere conto dei loro misfatti.

#19
  0
Cellular Engineer
2012-05-20 00:36:03 UTC
view on stackexchange narkive permalink

Ovviamente la porta sul retro non è apparsa lì senza una seria accortezza. Le agenzie di sicurezza nazionale sono coinvolte e hanno pagato per farlo, si spera senza che nessuno se ne accorga. Ingegneri cellulari progettati nella capacità di accendere un microfono cellulare senza che il proprietario lo sappia (mantenendo le spie spente). Mi aspetto che le posizioni GPS possano essere trasmesse anche quando un proprietario ha la funzione GPS disattivata e che le foto possano essere scattate e trasmesse senza che anche il proprietario lo sappia.

Non ci sono prove che alcune "agenzie di sicurezza nazionale" abbiano qualcosa a che fare con la funzione aggiunta.
#20
  0
Major Major
2012-05-18 03:54:30 UTC
view on stackexchange narkive permalink

Dipende davvero dalla natura della porta sul retro. È peggio di Carrier IQ?

So che il gestore di telefonia mobile può intercettare tutte le mie trasmissioni di voce e dati e consegnarle al governo. In effetti, anche la NSA può intercettare tutto. Mi aspetto anche che il gestore e il produttore del telefono possano, se gli viene fornito l'accesso fisico al telefono, leggere completamente tutti i dati su di esso senza la mia approvazione. Quindi, se la porta sul retro è limitata a questo tipo di cose e personalmente non puoi usare la porta sul retro per entrare nel telefono di qualcun altro a causa di qualche altro vincolo di sicurezza, allora non mi piegherei troppo al riguardo. Segnala le tue preoccupazioni al tuo supervisore in un'e-mail e salvane una copia su carta a casa.

Ora, se è il tipo di backdoor che un hacker può utilizzare per rubare le password salvate sullo smartphone senza essere rilevato, è il momento di diventare un informatore completo se non riesci a convincerli a bloccarlo. L'accesso al telefono di un cliente dovrebbe richiedere un'autorizzazione di sicurezza specifica all'interno dell'azienda combinata con la registrazione completa in modo che le persone che abusano dei loro privilegi di sicurezza possano essere identificate e che tali privilegi vengano revocati (per lo meno).

Se è da qualche parte nel mezzo, beh, forse fallo trapelare a un ricercatore di sicurezza ...

In nessuna circostanza una backdoor scoperta dovrebbe non essere segnalata. Le backdoor del governo violano ancora il mio diritto alla privacy IMO. Inoltre, se la backdoor è destinata all'uso statale con i controlli adeguati, renderla pubblicamente nota non dovrebbe ostacolarne l'uso.
@Chris, non tutte le backdoor sono create uguali e c'è un serio rischio di "pianto al lupo". È anche importante valutare le conseguenze personali della violazione della riservatezza del proprio datore di lavoro rispetto al livello di aspettative violate che la "porta di servizio" rappresenta. Un operatore in grado di inviare un aggiornamento software al tuo telefono cellulare è quasi un dato di fatto, anche se potrebbe essere considerato una porta sul retro.
buon punto sulla parte della riservatezza.
#21
-1
Subs
2012-05-18 07:54:23 UTC
view on stackexchange narkive permalink

SE hai firmato un "accordo di non divulgazione" sul tipo di lavoro e sui prodotti con cui hai a che fare con la tua azienda, non dovresti nemmeno porre questa domanda o pubblicarla qui. In caso contrario, puoi pubblicare il nome della tua azienda e il software installato nei telefoni per avvisare tutti.

La divulgazione della vulnerabilità ti porterà in tribunale se verrà scoperto indipendentemente dal fatto che l'NDA sia stato firmato o meno.
Non negli Stati Uniti e questa non è una vulnerabilità. È l'azione intenzionale di sapere che esiste una backdoor e non rivelarla ai clienti.
#22
-1
Alex
2012-05-18 03:54:47 UTC
view on stackexchange narkive permalink

Hmm, pubblicandolo qui dopo averli avvisati, direi che dovresti pensare di diventare effettivamente pubblico perché in qualche modo lo hai già fatto.

Le backdoor sono piuttosto comuni nelle tecnologie emergenti poiché di solito richiede la legislazione un po 'di tempo per recuperare. Inoltre, le comunità di sviluppo non sono completamente convergenti. Ad esempio, Internet era notoriamente pericoloso fino a quando gli ISP non dovettero creare un accesso diretto agli enti governativi tramite legislazione, licenze e scambi. Solo allora la sicurezza è diventata importante poiché le persone "giuste" si erano assicurate tutto l'accesso di cui avevano bisogno.

Se fosse il mio posto di lavoro, STFU... Ma potrebbe essere un un po 'tardi per quello.

Diventare pubblico con vulnerabilità di sicurezza ti porterà in tribunale se verrà scoperto


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...