Un esperto di sicurezza informatica che ha vinto un premio pionieristico in una causa per informatori su falle di sicurezza critiche che ha scoperto nell'ottobre 2008 nel software di videosorveglianza Cisco Systems Inc. pensava che la sua scoperta sarebbe stata una pietra miliare per la carriera.

James Glenn immaginò all'epoca che Cisco lo avrebbe accreditato sul suo sito web. Il software era, Dopotutto, utilizzato nei principali aeroporti internazionali degli Stati Uniti e in più agenzie federali con missioni sensibili

"Voglio dire, questo è stato un risultato abbastanza decente, "Glenn ha detto giovedì in un'intervista telefonica.

Anziché, è stato licenziato dal rivenditore Cisco in Danimarca che lo impiegava, che citava esigenze di riduzione dei costi. E Cisco ha tenuto nascosti i difetti del suo sistema Video Surveillance Manager per cinque anni.

solo mercoledì, quando è stato annunciato un accordo di $ 8,6 milioni e la causa che ha presentato nel 2011 ai sensi del False Claims Act federale non è stata sigillata, è stato rivelato il calvario di Glenn, insieme al potenziale pericolo rappresentato dal lungo silenzio di Cisco.

La legge consente agli informatori di segnalare frodi e cattiva condotta negli appalti federali, per la vendita di prodotti difettosi, essenzialmente e raccogliere ricompense finanziarie quando i reclami hanno successo. Gli avvocati di Glenn hanno affermato che il suo è il primo caso di sicurezza informatica discusso con successo sotto la FCA.

L'esperto di sicurezza informatica Chris Wysopal di Veracode ha affermato che il caso apre nuove strade chiarendo che le vulnerabilità della sicurezza ora rientrano nella categoria dei prodotti difettosi.

"Ciò consente un nuovo tipo di ricompensa per i bug per i ricercatori di sicurezza se i fornitori trascinano i piedi, continuare a vendere i loro prodotti ai governi senza informare del rischio che conoscono e senza correggere i loro difetti, " Egli ha detto.

L'exploit Glenn, 42, scoperto avrebbe fornito a un utente malintenzionato l'accesso amministrativo completo al software che gestiva i feed video, consentendo loro di essere monitorati da un'unica posizione, dice la causa. Potrebbe anche consentire l'accesso non autorizzato a sistemi connessi sensibili.

Ciò significava che un intruso avrebbe potuto prendere il controllo o aggirare i sistemi di sicurezza fisica come serrature e allarmi antincendio, che sono regolarmente collegati ai sistemi di telecamere.

"Un utente non autorizzato potrebbe chiudere efficacemente un intero aeroporto prendendo il controllo di tutte le telecamere di sicurezza e spegnendole, " dice la causa. Gli aeroporti interessati includevano Los Angeles International e Chicago's Midway, dice.

"Potresti penetrare nell'intero sistema. E potresti farlo senza lasciare traccia. E avere accesso completo dal backdoor al sistema ogni volta che lo desideri, " ha detto Michael Ronicker, un avvocato che rappresenta Glenn con la ditta Constantine Cannon LLP.

Il software è stato utilizzato anche dal quartier generale della task force per la biometria del Dipartimento della difesa, il servizio segreto degli Stati Uniti, il Dipartimento per la sicurezza interna, l'esercito, la Marina, il Corpo dei Marines, la National Aeronautics and Space Administration e la Federal Emergency Management Agency, così come le stazioni di polizia, prigioni, scuole e da Amtrak nelle sue stazioni, dice la causa.

"Mi sento giustificato, ma non in senso celebrativo, " ha detto Glenn, chi riceve il 20% del pagamento della liquidazione, con il resto che va al governo federale, 15 stati e il Distretto di Columbia.

"Penso che in termini di livello di punizione per l'altra parte forse non sia così significativo, " Ha aggiunto.

Cisco ha rilasciato una dichiarazione mercoledì in cui affermava di essere "contento di aver risolto" la controversia e che "non vi era alcuna accusa o prova che si fosse verificato un accesso non autorizzato al video dei clienti" a causa dell'architettura del prodotto. Ma ha aggiunto che i feed video potrebbero "teoricamente essere stati oggetto di hacking".

Ronicher, L'avvocato di Glenn, ha notato che la causa non riguarda tutte le sedi internazionali che hanno acquistato il software Cisco, che ha detto includere l'aeroporto di Auckland, Il più grande della Nuova Zelanda.

Quando Glenn ha scoperto i difetti, ha immediatamente avvisato Cisco, ma il colosso tecnologico statunitense non li ha riconosciuti fino al 2013, quando ha emesso un avviso di sicurezza su "vulnerabilità di sicurezza multiple" nel software.

Quell'avviso è arrivato due anni dopo che le autorità federali hanno iniziato a indagare.

Il rivenditore, NetDesign, ha licenziato Glenn nel marzo 2009, dicono i suoi avvocati.

Due anni dopo, dopo che la sorella di Glenn ha notificato l'FBI e la causa è stata intentata sostenendo che Cisco aveva frodato il governo federale degli Stati Uniti, governi statali e locali che hanno acquistato il sistema software.

Il 22 luglio i querelanti si sono accordati con Cisco in un caso portato nel distretto occidentale di New York.

Gli avvocati di Glenn e Cisco hanno entrambi annunciato l'importo di 8,6 milioni di dollari dovuto ai querelanti.

Glenn, figlio di un marine originario della Virginia, ora vive in Bulgaria e lavora per la stessa azienda dal 2011, che ha rifiutato di nominare.

Ha detto che è sposato, con un bambino.

© 2019 The Associated Press. Tutti i diritti riservati.