Pytanie:
Odkryłem, że firma, dla której pracuję, umieszcza backdoora w telefonach komórkowych
anonymousquery
2012-05-17 21:11:07 UTC
view on stackexchange narkive permalink

Niedawno dowiedziałem się, że oprogramowanie do zdalnego asystenta, które umieściliśmy w sprzedawanym przez nas smartfonie, może być przez nas aktywowane bez zgody użytkownika.

Nie korzystamy z tej opcji i prawdopodobnie jest ona dostępna przez błąd. Ale ludzie, którzy są odpowiedzialni za ten system, nie postrzegają tego jako wielkiej sprawy. Ponieważ „Nie zamierzamy tego użyć”…

Czy nie mam racji, jeśli chodzi o balistyczne podejście?

Co byś zrobił, gdyby to było twoje miejsce pracy?

To pytanie było Pytanie tygodnia dotyczące bezpieczeństwa IT .
Przeczytaj 16 czerwca 2012 r. wpis na blogu aby uzyskać więcej informacji lub prześlij własne pytanie tygodnia.

Czy istnieje przypadek użycia oprogramowania w sytuacjach, w których prawowity użytkownik może nie mieć kontroli nad urządzeniem? Powiedzmy, czy jest dostępna funkcja „wyczyść pamięć urządzenia” lub „twarda blokada urządzenia”? Nie wyobrażam sobie kogoś, kto _kradnie_ urządzenie, będzie chciał zaakceptować zdalne akcje, które czynią je bezwartościowym.
Którzy operatorzy używają Twojego telefonu, więc w razie potrzeby mogę zmienić operatora?
Czy Twoja firma opracowała oprogramowanie, czy też udzielasz na nie licencji od kogoś innego?
Zrzuty ekranu albo to się nie stało! ;)
jedno słowo ** wikileaks **
Największy dostawca usług internetowych w Niemczech otrzymał w ciągu ostatniego miesiąca dużo [złych relacji prasowych] (http://www.heise.de/netze/meldung/WLAN-Hintertuer-in-Telekom-Routern-1558346.html), ponieważ backdoor wykryto konto w ich routerach użytkownika końcowego.
Czy masz na myśli [Carrier IQ] (http://www.zdnet.com/blog/btl/which-phones-networks-run-carrier-iq-mobile-tracking-software/64500)? A może jest to coś nowszego i być może jeszcze nie powszechnie znanego?
Nazywam bzdury „nie zamierzamy tego wykorzystać”. Nie umieszczasz tego rodzaju backdoora, chyba że absolutnie planujesz go użyć lub dać komuś innemu do użycia. Dmuchnij w gwizdek.
To brzmi jak „Do No Evil” Google
@Shadur Z mojego (ograniczonego) doświadczenia wynika, że ​​w dużych firmach takie rzeczy mogą mieć miejsce wyłącznie z powodu braku organizacji. Nie czyni go mniej niebezpiecznym, ale niekoniecznie z powodu złych zamiarów.
@anonymousquery, Jakie są konsekwencje aktywacji zdalnego asystenta? Np. Czy będzie wykrywalny przez użytkownika, czy pozwoli na sterowanie systemem lub odczyt prywatnych danych?
„Co stałoby się z naszą reputacją, gdyby upubliczniono, że we wszystkich tych telefonach mamy backdoora?” To pytanie wymusi poprawkę ...
Ostatnio ZTE ma pecha z podobnym problemem http://www.theverge.com/2012/5/18/3028207/zte-score-backdoor-vulnerability-confirmed-skate są też inne niedawne przykłady, w których domyślne konto i hasło ( których nie można wyłączyć ani zmodyfikować) na sprzęt fizyczny, wywołało wiele pytań o to, jak chronić takie urządzenia (np. elementy infrastruktury).
@AntonStrogonoff Dobrze powiedziane. „Nigdy nie przypisuj złości tego, co można odpowiednio wytłumaczyć głupotą”.
@FrankFarmer Jestem prawie pewien, że powiedzenie zostało wymyślone przez złośliwych ludzi, aby ułatwić im udawanie głupków, gdy zostaną złapani
Mam nadzieję, że ten post i nadchodzące wiadomości ZTE w tak bliskiej odległości oznaczają, że trafiłeś na swoją stronę, wdzięczny człowieku :)
Jest jakaś szansa, że ​​uda nam się zdobyć markę / model telefonu? Chciałbym się upewnić, że to nie jest telefon, którego używam. Czy działa na systemie Android?
Potrzebuję bomby atomowej. Nie zamierzam tego używać. Po prostu tego potrzebuję.
@schwiz Raczej nie. W przypadku wewnętrznego polowania na czarownice, nadawanie nazwisk tutaj znacznie przyczyniłoby się do deanonimizacji anonimowych zapytań.
..... nie traktuj tego jako wielkiej sprawy. Ponieważ „nie będziemy tego używać” - wydaje się, że nie obchodzi ich tam klient. Mogą zostać pozwani, gdy klient się o tym dowie.
Mogą z tego nie korzystać, a jeśli mają orzeczenie sądowe, zrobią to jakieś trzyliterowe organizacje
Skontaktuj się z [Electronic Frontier Foundation] (https://eff.org), w razie potrzeby anonimowo. Poproś ich o pomoc w znalezieniu prawnika, który pomoże Ci ustalić, czy - a jeśli tak, to w jaki sposób - możesz dokonać odpowiedzialnego ujawnienia informacji.
Może pracujesz dla Samsunga? Http: //redmine.replicant.us/projects/replicant/wiki/SamsungGalaxyBackdoor
Zastanawiam się, co ostatecznie stało się z tą sytuacją.Chociaż, patrząc na profil, OP nigdy więcej się tutaj nie zalogował po zadaniu pytania, więc wątpię, czy zobaczy mój komentarz :(
22 odpowiedzi:
Oleksi
2012-05-17 22:28:11 UTC
view on stackexchange narkive permalink

Tylko dlatego, że go nie użyją, nie oznacza, że ​​ktoś inny go nie znajdzie i nie użyje.

Backdoor to wbudowana luka w zabezpieczeniach, z której może korzystać każdy. Powinieneś wyjaśnić, że zrobienie czegoś takiego jest bardzo ryzykowne dla Twojej firmy. Co się stanie, gdy jakiś złośliwy napastnik znajdzie ten backdoor i użyje go? Będzie to kosztować Twoją firmę dużo czasu i pieniędzy na naprawę. A co powie Twoja firma, gdy ludzie będą pytać, dlaczego oprogramowanie zawierało ten backdoor? Reputacja firmy może zostać zniszczona na zawsze.

Ryzyko z pewnością nie jest warte umieszczania go w kodzie.

+1 Wszystkie rzeczy powinny być udokumentowane i udostępnione użytkownikowi. Żadne backdoory nie powinny być dozwolone. [MSFT posunął się nawet do zakazania nieszkodliwych pisanek ze wszystkich programów] (http://blogs.msdn.com/b/larryosterman/archive/2005/10/21/483608.aspx), ponieważ sugeruje, że kod zawiera ukryte funkcje i funkcjonalność. Twoja firma powinna podążać tropem godnych zaufania komputerów lub ryzykować wpadnięcie w króliczą nory, z której mogą nie odzyskać (zły PR, utrata sprzedaży itp.)
+1 „Ale nie będziemy go używać” to * najgorsza * wymówka dla backdoora. Jeśli nie zamierzasz go używać, to po co? Ktoś inny to prawie na pewno. Przynajmniej jeśli z jakiegoś powodu planujesz go używać, ma powód do istnienia i możesz rozważyć związane z nim ryzyko.
Nierealistyczne jest zakładanie, że wszyscy w dużej firmie myślą w ten sam sposób, więc jedna osoba mówiąca „Ale nie zamierzamy jej używać” nie znaczy wiele, chyba że jest poparta wyraźną polityką i konsekwencjami dla tych, którzy jej używają . Jest to mało prawdopodobne, jeśli siły, które są szczęśliwe, w ogóle istnieją.
@makerofthings7 Aby było jasne na wyciągu MSFT. Nie powstrzymali tego celowo, ponieważ ci zdecydowali. Prawo nakazało im to powstrzymać. „aby dostarczyć oprogramowanie określonym agencjom rządowym, Microsoft nie może zawierać nieudokumentowanych funkcji, w tym pisanek”.
@SpoiledTechie.com Dzięki za poprawkę. Przekażę trochę uznania dla rządu ... za naleganie na robienie właściwych rzeczy dobrze
Oprogramowanie jest jak umowa. Jeśli widzisz klauzulę w umowie, która może cię NAPRAWDĘ oszukać, nie podpisujesz umowy, dopóki jej nie wyjdą. Mówienie „ale nigdy nie użyjemy klauzuli” jest po prostu głupie. Wystarczy jeden zdenerwowany pracownik, który o tym wie, aby wyrządzić Twojej firmie ogromne szkody.
Łatwo jest pisać backdoory, których nikt inny nie może używać.
Łącze „Pytanie tygodnia dotyczące bezpieczeństwa IT” jest uszkodzone
Mason Wheeler
2012-05-17 23:31:30 UTC
view on stackexchange narkive permalink

Jeśli poinformowałeś decydentów i zdecydowali się nic w tej sprawie nie robić, to z definicji Twoja firma świadomie dostarcza produkt z poważną luką w zabezpieczeniach. (I zakładam, że ukrywa to przed swoimi klientami). To bardzo poważna sprawa. Co najgorszego może zrobić złośliwa osoba z dostępem do tego backdoora? Gdyby było wystarczająco źle, poszedłbym w tej sprawie do FBI. (Lub kogokolwiek, kto ma jurysdykcję nad bezpieczeństwem komputerów, jeśli nie jesteś w USA).

Jeśli Twoja firma wie o problemie i nie dba o to, ujawnienie go jest jedynym etycznym sposobem postępowania. A jeśli spróbują podjąć działania odwetowe przeciwko tobie, możesz mieć dostępne środki prawne, w zależności od okoliczności i przepisów, w których mieszkasz. (Porozmawiaj o tym z prawnikiem, jeśli uważasz, że może to dotyczyć Twojej sprawy).

+1 Bo zgadzam się z pomysłem, ale myślę, że prawdopodobnie stracisz pracę, a resztę życia będziesz musiał spędzić na zbieraniu jabłek, bo nikt inny Cię nie zatrudni ... To nie jest łatwa decyzja robić.
@Mason Czy możesz odnieść się do przepisów prawnych, które są oferowane w celu ochrony sygnalistów w tego typu scenariuszach?
@Rob: To interesujące. Kiedy przyjrzałem się temu dokładniej, wygląda na to, że przepisy dotyczące ochrony sygnalistów mają zastosowanie tylko do pracowników rządowych. Zmienię odpowiedź.
Istnieje cała [witryna rządu Stanów Zjednoczonych] (http://www.whistleblowers.gov/) poświęcona sygnalistom, w tym osobom zgłaszającym naruszenia „naruszeń… przepisów dotyczących produktów konsumenckich… i papierów wartościowych”. Prawdopodobnie będzie coś podobnego w większości bogatych krajów.
Nie jest dla mnie oczywiste, że (1) ujawnienie tego jest jedynym etycznym sposobem działania; (2) FBI ma jurysdykcję lub interes; oraz (3) istnieją jakiekolwiek środki prawne dla sygnalistów. Jaka jest różnica między nieudokumentowanym elementem a słabo udokumentowanym elementem?
Witryna rządu brytyjskiego dotycząca [brytyjskiej ustawy o informatorach o nieprawidłowościach] (https://www.gov.uk/whistleblowing/overview).
Avio
2012-05-18 04:16:04 UTC
view on stackexchange narkive permalink

Proszę wybaczyć mój cynizm, ale nie jest to pierwszy i nie ostatni backdoor, jaki widzimy w naszych legalnych, mało zarabiających aplikacjach i urządzeniach. Aby odświeżyć naszą pamięć, możemy zacząć od najnowszego, nowego Big Brother Kindle firmy Amazon [1] [2].

Ale mamy całą gamę oprogramowania i usług objętych wsteczną administracją, takich jak PGP Disk Encryption [3] [4], ProFTPD [5] czy Hushmail [6], żeby wymienić tylko kilka.

I nie zapominaj o systemach operacyjnych: M $ jest zawsze na czele ze swoim NSA_KEY [7] [8], ale także OpenBSD [9] i jądro Linuksa [10] nie mogą być uważane za w 100% bezpieczne. Zapłaciliśmy również za próby uzyskania dostępu do Skype'a przez tylne drzwi, przeprowadzone przez NSA [11], który jednak został oceniony jako „bezpieczny architektonicznie” [12].

Przechodząc do oprogramowania układowego, w dzisiejszych czasach jesteśmy prawie zaaklimatyzowani, mając ludzi od naszego dostawcy usług internetowych, którzy mogą obserwować wnętrze naszych routerów (tak, może nawet zobaczyć nasze ukochane hasło WPA), ale te [13] [14] [15] z pewnością można również uznać za backdoory!

Na koniec kilka uwag na temat sprzętu i BIOS-ów [16] i (to jest zabawne i nieco dramatyczne) umowy EULA [17] [18], ponieważ również prawnicy mają swoje tylne drzwi.

Ok, biorąc pod uwagę tę preambułę, spróbuję krótko odpowiedzieć na pytanie. Nie, nie masz racji, że się wściekasz, ale powinieneś skupić swój gniew na właściwej motywacji. Powinieneś być zły, ponieważ straciłeś zaufanie do firmy, dla której pracujesz, a nie z powodu samego backdoora (zostaw ten gniew klientom).

A gdybym był tobą, ja ' Po prostu będę bardzo ostrożny. Po pierwsze, naprawdę upewnię się, że to, co zobaczyłem, było tylnym wejściem, mam na myśli prawnie mówiąc. Po drugie, spróbuję w jakikolwiek sposób przekonać firmę do usunięcia backdoora.

Prawdopodobnie podpisałeś umowę NDA [19] ze swoją firmą, więc Twoje pytanie może już naruszać zasady. Nie wiem jednak, gdzie kończy się umowa o zachowaniu poufności, a zaczyna prawo stanowe (może to być nawet oszustwo klienta) i prawdopodobnie ze względu na techniczny aspekt sprawy mógłby ci w tej sprawie pomóc tylko wysoce wyspecjalizowany prawnik. Tak więc, jeśli chcesz kontynuować, zanim zrobisz cokolwiek innego, nawet rozmawiając z władzami, powinieneś zatrudnić bardzo wykwalifikowanego prawnika i być przygotowanym na utratę dużo czasu i pieniędzy, a nawet pracy.

Sprawa PGP nie wydaje mi się tylnym wejściem.
Artykuł Skype wydaje się nie na miejscu. Został napisany w 2009 roku i nawet artykuł sprawia, że ​​brzmi to tak, jakby Skype odrzucał oferty stworzenia backdoora.
Nie mówiłem, że Skype _ ma_ furtkę, ale wskazywałem, że NSA, agencja rządowa, zaoferowała pieniądze (dużo pieniędzy) na wykonanie pracy. Czy proszenie o coś takiego jest legalne? Co się stanie, jeśli zaoferujesz komuś zapłatę za włamanie się na czyjąś linię telefoniczną i złapanie? Chodzi tylko o to, aby powiedzieć, że im większa firma, tym mniejsze prawdopodobieństwo, że zapłacą za swoje nielegalne działania.
Nie wspominając już o oprogramowaniu, które oferuje automatyczne aktualizacje ...
Myślę, że ogromna liczba linków wprowadza w błąd. Czytając to na początku, odniosłem wrażenie, że wskazałeś wszystkie te przypadki backdoorów. Następnie wróciłem do przeczytania linków i znalazłem kilka przypadków prawdziwych backdoorów, z których większość nie była tajemnicami, zhakowany serwer, na którym przez krótki czas przechowywana jest złośliwa wersja oprogramowania, a potem mieszanka rzeczy, które wszystkie * nie * były backdoorami: nieudane próby wejścia na backdoory, fałszywie zidentyfikowane nie-backdoory, bezpodstawne pogłoski o backdoorach i teoretyczne dyskusje na temat potencjalnych backdoorów.
Link do jądra Linuksa z 2003 roku nie jest niczym potępiającym
@Jeremy Salwen - Zwróciłem tylko uwagę, że backdoory i „niepożądane funkcjonalności”, których użytkownicy nigdy nie żądali, a nawet działają przeciwko nim, zawsze istniały i będą istnieć przez długi czas. Mogę się też założyć, że to, co znalazłem podczas moich półgodzinnych poszukiwań, to tylko wierzchołek góry lodowej. To kontrowersyjny temat i dla własnego bezpieczeństwa zacząłem traktować plotki jako półprawdy przy wyborze własnego sprzętu i oprogramowania. Jeśli uważasz, że jesteś całkowicie bezpieczny, to dobrze.
Ha - Uwielbiam łącze OCULUS ... „PC Pitstop - 1000 $ za darmo” jest zdecydowanie warte przeczytania.
+1: Wydaje się, że pytanie wykorzystuje nadmierne linkowanie, aby poprawić jego zasadność. Co wygląda trochę źle. Jednak dwa punkty naprawdę się wyróżniają: * Powinieneś być zły, ponieważ straciłeś zaufanie do firmy, dla której pracujesz, a nie z powodu samego backdoora (zostaw ten gniew klientom): Nie mogłeś powiedzieć nie lepiej. * Nie wiem, gdzie kończy się NDA, a zaczyna prawo stanowe [...]: Zawsze miło jest pamiętać, że żadna podpisana umowa nie może naruszać prawa krajowego / stanowego, w którym została podpisana. IANAL, ale już słyszałem to od jednego.
MartianInvader
2012-05-18 01:54:01 UTC
view on stackexchange narkive permalink

Jeśli nie postrzegają tego jako poważną sprawę, nie zadajesz im właściwego pytania. Pytanie o motywowanie do działania nie brzmi „czy to prawda?” ale "co się z nami stanie, gdy ktoś to znajdzie i opublikuje?" Niezależnie od tego, czy jesteś dużą, czy małą firmą, patrzysz na poważne szkody dla swojej reputacji i wszystkie złe rzeczy, które się z tym wiążą, jeśli ktoś spoza firmy odkryje to, zanim to naprawisz.

Naprawianie ta kwestia jest nie tylko etyczna, jest niezbędna dla przetrwania Twojej firmy. O wiele lepiej jest teraz po cichu to naprawić niż tydzień po tym, jak wszyscy użytkownicy i klienci Cię opuścili, ponieważ ujawnił to jakiś dziennikarz internetowy.

W pełni się zgadzam. Mogą nie rozumieć argumentów moralnych / etycznych, ale jeśli zmusisz ich do podążania tropem pieniędzy, przyciągniesz ich uwagę.
+1. A jeśli odmówią, zajmij się swoimi sprawami. Jestem na tyle dorosły, żeby wiedzieć, że moralność nic nie znaczy. Oni są twoimi przyjaciółmi. Płacą ci. Jesteś odpowiedzialny przed nimi, a nie przed społeczeństwem, chyba że twój tyłek może się usmażyć.
@JimThio: może zostać pozwany i może zostać postawiony przed sądem, jeśli zostanie użyty backdoor, nawet jeśli (może szczególnie?) Jeśli to nie jego firma to robi. A moralność istnieje bez względu na wiek - po prostu nie gwarantuje szczęśliwego zakończenia.
Byłbym bardzo ostrożny, gdybym przedstawiał „co się z nami dzieje, gdy ktoś to znajdzie i opublikuje?” problem, aby nie brzmiał jak bezpośrednie zagrożenie. Decydenci, którzy stoją za tym wszystkim, są oczywiście wystarczająco aroganccy (jeśli potrafią odrzucić takie kwestie), a osiągnięcie przekonania, że ​​jakakolwiek spór z nimi jest bezpośrednim zagrożeniem, może być tylko cieniem wątpliwości.
Bruce Ediger
2012-05-18 01:41:11 UTC
view on stackexchange narkive permalink

Powinieneś poważnie rozważyć pójście z tym do jakiegoś organu rządowego lub regulacyjnego, aby się zabezpieczyć.

Wyobraź sobie taki scenariusz:

  1. Informujesz kierownictwo o backdoorie. Teraz wiedzą, że wiesz.
  2. Zły hacker ZmEu dowiaduje się o backdorze i umieszcza coś na pastebinie.
  3. Twoje kierownictwo dowiaduje się o pastebinie złego hakera ZmEu.
  4. Twoje kierownictwo obwinia cię i wyrzuca z powodu twoich zapewnień o niewinności.

Większość luk w zabezpieczeniach jest odkrywana wielokrotnie. Nie będziesz jedynym, który go znajdzie, po prostu będziesz najbardziej oczywistym, z którego zrobisz kozła ofiarnego.

Może być jeszcze gorzej, może zostać pozwany za backdoora jako jedna z osób zaangażowanych w proces (wiedział o tym, ale nadal był zaangażowany)
@lechlukasz Tak, powinien przynajmniej rzucić jak najszybciej. Później mógł być głównym świadkiem FBI, niezależnie od tego, co to do cholery jest.
Myślę, że jest bardzo mało prawdopodobne, by na tej podstawie został pozwany i uznany za winnego. W przypadku osób, które twierdzą inaczej, wzywam Cię do określenia podstawy działania (np. Ustawa lub czyn niedozwolony) i uzasadnienia swojej opinii. W tej chwili te twierdzenia brzmią jak „prawnik internetowy” (niedoinformowane domysły i spekulacje osób, które nie są prawnikami).
Drogi D.W .: Czy kiedykolwiek zostałeś o coś oskarżony przez kierownictwo? To nie jest proces prawny, nie masz reprezentacji i zwykle nie ma odwołań. Mówimy tutaj o kozłach ofiarnych, a nie o Sprawiedliwości. Również sądy, a nie „prawnicy”, orzekają o niewinności, winie i zasadności podstawy działania. Próbujesz tylko podeprzeć autorytet prawników.
Jeśli ZmEu po prostu „nakłada coś na pastebin”, z pewnością nie jest to najgorsze, jakie może być haker.
A co jeśli Twoja firma nie chce podzielić się z Tobą prawdziwym powodem powstania tego backdoora? Przez chwilę przychodzi mi do głowy: „rząd”. Jeśli rząd za tym stoi, udanie się do jakiegoś organu rządowego może nie rozwiązać problemu (wszystko zależy od kraju, w którym się znajdujesz).
dannysauer
2012-05-18 04:50:27 UTC
view on stackexchange narkive permalink

W porządku, ludzie nadal będą kupować iPhone'y produkowane przez Twoją firmę - Twój sekret jest bezpieczny. ;)

Gdyby to było moje miejsce pracy, w którym jestem zatrudniony jako analityk ds. bezpieczeństwa, zaakceptowałbym, że moja praca polega na identyfikowaniu i komunikowaniu ryzyka; akceptacja ryzyka zależy od firmy. Nie mogę osobiście zaakceptować ryzyka, więc jedyną realną opcją jest upewnienie się, że poziom ryzyka został przedstawiony na odpowiednim forum najlepiej, jak potrafię. Tak więc, jeśli jesteś zatrudniony na poziomie, na którym możesz zaakceptować ryzyko, decyzja, czy to jest w porządku, zależy od Ciebie. Jednak na podstawie postu nie jesteś na poziomie, na którym możesz zaakceptować ryzyko w imieniu firmy. Więc prawdopodobnie wszystko, co możesz zrobić, to zakomunikować ryzyko w sposób zrozumiały dla obszaru biznesowego, a następnie pozwolić temu obszarowi podjąć odpowiednią decyzję biznesową, wykorzystując wszystkie dostępne mu informacje.

mieć kontrolę to zaakceptowanie ryzyka związanego z pracą dla firmy, która podejmuje decyzje, które Twoim zdaniem są złe. Dostępne sposoby ograniczenia tego ryzyka są udokumentowane na stronie Monster.com i znajomych. :)

+1 „dostępne sposoby ograniczenia tego ryzyka”
Christian
2012-05-18 03:28:15 UTC
view on stackexchange narkive permalink

Przed obszarem smartfonów standardową funkcją wszystkich telefonów komórkowych było posiadanie tylnych drzwi. Protokół GSM umożliwił stacji bazowej aktualizację oprogramowania telefonu. http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html to dobra rozmowa o tym, jak szalone system bezpieczeństwa był.

O ile wiem, żadna z firm zaangażowanych w tworzenie GSM nie wpadła w żadne kłopoty prawne związane z tą sprawą. Agencjom rządowym takim jak NSA podobał się fakt, że mają backdoory. W tej chwili w rządzie są ludzie, którzy chcą upoważnić backdoory dla każdej platformy komunikacyjnej.

Myślę, że istnieje duża szansa, że ​​backdoor istnieje, ponieważ jakiś inny podmiot, taki jak NSA, chce, aby tam był. Jeśli ludzie na wyższych stanowiskach w Twojej firmie zawarli umowę z NSA, prawdopodobnie nie powiedzą Ci, kiedy przyjdziesz, aby narzekać na backdoora.

Z tego, co wiesz, może to być Mossad, który płaci Twojej firmie. aby zachować backdoora w oprogramowaniu.

Czysty backdoor w nowoczesnym smartfonie jest prawdopodobnie wart 6 cyfr lub więcej na czarnym rynku. Pracownik mógł go sprzedać lub mógł otrzymać specjalne wynagrodzenie za umieszczenie go tam.

Z drugiej strony, jeśli backdoor naprawdę istnieje, ponieważ osoby z wyższych stanowisk w Twojej firmie są ignorantami, niż możesz im to wyjaśnić, jest to poważny problem.

Matthew Elvey
2012-05-19 22:14:57 UTC
view on stackexchange narkive permalink

Masz obowiązek zawodowy i etyczny, aby się tym zająć, IMO. Wkroczyłeś na pole minowe. Chroń się. Proszę uważać. Idź powoli. Pomyśl kompleksowo o obronie. Udało mi się pozyskać demaskatora, który był w stanie zachować anonimowość. Nagabywanie obejmowało porady dotyczące zachowania anonimowości; Spójrz.

Sprawdź, czy nie powtórzysz gwizdka czegoś już znanego - na przykład sprawy Carrier IQ. Wysłanie pisemnego powiadomienia do prawnika korporacyjnego może znacznie przyczynić się do rozwiązania problemu - np. za pośrednictwem anonimowego konta e-mail, dzięki czemu możesz mieć dwukierunkową komunikację. Ponadto: spójrz na archiwa nieżyjącej już Wikileaks: strona zgłoszeń, do której odwoływałem się.

Whistleblower.org ma dla Ciebie dobre informacje, mimo że jest to rządowe .

Dodatek : Czy przejrzałeś dzienniki kontroli wersji kodu źródłowego, aby zobaczyć, kto umieścił backdoora?

Sam dodatek to +1
anonymous_bidder
2012-05-18 09:10:11 UTC
view on stackexchange narkive permalink

Potraktuj to jako odkrytą lukę w zabezpieczeniach i zgłoś ją na przykład do CVE. Anonimowo, jeśli chcesz.

ecmanaut
2012-05-20 01:41:42 UTC
view on stackexchange narkive permalink

Twoja reakcja jest rozsądna, a na poziomie instynktu intuicyjnego oznacza, że ​​zależy Ci na co najmniej jednym z następujących elementów: prywatność klientów, publiczny wizerunek firmy, jakość kodu, Twoja własna skóra.

W w moim miejscu pracy, byłbym na tyle starszy, by wiedzieć, że jest to błąd w zabezpieczeniach (a nie z intencji firmy lub mandatu rządu) - i usunąć go. Wygląda na to, że to nie ma zastosowania w twoim przypadku.

Jeśli możesz prześledzić „nie będziemy go używać” do „, umieścimy to tam na własny użytek, ale nie potrzebujemy to "prawdopodobnie możesz opisać komuś wystarczająco wysoko w organizacji zagrożenia, jakie stwarza dla firmy, gdy pojawia się w bugtraq / zostaje wykorzystany do nikczemnych celów przez jakąś osobę trzecią, co może się zdarzyć, jeśli twój smartfon jest popularny, powszechny i wystarczająco wartościowy (jako cel - co może oznaczać „używany przez dostatecznie ważne osoby”), aby zaatakować.

Jeśli możesz prześledzić to jako „jest tam na podstawie mandatu rządu” lub w podobny sposób, możesz nalegać na wewnętrznej dokumentacji w tym celu, abyś przynajmniej mógł ją zostawić i wiedzieć, że zrobiłeś wszystko, co w Twojej mocy, aby chronić swoją firmę i uratować innych swoich wykwalifikowanych współpracowników przed dylematem, w którym się znajdujesz, praktyki utrzymania kodu. (I zastanów się, jakie masz możliwości pracy w branży, tworząc narzędzia, które służą i poświęcają ich właścicielom, jeśli jest to głęboko demotywujące).

anildash
2012-05-18 08:04:45 UTC
view on stackexchange narkive permalink

Masz znaną lukę w zabezpieczeniach, a Twoja firma jest tylko jedną z nieskończonej liczby stron, które mogą ją wykorzystać. Jakiekolwiek wykorzystanie tej dziury przez jakąkolwiek stronę może w uzasadniony sposób skutkować obciążeniem w skali Sony po fiasku zestawu głównego. Ich koszt zarówno w dolarach, jak i reputacja poszybowały w górę do setek milionów dolarów w bezpośrednio analogicznej sytuacji.

Przedstawić argumentację, rysując bezpośrednie podobieństwa do Sony, biorąc pod uwagę liczbę użytkowników w stosunku do Sony jako miernika aby obliczyć potencjalną odpowiedzialność w przypadku wykorzystania tej dziury.

user1301428
2012-05-17 22:08:43 UTC
view on stackexchange narkive permalink

Możesz się tym martwić, nie martw się, Twoja reakcja jest normalna ^^

Zrobiłbym jedną z dwóch rzeczy:

  • Zaktualizowałbym umowa użytkownika wyjaśniająca, że ​​taka możliwość istnieje, dlatego proszę o zgodę użytkownika (jeśli osoby odpowiedzialne za naprawdę nie chcą usuwać backdoora)
  • całkowicie usunąłbym backdoora (lepsza opcja moim zdaniem )

Ponadto, jeśli prawdą jest, że ten backdoor nigdy nie jest używany, po co go tam zostawiać?

Mocno wątpię, czy pytający jest w stanie zrobić jedno z nich bez ryzyka kłopotów. UA to coś, co powinien stworzyć prawnik i żaden programista nie może go dotykać. Druga opcja, usunięcie backdoora, może spowodować problemy, jeśli ta funkcja była rzeczywiście zamierzona. Daleko mi do stwierdzenia, że ​​pozostawienie go jest moralnie dopuszczalne, ale po prostu usunięcie funkcji bez zgody z góry jest łatwym sposobem na wpadnięcie w kłopoty.
@mafutrct oczywiście, sugerowałem, że użytkownik musiał zapytać swoich przełożonych przed zrobieniem którejkolwiek z tych rzeczy: zgoda z wyższych poziomów jest obowiązkowa. Dziękuję za wskazanie tego.
Jens Pettersen
2012-05-19 19:54:58 UTC
view on stackexchange narkive permalink

Poważnie odradzałbym natychmiastowe informowanie o nieprawidłowościach. Nie tylko dlatego, że jest duża szansa, że ​​tak się stanie, ponieważ ktoś z CIA / FBI odbył małą rozmowę z szefem firmy, który nakazał to za pośrednictwem zaufanych kanałów zarządzania, i dlatego tak się dzieje, mimo że wszyscy powinni uznać, że to gówno pretekst.

Słusznie uznajesz to za gównianą wymówkę. Problem w tym, że inni też powinni. Gdzieś z mocą musiał zdecydować, że tak się stanie. Konstrukcja, że ​​jest „OK, ponieważ nie będziemy go używać”, jest następnie utrwalana.

Oznacza to, że jeśli zgłosisz gwizdek (i zostaniesz zwolniony) i wytoczysz pozew, nie tylko a) może ci być bardzo trudno znaleźć inną pracę, b) Twój pozew może nigdzie nie trafić, ponieważ może się zmienić (hej, nie jestem prawnikiem, ale jest to prawdopodobne), że nie zostanie to uznane przez firmę za „niewłaściwe postępowanie”. Gdybym był rządem federalnym, dołożyłbym wszelkich starań, aby chronić ludzi dokonujących moich brudnych czynów.

Z drugiej strony, jeśli masz fundusz powierniczy i chcesz katapultować się do 15-minutowej sławy, mogą o tym mówić. Po prostu wytycz alternatywną ścieżkę w „Alternatywnym przetwarzaniu” lub Ruchu Wolnego Oprogramowania. Nie ma prywatnego odrzutowca na tej trasie.

Radzę uzyskać przyzwoitą ilość szczegółów na ten temat, znaleźć nowe zatrudnienie, a następnie anonimowo skontaktować się z profilem bezpieczeństwa i powiedzieć, że chcesz ujawnić to publicznie / ujawnić za ich pośrednictwem. Pierwsza osoba, z którą się skontaktujesz, prawdopodobnie się zgodzi. Firma może próbować cię ścigać, ale NIE POWINNA mieć żadnego konkretnego dowodu w żadnych dziennikach ani nakazach przeszukania i nie jest to „oficjalne” w tym sensie, że nowi pracodawcy byliby zmuszeni to uznać.

Nie ma dowodów na to, że CIA / FBI miało cokolwiek wspólnego z dodaniem tej funkcji.
dhillonv10
2012-05-19 04:45:22 UTC
view on stackexchange narkive permalink

OP: Wiesz, co się stało w przypadku ZTE? Przejdź do pastebin, przygotuj pełne i kompleksowe porady dotyczące bezpieczeństwa. Nie trzeba dodawać, że zatrzeć ślady. To znaczy, jeśli nie byłeś pewien, że zadałeś tutaj pytanie, możesz skorzystać z porady dla nas wszystkich.

George
2012-05-29 17:41:40 UTC
view on stackexchange narkive permalink

Jak wspomniano w innym miejscu, tym, co mogłoby mnie przerazić, byłoby użycie funkcji przechwytywania, nawet bez złego zamiaru jego oryginalnych programistów / instalatorów. Od razu przychodzi na myśl tak zwana „sprawa ateńska”, która podkreśla tę troskę. Aby uzyskać technicznie pouczającą i jednocześnie ekscytującą lekturę, możesz sprawdzić:

Afera ateńska : jak niektórzy niezwykle sprytni hakerzy dokonali najbardziej zuchwałej przerwy w sieci komórkowej -nigdy

GregT
2012-05-19 07:21:44 UTC
view on stackexchange narkive permalink

Prawdopodobnie jest tam, aby umożliwić agencjom rządowym dostęp do twojego telefonu komórkowego i podsłuchiwanie wszystkiego, co robisz w danym momencie. Jest to wymagane przez prawo.

Zobacz:

Fascynująca odpowiedź. Jednak nie uważam, że „jest to wymagane przez prawo”. jest dokładnym stwierdzeniem obowiązującego prawa. Proponuję zredagować swoją odpowiedź i usunąć to zdanie.
Które prawo? Czy wiemy, z jakiego kraju rozmawiamy? Chiny?
Ta odpowiedź wydaje się kompletna. Użytkownik nie cytuje, jakie jest prawo.
Mówimy o USA z tymi zdalnie aktywowanymi mikrofonami do telefonów komórkowych. Zamieściłbym prawo, ale nie mam pojęcia, gdzie to jest. Jeśli ktoś ma większe kwalifikacje prawne, nie krępuj się.
Phillipe
2012-05-19 08:46:13 UTC
view on stackexchange narkive permalink

Zostało to zgłoszone na początku tego tygodnia w chińskim smartfonie ZTE Ships z Backdoor do MetroPCS , ale w końcu niektórzy to dostrzegają. Wydawało się, że wielu go nie zauważyło ...

Ciekawe, ale nie wiem, dlaczego twierdzisz, że jest to ten sam backdoor, co wspomniany w pytaniu. Ten ZTE, z którym łączysz się, to tylko program setuid-root, a nie coś, co można zdalnie aktywować (nie bez czegoś więcej w telefonie).
Major Major
2012-05-18 03:54:30 UTC
view on stackexchange narkive permalink

To naprawdę zależy od charakteru tylnych drzwi. Czy to jest gorsze niż IQ Carrier?

Wiem, że operator komórkowy może przechwycić wszystkie moje transmisje głosu i danych i przekazać je rządowi. W rzeczywistości NSA może to wszystko przechwycić. Oczekuję również, że operator i producent telefonu, mając fizyczny dostęp do telefonu, będą w stanie w całości odczytać wszystkie zawarte w nim dane bez mojej zgody. Więc jeśli tylne drzwi są ograniczone do tego typu rzeczy i osobiście nie możesz użyć tylnych drzwi, aby dostać się do czyjegoś telefonu z powodu innych ograniczeń bezpieczeństwa, nie straciłbym z tego powodu zbytniej formy. Prześlij swoje obawy przełożonemu w e-mailu i zapisz jego kopię na papierze w domu.

Teraz, jeśli jest to rodzaj tylnych drzwi, których haker może użyć do kradzieży haseł zapisanych na smartfonie bez bycia wykryty, to czas, aby przejść do pełnego informatora, jeśli nie możesz go zmusić do zablokowania tego. Dostęp do telefonu klienta powinien wymagać specjalnych uprawnień bezpieczeństwa w firmie połączonych z pełnym logowaniem, aby osoby, które nadużywały swoich uprawnień bezpieczeństwa, mogły zostać zidentyfikowane i odebrane (przynajmniej).

Jeśli jest gdzieś pomiędzy, no cóż, może przeciekać to badaczowi bezpieczeństwa…

W żadnym wypadku odkryte tylne drzwi nie powinny zostać niezgłoszone. Rządowe backdoory nadal naruszają moje prawo do prywatności IMO.Również, jeśli backdoor jest przeznaczony do użytku przez państwo z odpowiednimi kontrolami, upublicznienie go nie powinno utrudniać jego używania.Zawsze zgłaszaj tego rodzaju rzeczy ...
@Chris, nie wszystkie tylne drzwi są sobie równe i istnieje poważne ryzyko „płaczącego wilka”. Ważne jest również, aby rozważyć osobiste konsekwencje naruszenia poufności pracodawcy z poziomem naruszonych oczekiwań, które reprezentują „tylne drzwi”. Operator, który może przesłać aktualizację oprogramowania do telefonu komórkowego, jest prawie czymś oczywistym, mimo że można to uznać za tylne drzwi.
dobra uwaga w kwestii poufności.
Dark Star1
2012-05-18 20:05:47 UTC
view on stackexchange narkive permalink

Cóż, to, czego naprawdę powinieneś szukać, to ich motywy wprowadzenia backdoora. Jak powiedział najwyższy wyborca, tylko dlatego, że go nie użyjesz, nie oznacza, że ​​nie zostanie znaleziony. Gdybym to był ja, dowiedziałbym się, jaki jest motyw tego backdoora, anonimowo ostrzegając dużą publikację techniczną o tym backdoorie. Z drugiej strony zależy to od tego, czy czujesz się odpowiedzialny wobec ogółu społeczeństwa, czy też uważasz, że do firmy należy oczyszczenie własnego czynu i pozwolenie komuś innemu pociągnąć go do odpowiedzialności za swoje występki.

Cellular Engineer
2012-05-20 00:36:03 UTC
view on stackexchange narkive permalink

Oczywiście tylne drzwi nie pojawiły się tam bez poważnego przemyślenia. Narodowe agencje bezpieczeństwa są w to zaangażowane i zapłaciły za to, miejmy nadzieję, że nikt tego nie zauważy. Inżynierowie komórkowi zaprojektowali możliwość włączania mikrofonu komórkowego bez wiedzy właściciela (wyłączając lampki kontrolne). Spodziewam się, że lokalizacje GPS mogą być nadawane nawet wtedy, gdy właściciel ma wyłączoną funkcję GPS, a zdjęcia mogą być robione i transmitowane bez wiedzy właściciela.

Nie ma dowodów na to, że jakiekolwiek „narodowe agencje bezpieczeństwa” miały coś wspólnego z dodawaną funkcją.
Alex
2012-05-18 03:54:47 UTC
view on stackexchange narkive permalink

Hmm, zamieszczając to tutaj po ostrzeżeniu ich, powiedziałbym, że powinieneś pomyśleć o tym, aby faktycznie wejść na giełdę, ponieważ w pewnym sensie już to zrobiłeś.

Backdoory są dość powszechne w nowych technologiach, ponieważ zwykle wymagają przepisów chwilę, żeby nadrobić zaległości. Ponadto społeczności deweloperskie nie są w pełni zjednoczone. Na przykład Internet był notorycznie niebezpieczny, dopóki dostawcy usług internetowych nie musieli zapewnić bezpośredniego dostępu do organów rządowych za pośrednictwem przepisów, licencji i giełd. Dopiero wtedy bezpieczeństwo stało się ważne, ponieważ „właściwi” ludzie zapewnili sobie dostęp do wszystkich potrzebnych im osób.

Gdyby to było moje miejsce pracy, STFU... Ale może to być trochę za późno.

Podanie do publicznej wiadomości informacji o luce w zabezpieczeniach doprowadzi Cię do sądu, jeśli zostanie to odkryte
Subs
2012-05-18 07:54:23 UTC
view on stackexchange narkive permalink

JEŚLI podpisałeś „umowę o zachowaniu poufności” dotyczącą rodzaju pracy i produktów, z którymi masz do czynienia w swojej firmie, nie powinieneś nawet zadawać tego pytania ani publikować go tutaj. Jeśli nie, możesz opublikować nazwę swojej firmy i oprogramowanie zainstalowane w telefonach, aby ostrzec wszystkich.

Ujawnienie podatności spowoduje skierowanie Cię do sądu, jeśli zostanie to wykryte, niezależnie od tego, czy NDA została podpisana, czy nie.
Nie w USA i nie jest to luka. Jest to celowe działanie polegające na wiedzy o istnieniu backdoora i nieujawnianiu go klientom.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...