Ho scoperto che la società per cui lavoro sta inserendo una backdoor nei telefoni cellulari

347

Ho scoperto di recente che il software dell'assistente personale remoto che inseriamo in uno smartphone che vendiamo può essere attivato da noi senza l'approvazione dell'utente.

Non stiamo usando questa opzione, ed è probabilmente lì per errore. Ma le persone responsabili di questo sistema non lo considerano un grosso problema. Perché "Non lo useremo" ...

Mi sbaglio se mi sto comportando male?

Che cosa faresti a riguardo se fosse il tuo posto di lavoro?

This question was IT Security Question of the Week.
Read the Jun 16, 2012 blog entry for more details or submit your own Question of the Week.

    
posta anonymousquery 17.05.2012 - 18:11
fonte

22 risposte

307

Solo perché non lo useranno, non significa che qualcun altro non lo troverà e lo userà.

Una backdoor è una vulnerabilità integrata e può essere utilizzata da chiunque. Dovresti spiegare che fare qualcosa del genere è molto rischioso per la tua azienda. Cosa succede quando qualche malintenzionato trova questa backdoor e la usa? Questo costerà alla tua azienda un sacco di tempo e denaro da risolvere. E cosa dirà la vostra azienda quando le persone chiederanno perché il software ha contenuto quella backdoor in primo luogo? La reputazione dell'azienda potrebbe essere danneggiata per sempre.

Il rischio non vale sicuramente averlo nel codice.

    
risposta data 17.05.2012 - 19:28
fonte
110

Se hai informato i responsabili delle decisioni e hanno deciso di non fare nulla al riguardo, allora per definizione la tua azienda sta spedendo consapevolmente un prodotto con una seria vulnerabilità alla sicurezza. (E, presumo, nascondendolo dai loro clienti.) Questa è una questione molto seria. Qual è la cosa peggiore che potrebbe fare una persona malintenzionata con accesso a questa backdoor? Se è abbastanza brutto, andrei dall'FBI a riguardo. (O chiunque abbia giurisdizione sulla sicurezza informatica se non sei negli Stati Uniti.)

Se la tua azienda è a conoscenza del problema e non gli interessa, esporsi è l'unica linea di condotta etica. E se tentano di intraprendere azioni di rappresaglia contro di te, potresti avere a disposizione delle risorse legali, a seconda delle circostanze e delle leggi in cui vivi. (Parla con un avvocato a riguardo, se pensi che potrebbe applicarsi nel tuo caso.)

    
risposta data 17.05.2012 - 20:31
fonte
66

Per favore, perdona il mio cinismo, ma questo non è il primo e non sarà l'ultima backdoor che vediamo nelle nostre app e dispositivi legittimi e meritatissimi. Solo per rinfrescare la nostra memoria, possiamo iniziare da quello più recente, il nuovo Amazon's Big Brother Kindle [1] [2] .

Ma abbiamo un'intera pletora di software e servizi backdoor, come PGP Disk Encryption [3] [4] , ProFTPD [5] o Hushmail [6] , per citarne alcuni.

E non dimenticare i sistemi operativi: M $ è sempre avanti con la sua NSA_KEY [7] [8] , ma anche OpenBSD [9] e il kernel Linux [10 ] non può essere considerato sicuro al 100%. Abbiamo anche pagato tentativi di ottenere un accesso backdoor a Skype dalla NSA [11] , che , tuttavia, è stato valutato come "architettonicamente sicuro" [12] .

Passando al firmware, al giorno d'oggi siamo quasi acclimatati nell'avere persone dal nostro ISP che sono in grado di guardare all'interno dei nostri router (sì, forse anche vedere la nostra amata password WPA), ma questi [13] [14] [15] può sicuramente essere considerato anche come backdoor!

Infine, alcune considerazioni su hardware e BIOS [16] , e (questo è sia divertente che in qualche modo drammatico) EULA [17] [18] , perché anche gli avvocati hanno le loro backdoor .

Ok, dato questo preambolo, proverò a rispondere brevemente alla domanda. No, non ti sbagli ad arrabbiarti per questa cosa, ma dovresti concentrare la tua rabbia sulla motivazione corretta. Dovresti essere arrabbiato perché hai perso un pezzo di fiducia nei confronti della compagnia per cui lavori, non per il fatto della backdoor stessa (lascia questa rabbia ai clienti).

E se fossi in te, sarò molto cauto. Per prima cosa, mi renderò davvero sicuro che quello che ho visto fosse una backdoor, intendo legalmente parlando. Secondo, cercherò in qualsiasi modo di convincere la compagnia a rimuovere la backdoor.

Probabilmente hai firmato una NDA [19] con la tua azienda, quindi la tua domanda potrebbe essere già una violazione. Tuttavia non so dove finisce la NDA e inizia la tua legge statale (potrebbe essere anche la frode dei clienti), e probabilmente, a causa della tecnicità del soggetto, solo un avvocato altamente specializzato potrebbe aiutarti a risolvere questo problema. Quindi, se vuoi procedere, prima fare qualsiasi altra cosa, anche parlando con le autorità, dovresti assumere un avvocato molto esperto ed essere pronto a perdere un sacco di tempo e denaro, o persino il lavoro.

    
risposta data 18.05.2012 - 01:16
fonte
54

Se non lo vedono come un grosso problema, non stai facendo loro la domanda giusta. La domanda per motivare l'azione su questo non è "è giusto?" ma "cosa succede a noi quando qualcuno lo trova e lo pubblica?" Che tu sia un'azienda grande o piccola, stai cercando di danneggiare seriamente la tua reputazione e tutte le cose brutte che ne derivano se qualcuno esterno all'azienda lo scopre prima di risolverlo.

La risoluzione di questo problema non è solo etica, è essenziale per la sopravvivenza della tua azienda. È molto meglio risolverlo in silenzio ora di una settimana dopo che tutti i tuoi utenti e clienti ti hanno lasciato perché è stato rivelato da qualche giornalista online.

    
risposta data 17.05.2012 - 22:54
fonte
34

Dovresti seriamente prendere in considerazione l'idea di rivolgersi ad autorità governative o regolatorie con questo, solo per proteggerti.

Immagina questo scenario:

  1. Informi la direzione della backdoor. Ora sanno che lo sai.
  2. Evil Hacker ZmEu scopre la backdoor e mette qualcosa su pastebin.
  3. La tua gestione scopre il pastebin di Evil Hacker ZmEu.
  4. La tua gestione ti incolpa e ti licenzia per causa, per le tue proteste di innocenza.

La maggior parte delle vulnerabilità di sicurezza viene rilevata più volte. Non sarai l'unico a trovarlo, sarai il più ovvio da cui diventare un capro espiatorio.

    
risposta data 17.05.2012 - 22:41
fonte
27

Va bene, le persone compreranno ancora gli iPhone prodotti dalla tua azienda - il tuo segreto è al sicuro. ;)

Se fosse il mio posto di lavoro, dove sono impiegato come analista della sicurezza, accetterei che il mio compito sia identificare e comunicare i rischi; è compito dell'azienda accettare il rischio. Non posso accettare il rischio personalmente, quindi la mia unica vera opzione è quella di garantire che abbia comunicato il livello di rischio nel forum corretto al meglio delle mie possibilità. Quindi, se sei impiegato a un livello in cui puoi accettare il rischio, allora spetta a te decidere se questo è OK. In base al post, tuttavia, non sei a un livello in cui puoi accettare il rischio per conto dell'azienda. Quindi tutto quello che puoi fare è comunicare il rischio in modo che l'area di business possa capire, e quindi lasciare che l'area di business prenda una decisione aziendale appropriata utilizzando tutte le informazioni a loro disposizione.

La cosa che fai ha il controllo è accettare il rischio per te stesso posto lavorando per un'azienda che prende decisioni che ritieni siano cattive. I tuoi mezzi disponibili per mitigare tale rischio sono documentati su Monster.com e gli amici. :)

    
risposta data 18.05.2012 - 01:50
fonte
23

Prima dell'area dello smartphone era una caratteristica standard di tutti i telefoni cellulari avere backdoor. Il protocollo GSM ha permesso alla stazione base di aggiornare il software del telefono. link è un buon esempio di quanto pazzo sia stato lo schema di sicurezza.

Per quanto ne so, nessuna delle società coinvolte nella creazione del GSM ha avuto problemi legali riguardo alla questione. Le agenzie governative come la NSA amavano il fatto che avessero backdoor. Al momento ci sono persone all'interno del governo che vogliono mandare backdoor per ogni piattaforma di comunicazione.

Penso ci siano buone probabilità che la backdoor esista perché qualche altra entità come la NSA vuole che sia lì. Se le persone più in alto nella tua compagnia hanno fatto un accordo con la NSA, probabilmente non ti diranno quando verrai a lamentarti della backdoor.

Per quanto ne sai, potrebbe essere il Mossad che sta pagando la tua azienda per mantenere la backdoor nel software.

Una chiara backdoor in uno smartphone moderno vale probabilmente 6 cifre o più sul mercato nero. Un dipendente potrebbe venderlo o potrebbe essere stato specificamente pagato per metterlo lì.

D'altra parte, se la backdoor esiste davvero solo perché i più alti nella tua azienda sono ignoranti di quanto potresti essere in grado di spiegare loro, si tratta di un problema serio.

    
risposta data 18.05.2012 - 00:28
fonte
14

Hai una responsabilità professionale e una responsabilità etica per assicurarti che venga affrontato, IMO. E sei entrato in un campo minato. Proteggiti. Guarda i tuoi passi. Vai piano. Pensa alla difesa in profondità. Ho sollecitato con successo un informatore, che è stato in grado di mantenere l'anonimato. La sollecitazione includeva consigli sul mantenimento dell'anonimato; guarda.

Verifica di non ripetere il fischio su qualcosa di già noto, ad esempio il materiale di IQ Carrier. L'invio di una notifica scritta a un consulente aziendale potrebbe contribuire a risolvere il problema, ad es. tramite un account di posta elettronica anonimo in modo da poter avere una comunicazione a 2 vie. Anche: Guarda archivi del Wikileaks ormai morto: Pagina di invio a cui ho fatto riferimento .

Whistleblower.org ha buone informazioni per te, anche se è incentrato sul governo.

Addendum : hai esaminato i log di controllo della versione del codice sorgente per vedere chi ha inserito la backdoor?

    
risposta data 19.05.2012 - 19:14
fonte
13

Consideralo come una vulnerabilità di sicurezza che hai scoperto e segnalato a, ad esempio, CVE . Anonimo se lo desideri.

    
risposta data 18.05.2012 - 06:10
fonte
13

La tua reazione è solida e, a livello dell'istinto intestinale, ti interessa una o più delle seguenti: la privacy dei tuoi clienti, l'immagine pubblica della tua azienda, la qualità della tua base di codice, la tua pelle.

Nel mio posto di lavoro, sarei abbastanza esperto da sapere che un errore di sicurezza (e non lì per intento della società, o mandato del governo) - e rimuoverlo. Sembra che questo non si applica nel tuo caso, però.

Se riesci a rintracciare "non lo useremo" in "lo mettiamo lì per il nostro uso, ma non ne abbiamo bisogno" probabilmente puoi descrivere a qualcuno abbastanza in alto nell'organizzazione i pericoli che esso pone la compagnia quando si presenta su bugtraq / viene usata per scopi nefandi da parte di terzi, cosa che probabilmente accadrà se il tuo smartphone è popolare, comune e abbastanza valido (come target - che può tradursi in "usato da persone abbastanza importanti") ) per attaccare.

Se riesci a rintracciare "è lì per mandato del governo" o simili, potresti voler insistere sulla documentazione interna in tal senso, così puoi almeno lasciarlo stare e sapere che hai fatto il possibile per proteggere la tua azienda e salvare altri tuoi colleghi qualificati dal dilemma in cui ti trovi, come una questione di buone pratiche di manutenzione del codice. (E rifletti sulle tue possibilità di lavorare in un settore che produce strumenti che servono sia a sacrificare i proprietari, sia se questo si rivela profondamente demotivazionale.)

    
risposta data 19.05.2012 - 22:41
fonte
9

Hai una vulnerabilità di sicurezza nota e la tua azienda è solo una delle infinite parti in grado di sfruttarla. Qualsiasi exploit di quel buco, da qualsiasi parte, potrebbe ragionevolmente portare a una responsabilità della scala di Sony dopo il fiasco del root kit. Il loro costo in dollari e reputazione è salito alle centinaia di milioni di dollari, in una situazione direttamente analoga.

Fai il caso disegnando paralleli diretti a Sony, con la base di utenti in rapporto a quella di Sony per calcolare la potenziale responsabilità quando questo buco viene sfruttato.

    
risposta data 18.05.2012 - 05:04
fonte
7

Va bene preoccuparsene, non ti preoccupare, la tua reazione è normale ^^

Vorrei fare una delle due cose:

  • Vorrei aggiornare il contratto con l'utente spiegando che esiste questa possibilità, quindi chiedendo il consenso dell'utente (se i responsabili non vogliono davvero portar via la backdoor)
  • rimuoverei completamente la backdoor (opzione migliore a mio parere)

Inoltre, se è vero che questa backdoor non viene mai utilizzata, perché lasciarla lì?

    
risposta data 17.05.2012 - 19:08
fonte
7

Vorrei seriamente consigliare contro l'immediata denuncia. Non ultimo perché ci sono buone probabilità che ciò accada perché qualcuno della CIA / FBI ha avuto una piccola chiacchierata con il capo dell'azienda che ha ordinato che succedesse attraverso canali di gestione fidati, ed è per questo che succede anche se tutti dovrebbero riconoscere che è una merda scusa.

Tu giustamente lo riconosci come una scusa merdosa. Il problema è che anche le altre persone dovrebbero avere. Da qualche parte qualcuno con il potere deve aver deciso che questo sarebbe accaduto. Il costrutto che è "OK perché non lo useremo" viene quindi perpetuato.

Ciò significa che se tu denunci (e ricevi licenziamento) e lanci una causa, non solo a) potresti trovare molto difficile ottenere un altro lavoro, b) la tua causa potrebbe non andare da nessuna parte perché potrebbe risultare (hey, Non sono un avvocato, ma è plausibile) che non sarebbe riconosciuto come "cattiva condotta" da parte dell'azienda. Se fossi il governo federale, andrei a lunghe lunghe distanze per proteggere le persone che compiono le mie azioni sporche.

D'altra parte, se hai un fondo fiduciario e vuoi catapultarti a 15 minuti di fama, puoi renderlo pubblico. Basta avere un percorso alternativo tracciato in "Alternative Computing" o nel movimento del software libero. Non c'è un jet privato lungo questa rotta.

Quello che consiglio è ottenere una discreta quantità di dettagli su di esso, trovare nuovi posti di lavoro, quindi contattare in modo anonimo un profilo di sicurezza e dire che vuoi renderlo pubblico / denunciarlo attraverso di loro. La prima persona che contatti sarà probabilmente conforme. La società potrebbe provare a seguirti ma NON DEVE avere alcuna prova definitiva da alcun registro o mandato di perquisizione e non è "ufficiale" nel senso che i nuovi datori di lavoro sarebbero obbligati a riconoscerlo.

    
risposta data 19.05.2012 - 16:54
fonte
6

OP: Sai cosa è successo nel caso di ZTE? Vai su pastebin, crea un completo e esaustivo advisory sulla sicurezza. Inutile dire che copri le tue tracce. Ecco, se non sei sicuro che hai fatto la domanda qui, puoi avvantaggiarci facendo tutto con l'advisory.

    
risposta data 19.05.2012 - 01:45
fonte
4

Come accennato altrove, ciò che mi spaventerebbe sarebbe l'utilizzo della funzionalità di intercettazione anche senza alcuna cattiva intenzione dei suoi sviluppatori / installatori originali. Il cosiddetto "affare di Atene" viene subito in mente e sottolinea questa preoccupazione. Per una lettura tecnica e allo stesso tempo eccitante puoi controllare:

The Athens Affair : come alcuni hacker estremamente intelligenti hanno tirato fuori il più audace intrusione nella rete cellulare di sempre

    
risposta data 29.05.2012 - 14:41
fonte
3

Questo è stato segnalato all'inizio di questa settimana in China ZTE Ships Smartphone con Backdoor to MetroPCS , ma alla fine alcuni lo vedono. Sembrava non essere stato notato da molti ...

    
risposta data 19.05.2012 - 05:46
fonte
3

Probabilmente è lì per consentire alle agenzie governative di accedere al tuo telefono cellulare e ascoltare quello che stai facendo in quel momento. È richiesto dalla legge.

See:

risposta data 19.05.2012 - 04:21
fonte
0

Bene, quello che dovresti davvero cercare sono le loro motivazioni per entrare in una backdoor. Come ha detto l'elettore più alto, solo perché non lo userai non significa che non sarà trovato. Se fossi in me, scoprirò qual è il movente dietro la backdoor, allertare in modo anonimo una importante pubblicazione tecnologica su detta backdoor. Poi di nuovo questo dipende dal fatto che tu senta una responsabilità nei confronti del pubblico generale o se pensi che spetti all'azienda pulire il proprio atto e lasciare che qualcun altro lo ritenga per spiegare i loro misfatti.

    
risposta data 18.05.2012 - 17:05
fonte
0

Naturalmente la porta sul retro non è apparsa lì senza una seria premura. Le agenzie di sicurezza nazionali sono coinvolte e hanno pagato per averlo fatto, si spera che nessuno se ne accorga. Ingegneri cellulari progettati in grado di accendere un microfono cellulare senza che il proprietario lo sappia (mantenendo spie luminose spente). Mi aspetto che le posizioni GPS possano essere trasmesse anche quando un proprietario ha la funzione GPS disattivata e le immagini possono essere riprese e trasmesse senza che il proprietario lo sappia.

    
risposta data 19.05.2012 - 21:36
fonte
0

Dipende davvero dalla natura della porta sul retro. È peggio di Carrier IQ ?

So che il corriere del telefono cellulare può intercettare tutte le mie trasmissioni di dati e voce e consegnarle al governo. In effetti, la NSA può anche intercettare tutto. Prevedo inoltre che la produzione di telefoni e telefoni possa, se fornita accesso fisico al telefono, leggere completamente tutti i dati su di essa senza la mia approvazione. Quindi se la porta sul retro è limitata a questo genere di cose e non puoi usare la porta posteriore per entrare nel telefono di qualcun altro a causa di qualche altro vincolo di sicurezza, allora non sarei troppo curvo. Porta le tue preoccupazioni al tuo supervisore in una email e salvane una copia su carta a casa.

Ora, se è il tipo di porta sul retro che un hacker può usare per rubare le password salvate sullo smart phone senza essere rilevato, è tempo di andare a parlare in pieno se non riesci a farle chiudere a chiave. L'accesso al telefono di un cliente dovrebbe richiedere un'autorizzazione di sicurezza specifica all'interno dell'azienda combinata con la registrazione completa in modo che le persone che abusano dei loro privilegi di sicurezza possano essere identificate e revocare tali privilegi (per lo meno).

Se è in qualche modo nel mezzo, beh, magari mandalo a un ricercatore di sicurezza ....

    
risposta data 18.05.2012 - 00:54
fonte
-1

SE hai firmato un "non-disclosure agreement" sul tipo di lavoro e sui prodotti con cui hai a che fare con la tua azienda, non dovresti nemmeno fare questa domanda o pubblicarla qui. In caso contrario, puoi pubblicare il nome della tua azienda e il software installato nei telefoni per avvisare tutti.

    
risposta data 18.05.2012 - 04:54
fonte
-1

Hmm, pubblicandolo qui dopo averli avvisati direi che dovresti pensare di diventare pubblico perché lo hai già fatto.

Le backdoor sono piuttosto comuni nelle tecnologie emergenti in quanto di solito richiede un po 'di legislazione per recuperare il ritardo. Inoltre, le comunità di sviluppo non sono completamente convergenti. Ad esempio, Internet è stato notoriamente pericoloso fino a quando ISP ha dovuto creare un accesso diretto agli enti governativi tramite legislazione, licenze e scambi. Solo in quel caso la sicurezza divenne importante poiché le persone "giuste" si erano assicurate tutto l'accesso di cui avevano bisogno.

Se fosse il mio posto di lavoro avrei STFU ... Ma potrebbe essere un po 'tardi per quello.

    
risposta data 18.05.2012 - 00:54
fonte

Leggi altre domande sui tag