Cisco Uzlaşma Whistleblower Vinified Görüyor

Ekim 2008’de Cisco Systems video gözetim yazılımında bulduğu kritik güvenlik kusurları hakkında bilgi uçuran bir davada iz bırakan bir ödeme kazanan bir bilgisayar güvenlik uzmanı, keşiflerinin kariyerini artıracak bir kilometre taşı olacağını düşündü.

James Glenn, Cisco’nun kendisini internet sitesinde kredilendireceğini hayal ediyordu. Nihayetinde, yazılım ABD’nin başlıca havaalanları ve hassas misyonları olan çok sayıda federal ajansta kullanılıyordu.

Glenn Perşembe günü bir telefon görüşmesinde “Bu oldukça iyi bir başarıydı.” Dedi.

Bunun yerine, maliyet azaltma ihtiyaçlarını belirten ve onu çalıştıran Danimarka’daki Cisco satıcısı tarafından kovuldu. Cisco, Video Gözetim Yöneticisi sistemindeki kusurları beş yıl boyunca sessiz tuttu.

Ancak Çarşamba günü, 8.6 milyon dolarlık bir anlaşmanın açıklandığı ve 2011 yılında federal Yanlış Alacaklar Yasası uyarınca açtığı dava Glenn’in çektiği, Cisco’nun uzun süren sessizliğinin yol açtığı potansiyel tehlikenin yanı sıra ortaya çıkardığı bir çare idi.

Yasa, bilgi uçuranların, federal sözleşmelerde [hatalı ürünler satmak için] esasen – dolandırıcılık ve suistimal yaptıklarını bildirmelerini ve iddiaların başarılı olması durumunda finansal ödülleri toplamasını sağlar. Glenn’in avukatları, FCA kapsamında başarılı bir şekilde açılan ilk siber güvenlik davası olduğunu söyledi.

Siber güvenlik uzmanı Veracode’dan Chris Wysopal, güvenlik açıklarının kusurlu ürün kategorisine girdiğini açıkça ortaya koyarak durumun yeni bir çığır açacağını söyledi.

“Bu, eğer tedarikçiler ayaklarını sürüklerse, kendi bildikleri riskleri bildirmeden ve kusurlarını düzeltmeden ürünlerini hükümetlere satmaya devam ederse, güvenlik araştırmacıları için yeni bir hata ödülüne izin veriyor” dedi.

Dava, 42 yaşındaki Glenn’in istismar ettiği saldırganın, video beslemelerini yöneten yazılıma tam bir erişim izni verdiğini ve tek bir yerden izlenmelerini sağladığını belirtti. Ayrıca hassas bağlı sistemlere yetkisiz erişime izin verebilir.

Bu, davetsiz misafirlerin düzenli olarak kamera sistemlerine bağlı olan kilitler ve yangın alarmları gibi fiziksel güvenlik sistemlerinin kontrolünü almış veya atlamış olabileceği anlamına geliyordu.

“Yetkili olmayan bir kullanıcı, tüm güvenlik kameralarını kontrol altına alarak ve kapatarak tüm havaalanını etkili bir şekilde kapatabilir” diyor. Etkilenen havaalanları Los Angeles Uluslararası ve Chicago’nun Midway’i içeriyor.

Glenn Constantine Cannon firması ile temsilci avukatlık yapan Michael Ronickher, “Tüm sisteme girebilirdiniz. Ve bunu iz bırakmadan da yapabiliyordunuz. Ve istediğiniz zaman sisteme arka kapıya tam olarak erişebiliyorsunuz” dedi.

Yazılım ayrıca Savunma Bakanlığı Biyometri Görev Gücü Genel Merkezi, ABD Gizli Servisi, İç Güvenlik Bakanlığı, Ordu, Deniz Kuvvetleri, Deniz Piyadeleri, Ulusal Havacılık ve Uzay İdaresi ve Federal Acil Durum Yönetimi Ajansı tarafından da kullanıldı. Dava, polis karakolları, cezaevleri, okullar ve Amtrak’ın istasyonlarında olduğu gibi.

“Ben kendimi haklı hissediyorum, ancak kutlama anlamında değil,” dedi.

“Ben diğer tarafın ceza seviyesi açısından bence o kadar da önemli değil” diye ekledi.

Cisco, Çarşamba günü yaptığı açıklamada, anlaşmazlığı “çözmekten memnuniyet duyduğunu” ve “müşterinin videosuna yetkisiz erişimin gerçekleştiğine dair herhangi bir kanıt olmadığını veya ürün mimarisinin bir sonucu olduğunu” söyledi. Ancak video yayınlarının “teorik olarak saldırıya maruz kalmış” olabileceğini de ekledi.

Glenn’in avukatı Ronickher, davanın, Yeni Zelanda’nın en büyüğü olan Auckland havaalanını da içerdiğini söylediği Cisco yazılımını satın alan tüm uluslararası bölgelere hitap etmediğini belirtti.

Glenn kusurları keşfettiğinde derhal Cisco’yu uyardı, ancak ABD’deki teknoloji devi, yazılımda “çoklu güvenlik açıkları” hakkında bir güvenlik uyarısı yayınladığı 2013 yılına kadar bunları kabul etmedi.

Bu uyarı federal yetkililerin soruşturmaya başlamasından iki yıl sonra geldi.

Avukat, satıcı NetDesign’ın Mart 2009’da Glenn’i kovduğunu söyledi.

İki yıl sonra, Glenn’in kız kardeşi FBI’yı bilgilendirdikten sonra ve Cisco’nun yazılım sistemini satın alan ABD federal, eyalet ve yerel yönetimleri dolandırdığını iddia ederek dava açıldı.

22 Temmuz’da, davacılar New York’un Batı Bölgesi’ne açılan bir davada Cisco’ya yerleştiler.

Glenn’in avukatları ve Cisco, davacıların alacağı 8,6 milyon dolarlık yerleşim tutarını açıkladı.

Aslen Virginia kökenli bir Denizcinin oğlu Glenn, şimdi Bulgaristan’da yaşıyor ve ismini vermeyi reddettiği 2011’den beri aynı şirkette çalışıyor.

Evli ve bir çocuk babası olduğunu söyledi.