举报人:James Glenn的思科战斗在网络安全方面打开了新的前线
该末端几乎是网络安全专家转向举报人的詹姆斯格伦的反高潮。
在过去的十年中,42岁的计算机安全专家一直处于与思科和美国政府的法律战斗的中心。
2008年,格伦在全球最大的网络技术公司之一提醒思科系统,在其视频监控软件中提醒思科系统的意外举报人。
他最终与美国联邦,州和地方政府合作,为据称故意销售给美国政府的严重安全缺陷的设备带来对思科的法律诉讼。
案件的详情,根据美国虚假索赔法,于7月31日开始公开,当思科同意860万美元的解决方案来弥补购买思科设备的联邦和州政府。
格伦,现在在保加利亚工作作为视频监控技术专家,听到第二天的结果。“今天早上我醒来,我看着电话,就像,哦,它就在,”格伦在一周的电脑采访中说道。
格伦的法律战斗设定了一个新的法律先例。这是第一次在网络安全案例中使用了虚假的索赔法,预计其他情况将遵循。
如果他们销售不安全的产品,美国举报人法律代表了一种新的途径,以便销售不安全的产品,并包含可能被黑客利用的严重缺陷。
玛丽·奥曼是一个律师事务所康斯坦丁大炮的律师表示,欧洲人可以利用美国举报法对大型公司带来索赔的认识上升。
例如,7月份,微软同意支付1600万美元来解决其在匈牙利,土耳其,沙特阿拉伯和泰国的子公司提供了过度折扣,并为确保合同提供了不当的付款。
“我可能有点天真,因为我有理解,我们只是为了解决这个问题”
詹姆斯格伦
“技术是下一个增长领域,”伊曼说。“数据是新的金牌。我认为这是我们将越来越多地看到举报人的更大角色。“
当他加入租用路由器,AS400计算机和笔记本电脑到企业时,Glenn在美国磨练了他的工艺。“我可以访问我可以想象的每一块硬件,所以我利用了这一点,”他说。
2006年底,他搬到了丹麦致哥本哈根电信专家的托管安全部(TDC)的管理部门。他的部门后来成为NetDesign,丹麦网络服务提供商和思科“金伙伴”的一部分。
NetDesign运行了一个名为自己的药物的程序,以鼓励员工测试软件和设备,以获得安全错误和漏洞。
当一位同事推出Glenn从思科推出一些“酷”视频监控技术 - 其视频监控经理(VSM) - 他将其视为挑战并开始测试产品。
“只需使用Web浏览器,一些问题开始突然出现,就像为什么我看到这个,这怎么样?”他说。“它被拼凑在一起,这样它就会让我知道,你知道,神圣的废话,你可以在这里保存文件。让我看看我可以拯救什么,它只是盛开。“
格伦发现了一系列的安全弱点,他说对任何购买思科VSM设备的组织提出了一个“严重威胁”。
他们包括国防部,国防部,美国宇航局,美国陆军,美国海军,美国空军和美国航空公司,州警察部队,学校和大学,amtrak,它在铁路站中使用它,至少五个美国机场。
该系统也被欧洲的组织购买,包括Loughborough大学,它使用监控软件在其校园内监控摄像机,并由大曼彻斯特进行监控其运输网络。
根据纽约西区法院提出的指控,任何可以访问一个摄像机的人都可以利用安全漏洞来访问组织的整个网络。入侵者可以绕过连接到网络的锁定,火警和其他物理安全设备。
据称漏洞允许未经授权的用户在视频系统上获取管理权限。例如,它们可以有效地通过控制安全摄像头来关闭整个机场并将其关闭。
攻击者可以删除或更改视频录制以掩盖盗窃或间谍活动,或者访问安全设施,例如服务室,如果读卡器是 - 因为它们经常与视频监控系统相同的网络。
思科被指控从2008年10月到至少销售了包含安全漏洞的软件。2013年7月,它建议客户升级到新的软件版本,最后停止在2014年9月销售缺陷的软件。
格伦预计思科通过将他归还安全漏洞网站来承认他的工作,让他在安全社区中得到一些认可。“我可能有点天真,因为我有理解,我们只是为了解决这个问题,因为它是一个新产品,”他说。
经过几周的测试,Glenn向他的NetDesign和思科产品安全事件反应团队(PSIRT)提供了对其监事的详细报告。
他为思科事故经理写了一封据信赖的思科事故经理,他从事件响应团队收到的自动回复,听到了思科的任何内容。在2008年12月与思科员工和NetDesign的电话会议期间,格伦表示他没有认为这些问题可以很容易地解决。他告诉他的雇主,NetDesign不应继续出售产品。
“它看起来并不像它可以在那一点销售,没有某种修复,或者前面的某种附加设备来过滤请求,或其他的设备,”他说。“它需要注意。”
思科代表于2009年3月遇到了Glenn雇主。三天后,格伦收到了向署长办公室召集他的短信。他被告知,由于预算,他不再有一份工作。
格伦持怀疑态度。他宣称,他公司的财务报告显示该公司表现良好。
“我不知道有人做过什么或者说过,但是太近时间了合法的,就像任何事情一样,”他说。“我没有买它。”
与IT安全性的迷陷,Glenn玩弄欧洲的想法并谈论学习书法或沉迷于他的其他激情 - 音乐。他在爵士乐队,行进乐队和音乐群体中发挥了戏剧。
最后,他提出了申请将他的居留权延长了六个月,所以他可以寻找另一份工作。当那被拒绝时,他提出了上诉。花了几个月了,让他直到2011年1月到2011年1月。“我不被允许寻找那个国家的工作,如果我离开,我不欢迎回来,”他说。
格伦幸存下来的遣散费,因为他的前雇主犯了了文书工作,因为他的前雇主犯了一些额外的薪酬。“这不是很多钱,但它足以在丹麦死亡,”他说。
“我不被允许寻找那个国家的工作,如果我离开,我不欢迎回来”詹姆斯格伦Glenn回忆起从地下读取Dostoyevsky的票据,这是一个人的故事,被压迫和腐败毁灭,他退出了社会。故事反映了他自己的心态 - 他发现自己避免了人们,看着太多的电视。“任何人都很难成为我的朋友,”他说。
此时,格伦的妹妹,基于华盛顿特区,干预。“她担心并留着我,”他说。起初,Glenn与雇主签署了非披露协议,拒绝谈论这个问题,但最终他向姐姐们倾诉。“她说,你知道你必须做点什么,我没有不同意,”他说。
梅里的儿子格伦说,放弃它并不是他的本性。他从一个名为Macgyver的电视剧中获取灵感,该电视系列讲述了美国政府代理商的故事,他们使用智慧和普通物品,这些纸夹和口香糖,以解决问题,无论赔率如何。“我不记得这一集,这是哦,好的,它结束了,”他说。
格伦一致认为,他的妹妹可以匿名通过他的信息。她呼吁美国网络安全组织,并通过格伦的担忧,洛杉矶国际机场已经安装了缺陷的Cisco VSM。
从蓝色中,格伦接到了来自洛杉矶警察的电话,他也是联邦调查局联合恐怖主义工作队的成员。“我不期待这次电话,因为我以为我已经成功留下了匿名,”他说。“我感到伤害,背叛,生气。
“我打电话给我姐姐并问她,嘿,我不是告诉你我想匿名吗?她说,哦,是的,你做到了。“
Glenn共享截图并与FBI交换电子邮件,但他被吸引到案件中,他觉得他需要自己的法律代表。
“因为我的妹妹让我进入所有这一切,我只是打电话给她,告诉她,她不得不采取一种方法,我可以有一位可以帮助我与政府合作的律师,不要让我付钱给他们钱,“ 他说。
她让他与律师·菲利普斯&Cohen的举办专家举办律师·蒂姆蒙古·米科克,后来在康斯坦丁大炮。
格伦同意向美国联邦政府,2011年5月代表美国联邦政府和哥伦比亚地区代表思科举行诉讼,称为Qui TAM。
Qui Tam诉讼 - 来自拉丁语的“他为国王和他自己带来了行动” - 允许任何国籍的人代表美国政府在欺诈诉讼或其他不法行为的情况下代表美国政府携带诉讼。
截至2019年8月,当思科同意解决指控时,案件仍予以封存。格伦表示,他不得不守卫关于谈论与案件相关的任何事情,直到它得到解决。“我这次没有那么平近,”他说。
思科在博客中说,在结算后,它在2007年购买了另一家公司宽容时收购了VSM软件。虽然思科表示,没有证据表明客户的安全遭到违反,但承认宽敞的软件使用了一个开放式架构,这些架构意味着视频饲料可以“理论上已经受到黑客攻击”。
格伦目前正在担任保加利亚的视频监控专家,为他拒绝识别的公司。他的角色是处理使用普通分辨率频道不会解决的复杂和“政治炎热问题”。他说,这份工作已经把他带到了世界各地。
格伦在技术行业中说太多人不会在他们应该做的时候说出来,这就是这样的原因存在的原因。
“每个人都有责任磨损欢迎,”他说。“如果你不得不让某人扰乱某些人来,就会弄脏。对这些问题更加自信。
“像这样的东西发生的原因是因为没有人在说话。在这款软件的ARM范围内,有很有才华的人。“
格伦在美国联邦虚假索赔法下获得,并且可能会获得思科支付的15-20%的8.6米以上案件。
但格伦对他对待的方式并不痛苦。“我震惊了,”他说。他只有有关他的前雇主的好话。“他们在丹麦拥有最具才华的工程师,那里有很多伟大的家伙。他们是一个非常高级别的思科合作伙伴。“
但他说,如果他再次在类似的情况下,他就不会吹口哨。“我曾经32次,现在我是42岁。我不会后悔,但我不会冒险为52。我认为这是一毫无千变万的事情。“
格伦由一家小型律师事务所代表康斯坦丁大炮,专门从事美国举报人的案件。
两年前,玛丽·奥曼是康斯坦丁大炮的合作伙伴,向英国搬到了一个分支,代表美国以外的举报人。
律师事务所希望看到欧洲的举报人数量增加,使用美国法律突出与美国联邦和州政府的公司开展业务的公司的腐败和欺诈行为 - 特别是在技术公司中。
美国证券交易委员会(股票)的举报人办公室(SEC),在其向国会举行的年度报告中表示,它于2018年收到了来自美国以外72个国家的举报人的报告,其中来自加拿大和英国的最多数字。
inman说格伦的案件:“这种诉讼是国外有人意识到具有全球性方面的欺诈的人的一个很好的例子,然后可以用来追求影响美国国家,联邦政府和地方政府的资金。”
与英国有过拱形法,旨在保护举报人以公众利益的举报人保护举报人,美国法律规模在拼凑而成,零散,由部门的部门长大。
“你会惊讶于来自公司电子邮件的许多举报人的举报人”
玛丽inman,康斯坦丁大炮
在WorldCom和安顿会计丑闻之后,美国国会在2002年创建了萨班斯 - 奥克斯利法案。它为朝股东披露欺诈或违反公开交易公司违反仲裁裁裁裁度的举报人提供保护。
2000年的金融危机促使Dodd-Frank法案提出了更广泛的举报人和强制性赏金计划的更广泛的保护,允许举报人获得诉讼所得款项的10-30%。
美国在1863年介绍了虚假索赔法,以在美国内战期间对广泛的欺诈进行争吵。法律于20世纪80年代修改了政府承包商的一系列过度充电的丑闻,鼓励举报人向前展开,并加强了举报人的法律保护。
1994年毕业于宾夕法尼亚州大学法学院毕业时,inman打算成为政府检察官。当她提供机会加入一家专门代表举报人的精品律师事务所山弗利普斯和科恩办事处的机会。
2015年,她留下了七位同事加入康斯坦丁大炮,另一个小型举报人律师事务所,有计划进入伦敦。
inman预测,随着更多公司依赖于他们的业务数据分析,技术部门的举报可能会增加。她的公司在伦敦和硅谷设有办事处。“这对我们来说是一个巨大的增长领域,”她说。
在金融服务中,美国商品期货贸易委员会鼓励人们在内幕交易,贿赂和虚拟货币欺诈上吹口哨。
另一个目标是电信行业,可以面临贿赂政府官员在违反美国对外腐败实践法案中授予发展中国家合同的压力。
美国交通部正在运行计划,鼓励汽车制造商或零部件供应商中的举报人,以便提出有关能够使生活有风险的安全缺陷的信息。
“有一种涟漪效果,”伊曼说。“这些方案一直非常成功,他们在国外产生了副本猫计划,甚至在美国。”
Inman,她的同事们称为“举报人低语”,描述了她作为律师的一部分心理学家的工作。
代表举报人的律师事务所为应急费用工作,如果他们带来了成功索赔,只会支付。所以第一个问题inman问她何时遇到举报人是他们是否有强有力的法律案例。
一个更重要的问题是,一个愿意的录音机是否具有重新录制的基本网络,以生存,不可避免地是一种不断变化的体验。“我拒绝了数百名举报人,”伊曼说。
在美国法律下带来的举报案件至少需要五年来解决,往往更多,所以举报人需要在长途繁忙中进入它。
Inman的律师事务所使用安全频道,包括通过信号,加密的Protonmail帐户和安全网站加密消息,允许举报人安全地联系公司。“你会惊讶于来自公司电子邮件的许多举报者,”她说。
SEC的计划允许举报人保密他们的身份,但匿名不适用于虚假索赔法。在这种情况下,即使他们的案例最终失败,需要准备举办举报人。
如果人们对举报人有意,他们需要先问一些深刻的问题,伊曼说。“只是因为你有它,你应该把扳机拉上吗?刚才为您的专业和个人而对您的意义,刚刚获得高成本和个人收费,这对可能选择吹口哨的人施加了高昂的成本和个人收费?“
美国法律保护举报人免受报复,并允许他们为虐待雇主提供法律索赔。
然而,举报人可以发现自己被解雇,通常在最“的情况下”,伊曼说。他们可能会达成一项小额退款,同意签署繁重的未披露协议。有时他们将立即被解雇,没有遣散费,没有赔偿。
她说,在其他情况下,雇主给举办举报人“西伯利亚治疗”。高级飞行员可以发现自己被降级到卑微的工作,没有机会职业发展,以及与公司其他人的联系很少。“他们可以穿下你,”她补充道。
例如,新英格兰医学杂志的举报人研究,例如,举报人可以失去他们的家园,他们的汽车,经常努力寻找另一份工作。离婚是常见的,家庭生活遭受,他们经常有与压力有关的条件。
“每一个举报人都需要知道什么是可能发生的事情”玛丽忘记了雇主使用威胁和财务诱因的混合来说服员工不讲话,说。一个被告知:“公司会把你扔在公共汽车下,证明你是一个松散的大炮,唯一的人。”
Inman表示,她失去了她的一个客户,在吹吹口哨欺诈后,她开始遭受压力和抑郁症。他在家里发生了事故,从来没有看到5米的赔偿金。
“所以你不能拥有这样的经历,不觉得每一个举报人都需要知道什么是可能发生的事情,”她说。
inman说,如果他们年轻,并且在他们面前有他们的职业生涯,否则他们试图阻止举报人,除非他们如此确定,他们就会坚定他们会吹口哨。
她最喜欢的客户是那些在成功职业生涯后建立了巢蛋的令人困难的客户。接下来是“无意的举报人” - 像格伦这样的人,以为他们正在通过提醒雇主解决问题的人。这些人经常经历过报复,几乎没有丢失。
“如果你是一个道德黑客,你应该发现漏洞和突然间,你不能淘汰你的为什么你的雇主不再想要你,但只是人们经常来找我们,而且在那一点上,他们已经在内部吹过哨子,“她说。
对于大多数举报人来说,对前雇主提出投诉是一个职业结束的决定。很少见到他们将能够在同行业中继续工作。
一些举报人,例如马丁森林,他暴露于墨西哥毒品卡车链接的可疑交易通过我们银行Wachovia的书籍,已经成功地通过迁入合规角色将其经验转变为新的职业道路。
其他人写了成功的书籍或者有关于他们的经历的电影。
inman问将是举报人:“你要蔑视赔率,你是一个能够生存的人吗?最重要的是,看看你的个人情况 - 你是一个幼儿的一个家庭的唯一面包赢家吗?当我们播放可能发生的可怕游戏时会发生什么?“
詹姆斯格伦的举报日记
2007年5月:思科在购买宽容的视频监控软件的宽容软件时获取视频监控技术。基于互联网协议(IP)的视频监控软件。思科适应宽容的产品,以创建自己的IP视频监控产品 - 思科视频监控经理(VSM)。
2007年3月:James Glenn开始为Tele-Danmark通信(TDC)的托管安全打字。
2007年7月:Glenn's Pox是由NetDesign,丹麦网络服务提供商和思科“黄金认证合作伙伴”收购的。
2008年9月:Glenn和来自Netdesign的物理安全部门的同事测试基于互联网的思科安全摄像头,寻找问题和漏洞。他们发现它很容易受到“蛮力”密码攻击。Glenn将漏洞向思科报告,在下次更新中发出补丁并通知问题。
2008年10月:格伦在思科的VSM中发现了严重的安全缺陷。
2008年10月下旬:Glenn在Cisco VSM(包括屏幕截图)中提出了关于思科的漏洞的详细报告,以思科的产品事件响应团队(诗员)。他向他的主管和NetDesign提出了相同的证据。
2008年11月:Glenn在收到后续响应后,将个人信写入Cisco事件经理。在进行后续查询后,经理告诉格伦有“无快速修复”,并没有响应进一步的查询。
2008年12月2日:格伦参加了思科代表与NetDesign之间的电话会议,关于Cisco VSM中的缺陷。
2009年3月6日:思科代表访问NetDesign并符合格伦的主管和其他NetDesign员工。
2009年3月9日:格伦被召集到他的主管办公室并在NetDesign中驳回了他的工作。他的经理引用“经济问题”。
2009: 思科发布了一项最佳实践指南,称,用户需要特别注意建立思科软件顶部的必要安全功能。
2010年9月:格伦向美国询问他的妹妹匿名传递关于思科VMS漏洞的担忧以及系统已安装在洛杉矶国际机场的事实。在洛杉矶警察局的侦探,他也是联邦调查局联合恐怖主义网络的成员,手机Glenn,他们通过了安全缺陷的纪录片证据。
2011年5月10日:格伦的律师代表美国政府在纽约西部美国政府代表美国政府提出投诉。
2013年7月:思科建议客户升级到新版本的软件,该软件可以解决安全漏洞。
2014年9月:思科停止销售其VSM软件的旧版本,其中包含安全漏洞。
2019年8月:思科同意支付860万美元来解决意识,即明确地将包含严重安全漏洞的视频监控设备向美国政府机构提供严重的安全漏洞,包括美国国土安全部,秘密服务,军队,海军,空军,海军陆战队和海军陆战队和联邦应急管理机构(FEMA)。
