Encontré que la empresa para la que trabajo está poniendo una puerta trasera en los teléfonos móviles

346

Recientemente descubrí que el software de control remoto que colocamos en un teléfono inteligente que vendemos puede ser activado por nosotros sin la aprobación del usuario.

No estamos usando esta opción, y probablemente esté ahí por error. Pero las personas que son responsables de este sistema no lo ven como un gran problema. Porque "no lo vamos a utilizar" ...

¿Me equivoco al decirle balística?

¿Qué harías al respecto si fuera tu lugar de trabajo?

  

Esta pregunta fue Pregunta de la semana sobre seguridad de TI .
  Lea el 16 de junio de 2012 entrada de blog para obtener más detalles o envía tu propia pregunta de la semana.

    
pregunta anonymousquery 17.05.2012 - 18:11
fuente

22 respuestas

306

El hecho de que no lo usen, no significa que otra persona no lo encontrará y lo usará.

Una puerta trasera es una vulnerabilidad incorporada y puede ser utilizada por cualquier persona. Debe explicar que hacer algo como esto es muy arriesgado para su empresa. ¿Qué sucede cuando un atacante malicioso encuentra esta puerta trasera y la usa? Esto le costará a su empresa mucho tiempo y dinero para arreglarlo. ¿Y qué dirá su compañía cuando la gente pregunte por qué el software contenía esa puerta trasera en primer lugar? La reputación de la compañía podría dañarse para siempre.

El riesgo no merece la pena incluirlo en el código.

    
respondido por el Oleksi 17.05.2012 - 19:28
fuente
110

Si ha informado a los responsables de la toma de decisiones y han decidido no hacer nada al respecto, entonces, por definición, su empresa está enviando a sabiendas un producto con una grave vulnerabilidad de seguridad. (Y, supongo, ocultándolo de sus clientes). Este es un asunto muy serio. ¿Qué es lo peor que puede hacer una persona maliciosa con acceso a esta puerta trasera? Si es lo suficientemente malo, me gustaría ir al FBI al respecto. (O quien tenga jurisdicción sobre la seguridad informática si no está en los EE. UU.)

Si su empresa conoce el problema y no le importa, exponerlo es el único curso de acción ético. Y si intentan tomar represalias contra usted, es posible que tenga recursos legales disponibles, según las circunstancias y las leyes en las que viva. (Hable con un abogado al respecto si cree que podría aplicarse en su caso).

    
respondido por el Mason Wheeler 17.05.2012 - 20:31
fuente
66

Por favor, perdone mi cinismo, pero este no es el primero y no será la última puerta trasera que vemos en nuestras aplicaciones y dispositivos legítimos, apenas ganados. Solo para refrescar nuestra memoria, podemos comenzar desde el más reciente, el nuevo Kindle de Gran Hermano de Amazon [1] [2] .

Pero tenemos una gran cantidad de software y servicios de puerta trasera, como PGP Disk Encryption [3] [4] , ProFTPD [5] o Hushmail [6] , por nombrar algunos.

Y no olvide los sistemas operativos: M $ siempre está por delante con su NSA_KEY [7] ◆8] , pero también OpenBSD [9] y el kernel de Linux [10 ] no puede considerarse 100% seguro. También hemos pagado intentos para obtener acceso de puerta trasera a Skype por parte de la NSA [11] , que , sin embargo, se ha evaluado como "seguro desde el punto de vista arquitectónico" [12] .

Pasando a firmware, hoy en día estamos casi acostumbrados a tener personas de nuestro ISP que pueden ver dentro de nuestros enrutadores (sí, tal vez incluso ver nuestra contraseña WPA querida), pero estas [13] [14] [15] seguramente puede ser considerado como puertas traseras también!

Finalmente, algunas consideraciones sobre hardware y BIOS [16] , y (esto es divertidos y de alguna manera dramáticos) EULAs [17] [18] , porque también los abogados tienen sus puertas traseras .

Bien, dado este preámbulo, intentaré responder brevemente a la pregunta. No, no te equivocas al enojarte por esto, pero debes enfocar tu ira en la motivación correcta. Debería estar enojado porque perdió confianza en la empresa para la que trabaja, no por el hecho de la puerta trasera (deje este enojo a los clientes).

Y si fuera tú, seré muy cauteloso. Primero, me aseguraré realmente de que lo que vi fue una puerta trasera, quiero decir legalmente hablando. En segundo lugar, intentaré de alguna manera convencer a la empresa de que elimine la puerta trasera.

Probablemente firmó un NDA [19] con su empresa, por lo que su pregunta aquí podría ser una infracción. Sin embargo, no sé dónde termina la NDA y comienza la ley de su estado (podría ser incluso un fraude al cliente), y probablemente, debido a la tecnicidad del tema, solo un abogado altamente especializado podría ayudarlo con este asunto. Entonces, si desea continuar, antes haciendo cualquier otra cosa, incluso hablando con las autoridades, debe contratar a un abogado muy calificado y estar preparado para perder mucho tiempo y dinero, o incluso el trabajo.

    
respondido por el Avio 18.05.2012 - 01:16
fuente
54

Si no lo ven como un gran problema, no les estás haciendo la pregunta correcta. La pregunta para motivar la acción sobre esto no es "¿es esto correcto?" pero "¿qué nos pasa cuando alguien encuentra y publica esto?" Ya sea que sea una empresa grande o pequeña, está viendo un daño grave a su reputación y todas las cosas malas que la acompañan si alguien de fuera de la empresa descubre esto antes de solucionarlo.

Resolver este problema no es solo ético, es esencial para la supervivencia de su empresa. Es mucho, mucho mejor arreglarlo en silencio ahora que una semana después de que todos sus usuarios y clientes lo hayan dejado porque fue revelado por un periodista en línea.

    
respondido por el MartianInvader 17.05.2012 - 22:54
fuente
34

Deberías considerar seriamente acudir a alguna autoridad gubernamental o reguladora con esto, solo para protegerte.

Imagina este escenario:

  1. Informas a la gerencia sobre la puerta trasera. Ahora saben que sabes.
  2. Evil Hacker ZmEu se entera de la puerta trasera y pone algo en el pastebin.
  3. Su administración se entera del pastebin de Evil Hacker ZmEu.
  4. Su administración lo culpa y lo despide por causa, por sus protestas de inocencia.

La mayoría de las vulnerabilidades de seguridad se descubren varias veces. No serás el único en encontrarlo, solo serás el más obvio para convertirte en un chivo expiatorio.

    
respondido por el Bruce Ediger 17.05.2012 - 22:41
fuente
27

Está bien, la gente seguirá comprando los iPhones que fabrica tu empresa, tu secreto está a salvo. ;)

Si fuera mi lugar de trabajo, donde trabajo como analista de seguridad, aceptaría que mi trabajo es identificar y comunicar riesgos; Depende de la empresa aceptar el riesgo. No puedo aceptar el riesgo personalmente, por lo que mi única opción real es garantizar que he comunicado el nivel de riesgo en el foro adecuado lo mejor que pueda. Por lo tanto, si está empleado a un nivel en el que puede aceptar el riesgo, entonces usted decide si esto está bien o no. Sin embargo, según la publicación, no se encuentra en un nivel en el que pueda aceptar riesgos en nombre de la empresa. Entonces, todo lo que probablemente puede hacer es comunicar el riesgo de manera que el área de negocios pueda entender, y luego dejar que el área de negocios tome una decisión comercial apropiada utilizando toda la información disponible para ellos.

Lo que usted tiene tiene sobre el control es aceptar el riesgo que supone para usted trabajar por una empresa que toma decisiones que usted considera malas. Sus medios disponibles para mitigar ese riesgo están documentados en Monster.com y sus amigos. :)

    
respondido por el dannysauer 18.05.2012 - 01:50
fuente
23

Antes del área de teléfonos inteligentes, era una característica estándar de todos los teléfonos móviles tener puertas traseras. El protocolo GSM permitió a la estación base actualizar el software del teléfono. enlace es una buena charla sobre lo loco que ha sido el esquema de seguridad.

Por lo que sé, ninguna de las empresas involucradas en la creación de GSM se metió en ningún problema legal sobre el asunto. A las agencias gubernamentales como la NSA les gustó el hecho de que tenían puertas traseras. En este momento, hay personas dentro del gobierno que desean asignar puertas traseras a todas las plataformas de comunicación.

Creo que hay una buena probabilidad de que exista la puerta trasera porque alguna otra entidad como la NSA quiere que esté allí. Si las personas más altas en su compañía hicieron un trato con la NSA, es probable que no le digan cuándo va a presentar una queja sobre la puerta trasera.

Por lo que sabes, podría ser el Mossad el que le paga a tu empresa para mantener la puerta trasera en el software.

Una puerta trasera clara en un teléfono inteligente moderno probablemente valga 6 cifras o más en el mercado negro. Un empleado podría venderlo o se le podría haber pagado específicamente para ponerlo allí.

Por otra parte, si la puerta trasera realmente existe porque los altos ejecutivos de su empresa son ignorantes de lo que podría explicarles, es un problema grave.

    
respondido por el Christian 18.05.2012 - 00:28
fuente
14

Usted tiene una responsabilidad profesional y una responsabilidad ética para garantizar que esto se aborde, OMI. Y has entrado en un campo minado. Protégete a ti mismo. Cuida tu paso. Ve lento. Piense la defensa en profundidad. Solicité con éxito un informante, que ha podido mantener el anonimato. La solicitud incluía consejos para mantener el anonimato; echar un vistazo.

Comprueba que no estás volviendo a sonar algo que ya se conoce, como el Carrier IQ. Enviar una notificación por escrito a un abogado corporativo podría ayudar mucho a solucionar el problema, por ejemplo, a través de una cuenta de correo electrónico anónima para que pueda tener comunicación bidireccional. También: Mire los archivos de Wikileaks ahora muertos: página de remisiones a la que hago referencia .

Whistleblower.org tiene buena información para usted, a pesar de que está centrada en el gobierno.

Addendum : ¿Ha revisado los registros de control de versión del código fuente para ver quién puso la puerta trasera?

    
respondido por el Matthew Elvey 19.05.2012 - 19:14
fuente
13

Trátelo como una vulnerabilidad de seguridad que haya descubierto e infórmelo a, por ejemplo, CVE . Anónimamente si lo desea.

    
respondido por el anonymous_bidder 18.05.2012 - 06:10
fuente
13

Su reacción es sensata, y en un nivel instintivo significa que le importa uno o más de: la privacidad de sus clientes, la imagen pública de su empresa, la calidad de su base de código, su propia máscara.

En mi lugar de trabajo, sería lo suficientemente alto como para saberlo un error de seguridad (y no por la intención de la empresa o el mandato del gobierno), y eliminarlo. Sin embargo, parece que esto no se aplica en tu caso.

Si puede rastrear "no lo vamos a usar" a "lo ponemos allí para nuestro propio uso, pero no lo necesitamos", probablemente pueda describir a alguien lo suficientemente alto en la organización los peligros que representa para la empresa cuando aparece en bugtraq / se usa con fines nefarios por parte de un tercero, lo que probablemente sucederá si su teléfono inteligente es popular, común y lo suficientemente valioso (como objetivo, que puede traducirse como "utilizado por personas suficientemente importantes" ) para atacar.

Si puede rastrearlo a "está ahí por mandato del gobierno" o similar, es posible que desee insistir en la documentación interna a tal efecto, de modo que al menos pueda dejarlo así y saber que ha hecho lo que puede para Proteja a su empresa y salve a otros compañeros de trabajo cualificados suyos del dilema en el que se encuentra, como cuestión de buenas prácticas de mantenimiento de códigos. (Y reflexione sobre sus opciones de trabajar en una industria haciendo herramientas que sirvan y sacrifiquen a sus propietarios, si esto se siente profundamente desmotivador).

    
respondido por el ecmanaut 19.05.2012 - 22:41
fuente
9

Tiene una vulnerabilidad de seguridad conocida y su empresa es solo una de las infinitas partes que podrían explotarla. Cualquier explotación de ese agujero, por cualquier parte, podría resultar razonablemente en una responsabilidad de la escala de Sony después del fiasco del kit raíz. Su costo, tanto en dólares como en reputación, se elevó a cientos de millones de dólares, en una situación directamente análoga.

Haga el caso dibujando paralelos directos a Sony, con su base de usuarios en proporción a la de Sony como indicador para calcular la responsabilidad potencial cuando se explota este agujero.

    
respondido por el anildash 18.05.2012 - 05:04
fuente
7

Está bien preocuparse por eso, no te preocupes, tu reacción es normal ^^

Yo haría una de dos cosas:

  • Yo actualizaría el acuerdo de usuario explicando que existe esta posibilidad, por lo tanto, solicito el consenso del usuario (si las personas a cargo realmente no quieren quitarle la puerta trasera)
  • Quitaría la puerta trasera completamente (mejor opción en mi opinión)

Además, si es cierto que esta puerta trasera nunca se usa, ¿por qué dejarla ahí?

    
respondido por el user1301428 17.05.2012 - 19:08
fuente
7

Sería un consejo serio contra la denuncia inmediata. No solo porque hay una buena posibilidad de que esto suceda porque alguien de la CIA / FBI tuvo una pequeña conversación con el jefe de la compañía que ordenó que sucediera a través de canales de administración confiables, y es por eso que sucede aunque todos deberían reconocer que es una mierda. excusa.

Con razón estás reconociendo esto como una excusa de mierda. El problema es que otras personas también deberían haberlo hecho. En algún lugar alguien con poder debe haber decidido que esto sucedería. La construcción de que está "OK porque no la usaremos" se perpetúa.

Eso significa que si usted hace una denuncia (y obtiene un despido) y presenta una demanda, no solo a) podría resultarle muy difícil conseguir otro trabajo, b) su demanda podría no ir a ninguna parte porque podría resultar (hey, No soy abogado, pero es plausible) que la firma no lo reconozca como "falta de conducta". Si yo fuera el gobierno federal, iría a verlos para proteger a las personas que hacen mis actos sucios.

Por otra parte, si tiene un fondo fiduciario y quiere catapultarse a la fama de 15 minutos, puede hacerlo público. Solo tenga una ruta alternativa marcada en "Computación alternativa" o el Movimiento de software libre. No hay un jet privado por esa ruta.

Lo que aconsejo es obtener una cantidad decente de detalles al respecto, encontrar un nuevo empleo, luego contactar de forma anónima un perfil de seguridad y decir que quieres hacerlo público / silbar a través de ellos. La primera persona con quien contactes probablemente cumpla. La compañía podría intentar perseguirlo, pero DEBERÍA no tener pruebas definitivas de ningún registro o orden de registro y no es "oficial" en el sentido de que los nuevos empleadores se verían obligados a reconocerlo.

    
respondido por el Jens Pettersen 19.05.2012 - 16:54
fuente
6

OP: ¿Sabes lo que sucedió en el caso de ZTE? Vaya a pastebin, realice un aviso de seguridad completo y completo . No hace falta decirlo, cubre tus huellas. Eso es todo, si no estaba seguro hasta el punto de que hizo la pregunta aquí, puede beneficiarnos a todos haciendo el aviso.

    
respondido por el dhillonv10 19.05.2012 - 01:45
fuente
4

Como se mencionó en otra parte, lo que me asustaría sería el uso de la funcionalidad de intercepción, incluso sin la mala intención de sus desarrolladores / instaladores originales. El llamado "asunto de Atenas" viene inmediatamente a la mente y subraya esta preocupación. Para una lectura técnicamente informativa y al mismo tiempo emocionante, puede consultar:

The Athens Affair : Cómo algunos hackers extremadamente inteligentes lograron el más audaz interrupción de la red celular alguna vez

    
respondido por el Georgios 29.05.2012 - 14:41
fuente
3

Esto se informó a principios de esta semana en ZTE Ships Smartphone de China con Backdoor a MetroPCS , pero finalmente algunos lo están viendo. Parecía haber pasado desapercibido por muchos ...

    
respondido por el Phillipe 19.05.2012 - 05:46
fuente
3

Probablemente esté ahí para permitir que las agencias gubernamentales accedan a su teléfono celular y escuchen lo que esté haciendo en ese momento. Es requerido por la ley.

Ver:

respondido por el GregT 19.05.2012 - 04:21
fuente
0

Bueno, lo que realmente debería ser después son sus motivos para instalar una puerta trasera. Como dijo el votante más alto, solo porque no lo uses no significa que no se encontrará. Si fuera yo, averiguaría cuál es el motivo detrás de dicha puerta trasera, alertar anónimamente a una importante publicación de tecnología sobre dicha puerta trasera. Entonces, nuevamente, esto depende de si usted siente una responsabilidad hacia el público en general o si siente que depende de la compañía limpiar su propio acto y dejar que alguien más los haga responsables de sus faltas.

    
respondido por el Dark Star1 18.05.2012 - 17:05
fuente
0

Por supuesto, la puerta trasera no apareció allí sin pensarlo seriamente. Las agencias de seguridad nacional están involucradas, y pagaron para que se haga, con suerte sin que nadie se dé cuenta. Los ingenieros celulares diseñaron la capacidad de encender un micrófono celular sin que el propietario lo supiera (manteniendo las luces indicadoras apagadas). Espero que las ubicaciones de GPS se puedan transmitir incluso cuando un propietario tiene la función GPS desactivada, y las imágenes se pueden tomar y transmitir sin que el propietario también lo sepa.

    
respondido por el Cellular Engineer 19.05.2012 - 21:36
fuente
0

Realmente depende de la naturaleza de la puerta trasera. ¿Es peor que Carrier IQ ?

Sé que el operador de telefonía celular puede interceptar todas mis transmisiones de voz y datos y entregarlas al gobierno. De hecho, la NSA también puede interceptarlo todo. También espero que el proveedor y el fabricante del teléfono puedan, si se les da acceso físico al teléfono, leer completamente todos los datos sin mi aprobación. Entonces, si la puerta trasera está limitada a este tipo de cosas y usted personalmente no puede usar la puerta trasera para entrar al teléfono de otra persona debido a alguna otra restricción de seguridad, entonces no me pondría demasiado mal. Envíe sus inquietudes a su supervisor en un correo electrónico y guarde una copia en papel en su casa.

Ahora, si es el tipo de puerta trasera que un pirata informático puede usar para robar las contraseñas guardadas en el teléfono inteligente sin ser detectado, es hora de hacer una denuncia completa si no puede hacer que las bloqueen. El acceso al teléfono de un cliente debe requerir una autorización de seguridad específica dentro de la empresa combinada con un registro completo para que las personas que abusan de sus privilegios de seguridad puedan ser identificadas y se les revoquen esos privilegios (como mínimo).

Si está en algún punto intermedio, bueno, quizás se lo transfiera a un investigador de seguridad ...

    
respondido por el Major Major 18.05.2012 - 00:54
fuente
-1

Si ha firmado un "non-disclosure agreement" sobre el tipo de trabajo y los productos que está tratando con su empresa, entonces no debería hacer esta pregunta o publicarla aquí. De lo contrario, puede publicar el nombre de su empresa y el software instalado en los teléfonos para alertar a todos.

    
respondido por el Subs 18.05.2012 - 04:54
fuente
-1

Hmm, al publicarlo aquí después de alertarlos, diría que deberías pensar en hacerlo público porque ya lo has hecho.

Las puertas traseras son bastante comunes en las tecnologías emergentes, ya que por lo general requiere un tiempo de legislación para ponerse al día. Además, las comunidades de desarrollo no están totalmente convergidas. Por ejemplo, Internet era notoriamente inseguro hasta que los ISPs tuvieron que construir un acceso directo a los organismos gubernamentales a través de legislación, licencias e intercambios. Solo entonces la seguridad se volvió importante ya que las personas "correctas" habían asegurado todo el acceso que necesitaban.

Si fuera mi lugar de trabajo, STFU ... Pero podría ser un poco tarde para eso.

    
respondido por el Alex 18.05.2012 - 00:54
fuente

Lea otras preguntas en las etiquetas