Ce n'est pas parce qu'ils ne l'utiliseront pas que quelqu'un d'autre ne le trouvera pas et ne l'utilisera pas.

Une porte dérobée est une vulnérabilité intégrée et peut être utilisée par n'importe qui. Vous devez expliquer que faire quelque chose comme ça est très risqué pour votre entreprise. Que se passe-t-il lorsqu'un attaquant malveillant trouve cette porte dérobée et l'utilise? Cela coûtera beaucoup de temps et d'argent à votre entreprise. Et que dira votre entreprise lorsque les gens se demanderont pourquoi le logiciel contenait cette porte dérobée en premier lieu? La réputation de l'entreprise pourrait être endommagée à jamais.

Le risque ne vaut certainement pas la peine de l'avoir dans le code.

Si vous avez informé les décideurs et qu'ils ont décidé de ne rien faire à ce sujet, alors, par définition, votre entreprise expédie sciemment un produit présentant une faille de sécurité grave. (Et, je suppose, le cacher à leurs clients.) C'est une question très sérieuse. Quel est le pire qu'une personne malveillante ayant accès à cette porte dérobée pourrait faire? Si c'est assez mauvais, j'irais au FBI à ce sujet. (Ou quiconque a juridiction sur la sécurité informatique si vous n'êtes pas aux États-Unis.)

Si votre entreprise connaît le problème et ne s'en soucie pas, l'exposer est la seule ligne de conduite éthique. Et s'ils tentent de prendre des mesures de rétorsion contre vous, vous pouvez avoir des recours juridiques disponibles, selon les circonstances et les lois dans lesquelles vous vivez. (Parlez-en à un avocat si vous pensez que cela pourrait s'appliquer à votre cas.)

S'il vous plaît, pardonnez mon cynisme, mais ce n'est pas la première et ce ne sera pas la dernière porte dérobée que nous voyons dans nos applications et appareils légitimes et à peine gagnés. Pour nous rafraîchir la mémoire, nous pouvons commencer par le plus récent, le nouveau Big Brother Kindle d'Amazon [1] [2].

Mais nous disposons d'une pléthore de logiciels et de services détournés, tels que PGP Disk Encryption [3] [4], ProFTPD [5] ou Hushmail [6], pour n'en nommer que quelques-uns.

Et n'oubliez pas les OS: M $ est toujours en avance avec sa NSA_KEY [7] [8], mais aussi OpenBSD [9] et le noyau Linux [10] ne peuvent pas être considérés comme sûrs à 100%. Nous avons également payé des tentatives pour obtenir un accès détourné à Skype par la NSA [11], qui, cependant, a été considérée comme "sécurisée sur le plan architectural" [12].

Passant au firmware, de nos jours, nous sommes presque acclimatés à avoir des personnes de notre FAI capables de regarder à l'intérieur de nos routeurs (oui, peut-être même voir notre mot de passe WPA bien-aimé), mais ces [13] [14] [15] peut également être considéré comme une porte dérobée!

Enfin, quelques considérations sur le matériel et les BIOS [16], et (c'est à la fois drôle et en quelque sorte dramatique) les CLUF [17] [18], parce que les avocats ont aussi leurs portes dérobées.

D'accord, étant donné ce préambule, je vais essayer de répondre brièvement à la question. Non, vous n'avez pas tort de vous mettre en colère pour cette chose, mais vous devez concentrer votre colère sur la motivation correcte. Vous devriez être en colère parce que vous avez perdu une part de confiance envers l'entreprise pour laquelle vous travaillez, pas à cause de la porte dérobée elle-même (laissez cette colère aux clients).

Et si j'étais vous, je '' Je vais juste être très prudent. Tout d'abord, je vais vraiment m'assurer que ce que j'ai vu était une porte dérobée, je veux dire légalement parlant. Deuxièmement, je vais essayer de convaincre l'entreprise de quelque manière que ce soit de supprimer la porte dérobée.

Vous avez probablement signé une NDA [19] avec votre entreprise. Votre question ici peut donc déjà constituer une violation. Cependant, je ne sais pas où la NDA se termine et où commence la loi de votre état (cela pourrait même être une fraude à la clientèle), et probablement, en raison de la technicité du sujet, seul un avocat hautement spécialisé pourrait vous aider dans cette affaire. Donc, si vous voulez continuer, avant de faire quoi que ce soit d’autre, même de parler aux autorités, vous devez engager un avocat très compétent et être prêt à perdre beaucoup de temps et d’argent, voire le travail.

S'ils ne voient pas cela comme un problème, vous ne leur posez pas la bonne question. La question pour motiver l'action à ce sujet n'est pas "est-ce vrai?" mais "que nous arrive-t-il quand quelqu'un trouve et publie ceci?" Que vous soyez une grande ou une petite entreprise, vous constatez que votre réputation est gravement endommagée et toutes les mauvaises choses qui vont avec si quelqu'un en dehors de l'entreprise découvre ce problème avant que vous ne le répariez. cette question n'est pas seulement éthique, elle est essentielle à la survie de votre entreprise. Il est de loin, beaucoup mieux de le réparer tranquillement maintenant qu'une semaine après que tous vos utilisateurs et clients vous aient quitté parce que cela a été révélé par un journaliste en ligne.

Vous devriez sérieusement envisager de vous adresser à une autorité gouvernementale ou réglementaire avec ceci, juste pour vous protéger.

Imaginez ce scénario:

1. Vous informez la direction de la porte dérobée. Maintenant, ils savent que vous le savez.
2. Evil Hacker ZmEu découvre la porte dérobée et met quelque chose sur pastebin.
3. Votre direction découvre le pastebin d'Evil Hacker ZmEu.
4. Votre direction vous blâme et vous congédie pour cause à cause de vos protestations d'innocence.

La plupart des failles de sécurité sont découvertes plusieurs fois. Vous ne serez pas le seul à le trouver, vous serez juste le plus évident pour en faire un bouc émissaire.

C'est pas grave, les gens achèteront toujours les iPhones fabriqués par votre entreprise - votre secret est en sécurité. ;)

Si c'était mon lieu de travail, où je suis employé comme analyste en sécurité, j'accepterais que mon travail soit d'identifier et de communiquer les risques; c'est à l'entreprise d'accepter le risque. Je ne peux pas accepter le risque personnellement, donc ma seule vraie option est de m'assurer que j'ai communiqué le niveau de risque dans le forum approprié au mieux de mes capacités. Donc, si vous êtes employé à un niveau où vous pouvez accepter le risque, c'est à vous de décider si cela vous convient ou non. Sur la base du message, cependant, vous n'êtes pas à un niveau où vous pouvez accepter le risque au nom de l'entreprise. Donc, tout ce que vous pouvez probablement faire est de communiquer le risque d'une manière que le secteur d'activité puisse comprendre, puis laissez le secteur d'activité prendre une décision commerciale appropriée en utilisant toutes les informations dont il dispose.

Ce que vous avoir le contrôle, c'est accepter le risque que représente pour vous-même le fait de travailler pour une entreprise qui prend des décisions que vous pensez être mauvaises. Vos moyens disponibles pour atténuer ce risque sont documentés sur Monster.com et ses amis. :)

Avant la zone des smartphones, la fonctionnalité standard de tous les téléphones portables était d'avoir des portes dérobées. Le protocole GSM a permis à la station de base de mettre à jour le logiciel du téléphone. http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html est un bon discours sur la folie le plan de sécurité a été.

Pour autant que je sache, aucune des entreprises impliquées dans la création de GSM n'a eu de problèmes juridiques à propos de l'affaire. Les agences gouvernementales comme la NSA ont apprécié le fait qu'elles aient des portes dérobées. Pour le moment, il y a des gens au sein du gouvernement qui veulent imposer des portes dérobées pour chaque plate-forme de communication.

Je pense qu'il y a de bonnes chances que la porte dérobée existe parce qu'une autre entité comme la NSA veut qu'elle soit là. Si des personnes de haut niveau dans votre entreprise concluent un accord avec la NSA, elles ne vous le diront probablement pas quand vous viendrez vous plaindre de la porte dérobée.

Pour autant que vous sachiez, c'est peut-être le Mossad qui paie votre entreprise pour garder la porte dérobée dans le logiciel.

Une porte dérobée claire dans un smartphone moderne vaut probablement 6 chiffres ou plus sur le marché noir. Un employé pourrait le vendre ou avoir été payé spécifiquement pour le mettre là-bas.

D'un autre côté, si la porte dérobée existe vraiment simplement parce que les hauts responsables de votre entreprise sont trop ignorants que vous ne pourrez peut-être leur expliquer que c'est un problème sérieux.

Vous avez une responsabilité professionnelle et une responsabilité éthique de veiller à ce que cela soit traité, IMO. Et vous êtes entré dans un champ de mines. Protège toi. Attention a la marche. Va lentement. Pensez à la défense en profondeur. J'ai réussi à solliciter un lanceur d'alerte qui a pu conserver l'anonymat. La sollicitation comprenait des conseils sur le maintien de l'anonymat; regarde.

Whistleblower.org a de bonnes informations pour vous, même si elles sont axées sur le gouvernement .

Addendum : Avez-vous parcouru les journaux de contrôle de version du code source pour voir qui a mis la porte dérobée?

Traitez-la comme une faille de sécurité que vous avez découverte et signalez-la, par exemple, à CVE. De manière anonyme si vous le souhaitez.

Votre réaction est solide et, d'un instinct instinctif, cela signifie que vous vous souciez d'un ou plusieurs des éléments suivants: la confidentialité de vos clients, l'image publique de votre entreprise, la qualité de votre base de code, votre propre peau.

In mon lieu de travail, je serais assez senior pour savoir qu'il s'agit d'un bogue de sécurité (et pas là par intention de l'entreprise, ou mandat du gouvernement) - et le supprimer. Il semble que cela ne s'applique pas dans votre cas, cependant.

Si vous pouvez tracer "nous n'allons pas l'utiliser", nous le mettons là pour notre propre usage, mais pas besoin il "vous pouvez probablement décrire à quelqu'un d'assez haut dans l'organisation les dangers qu'il représente pour l'entreprise quand il apparaît sur bugtraq / est utilisé à des fins néfastes par un tiers, ce qui est susceptible de se produire si votre smartphone est populaire, commun et suffisamment précieux (en tant que cible - ce qui peut se traduire par «utilisé par des personnes suffisamment importantes») pour attaquer.

Si vous pouvez le retracer jusqu'à «il est là par mandat gouvernemental» ou similaire, vous voudrez peut-être insister sur la documentation interne à cet effet, de sorte que vous puissiez au moins laisser tomber et savoir que vous avez fait ce que vous pouvez pour protéger votre entreprise, et sauver d'autres collègues qualifiés du dilemme dans lequel vous vous trouvez, comme une question de bien les pratiques de maintenance du code. (Et réfléchissez à vos options pour travailler dans une industrie qui crée des outils qui servent et sacrifient leurs propriétaires, si cela semble profondément démotivant.)

Vous avez une vulnérabilité de sécurité connue et votre entreprise n'est que l'une des nombreuses parties qui pourraient l'exploiter. Tout exploit de ce trou, par une partie quelconque, pourrait raisonnablement entraîner une responsabilité de l'ampleur de Sony après le fiasco du kit racine. Leur coût à la fois en dollars et en réputation a grimpé dans les centaines de millions de dollars, dans une situation directement analogue.

Prouvez le bien en établissant des parallèles directs avec Sony, avec votre base d'utilisateurs en proportion de Sony comme indicateur pour calculer la responsabilité potentielle lorsque ce trou est exploité.

Vous pouvez vous en inquiéter, ne vous inquiétez pas, votre réaction est normale ^^

Je ferais l'une des deux choses suivantes:

• Je mettrais à jour le accord utilisateur expliquant que cette possibilité existe, demandant donc le consensus de l'utilisateur (si les responsables ne veulent vraiment pas enlever la porte dérobée)
• Je supprimerais complètement la porte dérobée (meilleure option à mon avis )

De plus, s'il est vrai que cette porte dérobée n'est jamais utilisée, pourquoi la laisser là?

Je déconseillerais sérieusement la dénonciation immédiate. Notamment parce qu'il y a de bonnes chances que cela se produise parce que quelqu'un de la CIA / FBI a eu une petite conversation avec le chef de l'entreprise qui a ordonné que cela se produise via des canaux de gestion de confiance, et c'est pourquoi cela arrive même si tout le monde devrait reconnaître que c'est une merde. excuse.

Vous reconnaissez à juste titre cela comme une excuse de merde. Le problème est que d'autres personnes devraient également avoir. Quelque part, quelqu'un avec le pouvoir a dû décider que cela arriverait. La construction selon laquelle c'est "OK parce que nous ne l'utiliserons pas" est alors perpétuée.

Cela signifie que si vous dénoncez (et êtes limogé) et lancez une action en justice, non seulement a) vous pourriez trouver très difficile d'obtenir un autre emploi, b) votre action en justice pourrait ne pas aller nulle part car elle pourrait tourner (hé, je ne suis pas avocat, mais c'est plausible) que cela ne serait pas reconnu comme une «faute» par le cabinet. Si j'étais le gouvernement fédéral, je ferais de grands efforts pour protéger les gens qui font mes sales actes.

D'un autre côté, si vous avez un fonds en fiducie et que vous voulez vous catapulter vers la gloire de 15 minutes, vous peut en rendre public. Ayez juste un chemin alternatif jalonné dans «l'informatique alternative» ou le mouvement du logiciel libre. Il n'y a pas de jet privé sur cette route.

Ce que je conseille, c'est d'obtenir une quantité décente de détails à ce sujet, de trouver un nouvel emploi, puis de contacter anonymement un profil de sécurité et de dire que vous voulez le rendre public / le dénoncer par son intermédiaire. La première personne que vous contacterez se conformera probablement. La société pourrait essayer de vous poursuivre, mais elle NE DEVRAIT avoir aucune preuve définitive des journaux ou des mandats de recherche et ce n'est pas "officiel" dans le sens où les nouveaux employeurs seraient obligés de le reconnaître.

OP: Vous savez ce qui s'est passé dans le cas de ZTE? Allez sur pastebin, faites un avis de sécurité complet et complet . Inutile de dire, couvrez vos traces. C'est que, si vous n'êtes pas sûr au point que vous avez posé la question ici, vous pouvez nous profiter à tous en faisant l'avis.

Comme mentionné ailleurs, ce qui me ferait peur serait l'utilisation de la fonctionnalité d'interception même sans mauvaise intention de ses développeurs / installateurs d'origine. La soi-disant «affaire d'Athènes» vient immédiatement à l'esprit et souligne cette préoccupation. Pour une lecture techniquement informative et en même temps passionnante, vous pouvez vérifier:

L'Affaire d'Athènes : comment certains pirates extrêmement intelligents ont réussi la rupture la plus audacieuse du réseau cellulaire -in jamais

Il est probablement là pour permettre aux agences gouvernementales d'accéder à votre téléphone portable et d'écouter ce que vous faites à ce moment-là. C'est requis par la loi.

Voir:

• Microphones de téléphone mobile activés à distance (Wikipedia)

• Écoute à distance des microphones de téléphone portable (publié le 05/12/2006)

Cela a été signalé plus tôt cette semaine dans Le smartphone chinois ZTE Ships avec Backdoor vers MetroPCS , mais finalement certains le voient. Cela semblait avoir été ignoré par beaucoup ...

Cela dépend vraiment de la nature de la porte dérobée. Est-ce pire que Carrier IQ?

Je sais que l'opérateur de téléphonie mobile peut intercepter toutes mes transmissions vocales et de données et les remettre au gouvernement. En fait, la NSA peut aussi tout intercepter. Je m'attends également à ce que l'opérateur et le fabricant du téléphone puissent, s'ils ont un accès physique au téléphone, lire complètement toutes les données qu'il contient sans mon approbation. Donc, si la porte arrière est limitée à ce genre de choses et que vous ne pouvez personnellement pas utiliser la porte arrière pour entrer dans le téléphone de quelqu'un d'autre en raison d'une autre contrainte de sécurité, alors je ne serais pas trop déformé à ce sujet. Faites part de vos préoccupations à votre superviseur dans un e-mail et enregistrez-en une copie sur papier à la maison.

Maintenant, si c'est le genre de porte dérobée qu'un pirate peut utiliser pour voler les mots de passe enregistrés sur le téléphone intelligent sans être détecté, il est temps de faire un dénonciateur complet si vous ne pouvez pas les amener à verrouiller cela. L'accès au téléphone d'un client doit nécessiter une autorisation de sécurité spécifique au sein de l'entreprise combinée à une journalisation complète afin que les personnes qui abusent de leurs privilèges de sécurité puissent être identifiées et se voir révoquer (à tout le moins) ces privilèges.

Si c'est quelque part entre les deux, eh bien, peut-être le divulguer à un chercheur en sécurité ....

Ce que vous devriez vraiment rechercher, ce sont leurs motivations pour mettre une porte dérobée. Comme l'a dit l'électeur le plus élevé, ce n'est pas parce que vous ne l'utiliserez pas qu'il ne sera pas trouvé. Si c'était moi, je découvrirais le motif de cette porte dérobée, j'alerterais anonymement une publication technologique majeure au sujet de ladite porte dérobée. Là encore, cela dépend si vous ressentez une responsabilité envers le grand public ou si vous pensez que c'est à l'entreprise de nettoyer son propre acte et de laisser quelqu'un d'autre la tenir responsable de ses méfaits.

Bien sûr, la porte arrière n'y est pas apparue sans mûre réflexion. Les agences de sécurité nationale sont impliquées, et elles ont payé pour que cela soit fait, sans que personne ne s'en aperçoive. Les ingénieurs cellulaires ont conçu la capacité d'activer un microphone cellulaire sans que le propriétaire le sache (en gardant les voyants éteints). Je pense que les emplacements GPS peuvent être diffusés même lorsqu'un propriétaire a désactivé la fonction GPS, et que des photos peuvent être prises et diffusées sans que le propriétaire le sache également.

Hmm, en le publiant ici après les avoir alertés, je dirais que vous devriez penser à le rendre public parce que vous l'avez déjà fait.

Les backdoors sont assez courants dans les technologies émergentes, car il faut généralement une législation un certain temps à rattraper. De plus, les communautés de développement ne sont pas totalement convergées. Par exemple, Internet était notoirement dangereux jusqu'à ce que les FAI aient à créer un accès direct aux organes gouvernementaux via la législation, les licences et les échanges. Ce n'est qu'alors que la sécurité est devenue importante car les «bonnes» personnes avaient obtenu tous les accès dont elles avaient besoin.

Si c'était mon lieu de travail, je STFU... Mais ce pourrait être un un peu tard pour ça.

Si vous avez signé un "accord de non-divulgation" sur le type de travail et de produits que vous traitez avec votre entreprise, vous ne devriez même pas poser cette question ou la publier ici. Sinon, vous pouvez publier le nom de votre entreprise et le logiciel installé sur les téléphones pour alerter tout le monde.