L'insegnante aveva ragione a farlo?

Sì e no. Si potrebbe essere tentati di dire che dare a uno studente i diritti amministrativi è altamente problematico e lasciarlo incustodito ancora di più. E in una certa misura, sono persino d'accordo con esso. Potresti aver aggiunto un nuovo utente amministrativo, modificato le credenziali di amministratore, installato un rootkit o altro.

Ma ...

Agire in modo malizioso non sarebbe stato senza conseguenze per te. È molto probabile che l'insegnante si ricordi di darti diritti amministrativi specifici ea che ora. Se in questa finestra temporale molto specifica, dovesse accadere qualcosa a quel computer, la scuola potrebbe facilmente identificarti come un attore malintenzionato.

Quali potrebbero essere le conseguenze? Dipende interamente da quello che hai fatto. La modifica delle credenziali dell'amministratore locale potrebbe essere considerata un semplice scherzo e potrebbe essere probabilmente annullata dall'amministratore del dominio. Il danno non sarebbe troppo alto, ma potresti incorrere in una detenzione.

Se, ad esempio, dovessi installare un rootkit, la scuola potrebbe affermare che hai agito in modo malizioso, con l'intento di aggirare la loro sicurezza e danneggiare i loro sistemi. Litigare contro ciò, quando hai installato ciò che è essenzialmente malware sul loro sistema, sarà molto difficile. Potrebbe essere considerato un danneggiamento intenzionale della proprietà della scuola e potresti essere espulso dalla scuola.

Se dovessi agire in modo ancora più distruttivo, eseguendo malware progettato per danneggiare l'hardware (ad es. Ipoteticamente overcloccando la CPU per 12 GHz e disabilitando le misure di sicurezza di autoconservazione), la scuola potrebbe persino citarti per danni, oltre a espellerti.

Questo non significa che l'insegnante sia in colpa per avermi fornito l'amministrazione diritti?

No. L'insegnante ti ha dato l'autorizzazione amministrativa per svolgere un compito molto specifico. Ciò non ti dà il diritto di eseguire alcun compito, anche se tecnicamente ne avevi la capacità.

Se il mio amico mi desse la chiave di casa sua per vegliare sul suo cane, questo non mi autorizza a prendere nulla da casa sua, né a installare telecamere ovunque, anche se tecnicamente ero in grado di farlo.

Non può essere considerato un test di penetrazione?

"Stavo solo testando la sicurezza dei sistemi informatici della mia scuola."

No, non è un test di penetrazione. Un penetration test richiede che l'entità, proprietaria del sistema, acconsenta esplicitamente al penetration test. Un insegnante che ti fornisce l'accesso amministrativo per svolgere un compito specifico non è un consenso esplicito per un test di approfondimento.

Cosa avrebbe potuto fare diversamente l'insegnante?

A seconda della durata del compito che avresti dovuto svolgere, l'insegnante avrebbe potuto rimanere con te e revocare il tuo accesso amministrativo dopo che hai finito.

Dato quanto affermato sopra, l'insegnante aveva una ragionevole aspettativa che non avresti agito in modo malizioso, che sembra essere stato fuori luogo.

L'insegnante mi ha eseguito l'accesso come amministratore per eseguire un breve compito, l'intero sistema è ora compromesso?

No.

ma sono riuscito a reimpostare la password dell'amministratore con lusrmgr.

Ora, congratulazioni, hai svolto un'attività criminale.

L'insegnante aveva ragione a farlo (è un problema critico)?

Non hai dichiarato quale fosse il compito che avresti dovuto svolgere, quindi nessuno può dirlo tu questo. Se stai cercando una convalida o una scusa per il tuo comportamento, allora no, hai deciso di tradire la fiducia di questo insegnante. In circostanze normali dovrebbe essere possibile fidarsi di uno studente e hai dimostrato di non essere affidabile.

Se non aveva ragione, quale potrebbe essere un'opzione migliore?

È sempre meglio non concedere l'accesso se non è necessario, ma quando è necessario allora dovrebbe essere dato a qualcuno di cui ci si può fidare. Questo insegnante si è fidato di te. Hai tradito quella fiducia e qui ti sbagli. Se ho bisogno di correggere un bug nel software della mia azienda e ho bisogno dell'accesso al database per questo, mi verrà fornito in buona fede. Se decido di distruggere il database, o anche solo di cambiare la password, sono io che ho torto, non la persona che mi ha dato l'accesso.

Non che chiamerei quello che hai fatto tu stesso, ma voglio prendere in prestito alcuni termini dalla scena dell'hacking. Ci sono cappelli bianchi, cappelli grigi e cappelli neri. Gli hacker white hat sono dei penetration tester, forniscono un servizio a un'azienda che vengono pagati da quella società. È il loro lavoro cercare di entrare in un sistema e registreranno tutti i percorsi che trovano, lavorano con l'intento di migliorare la sicurezza del sistema. Non sei un hacker dal cappello bianco.
Gli hacker dal cappello grigio fanno qualcosa di simile, ma all'insaputa dell'azienda. Troveranno da soli exploit e violazioni della sicurezza utilizzando l'interfaccia di un utente normale. Spesso segnalano tutto ciò che trovano alle società interessate, a volte minacciano di rendere pubbliche le loro scoperte. Vogliono comunque proteggere gli utenti ma non lo fanno con il consenso dell'azienda. Non sei un hacker dal cappello grigio.
Gli hacker dal cappello nero sono criminali, penetrano nei sistemi con intenti dannosi, cercano di rubare dati o pensano che sia divertente distruggere il sistema di un'azienda. Queste persone non si preoccupano degli utenti, non si preoccupano dell'azienda, si preoccupano di se stesse. Se quello che hai fatto potesse essere chiamato hacking, saresti un hacker black hat.

Ti consiglierei di pensare a cosa esattamente vuoi ottenere. Volevi testare la sicurezza della scuola? La tua intenzione era di esporre le pratiche di sicurezza di questo insegnante? In quel caso sei ancora in torto a causa del tuo approccio, ma potresti trovare interessante iniziare a leggere sui test di penetrazione come carriera, chiaramente ti piace. Se il tuo intento era malizioso, non so davvero cosa dirti se non crescere, quello che hai fatto era sbagliato e nessuna quantità di ginnastica mentale renderà l'insegnante il cattivo. Hai intrapreso un'azione che non è consentita, hai abusato della fiducia riposta in te e sei tu quello nei guai se qualcuno lo scopre.

È un mix di molti fattori e due principali sono la fiducia e la responsabilità.

1. L'insegnante si è fidato di te come partner per svolgere quel lavoro. Non è niente di eccezionale. Supponiamo che al personale della società di consulenza (A) possano essere concessi diritti di amministratore su uno o più server appartenenti a un'altra società (B) se la situazione aziendale lo richiede (anche l'accesso a informazioni riservate, come aveva Edward Snowden). Tuttavia, di solito le aziende formalizzano tali rapporti di fiducia con NDA e tutto il resto del personale legale per condividere le responsabilità in caso di atto doloso.
2. La tua responsabilità prevista era di fare il lavoro e nient'altro. L'uscita dall'ambito di applicazione ci porta a problemi etici. Cambiare le password, persino curiosare nella struttura dei file: in questa situazione si tratta solo di etica. "Dai la colpa a me una volta, vergogna a te."

E tornando alla domanda sul titolo: sì, il sistema deve essere considerato compromesso anche se non hai modificato nulla.

Cosa avrebbe potuto fare di diverso l'insegnante?

La risposta ovvia è che l'insegnante avrebbe dovuto utilizzare autorizzazioni elevate / gestione dell'accesso utente per eseguire solo ciò che era necessario per eseguire con autorizzazioni, piuttosto che accedere con un account amministratore. Non è infallibile *, ma fatto correttamente avrebbe limitato la quantità di danni che potresti fare.

È anche solo una buona pratica generale che tutti dovrebbero fare. Con i sistemi operativi moderni, non ci sono molte ragioni per accedere con un account amministratore.

* Non infallibile: se fai eseguire a qualcuno una riga di comando con privilegi elevati, puoi fare molti danni. Quindi devi ancora applicare il pensiero critico a ciò che stai facendo, piuttosto che eseguire automaticamente le cose elevate.

Dovresti davvero dividere la tua domanda in due parti:

Ho lavorato oggi con il nostro insegnante che mi ha connesso a un computer come amministratore. Avevamo un'attività che richiedeva diritti di amministratore. [rimosso]

1. L'insegnante aveva ragione a farlo (è un problema critico)?
2. Se non aveva ragione, quale potrebbe essere un'opzione migliore?

Hai già delle risposte su cosa fare (due possibilità: o si è fidato di te e ti ha lasciato eseguire i comandi pertinenti e, di nuovo, si è fidato di te per disconnetterti; o guardarti mentre questo (forse non perché non si fidava di te, ma perché non eri abbastanza esperto).

Il che ci porta a ...

Pochi secondi dopo era parlando con altri studenti nella nostra classe, ma sono riuscito a reimpostare la password dell'amministratore con lusrmgr.

Scusa per il testo, ma questa è una mossa del cazzo. Hai appena dimostrato di non essere abbastanza maturo da poter essere affidato a qualcosa di serio.

Si è fidato di te, hai cercato di essere "intelligente" e ora hai finito.

Per favore risparmiati un po 'di vergogna e chiedi semplicemente scusa. Per favore, non portare sul tavolo ragioni come " test di penetrazione "(tranne se sei stato assunto per farne uno, ma il fatto che tu stia facendo la domanda mostra che la scelta è stata sbagliata))