Domanda:
Come dovrei dire alla scuola che sono vulnerabili quando non mi è stato dato il permesso di controllare?
vakus
2016-04-11 22:56:08 UTC
view on stackexchange narkive permalink

Vorrei segnalare i punti deboli della sicurezza alla mia scuola nel Regno Unito. Sono riuscito a trovare i punti deboli della sicurezza senza alcun exploit o altro software o hardware.

Ho esaminato domanda simile, tuttavia il problema è che è molto probabile scoprire che lo era anche se usassi un'e-mail anonima, come suggerito in questa domanda, poiché il dipartimento IT sa che ho molte conoscenze sulla programmazione di computer, rete, sicurezza ed è (forse) superiore a quella di chiunque altro, quindi presumo che io verrebbe subito chiamato. Gli insegnanti sanno anche che ho trovato altri punti deboli della sicurezza che non hanno avuto alcun impatto sulla politica della scuola, quindi non ho avuto problemi con questo. Anche i punti deboli della sicurezza richiedono l'accesso fisico, quindi non potevo mentire sul fatto che fosse stato fatto da remoto

Un'altra risposta menzionata nella domanda già menzionata, diceva di ignorarla, tuttavia avevo scoperto che uno dei loro computer aveva è stato violato da qualcun altro e per dire come l'ho scoperto dovrei menzionare i punti deboli della sicurezza o suggerire che stavo cercando di hackerarli.

Inoltre, sono sicuro che saranno più che felici di sentire qualcuno abbastanza a tutto tondo da segnalare questo problema e non venderlo o sfruttarlo.Tuttavia, è importante ricordare che non tutti sono così.C'è sicuramente un aspetto di rischio in questa soluzione
Senza maggiori dettagli sulle tue attività e una laurea in legge nel Regno Unito, è difficile esserne certi, ma potresti aver violato le leggi.Anche se non l'hai fatto, c'è una lunga storia di hacker dal cappello bianco che sono stati perseguiti.
@l1thal voterei il tuo commento se potessi.In un mondo ideale è vero, ma le persone tendono a "sparare al messaggero" quando si tratta di cose che non capiscono, e questo spesso include la sicurezza del computer.
@drewbenn Ecco perché dovresti dirlo a qualcuno del dipartimento IT della scuola.
Sono d'accordo @drewbenn.Questo è un consiglio molto rischioso.
Immagino di essere solo una persona rischiosa, ma andrò avanti e rivedrò il mio commento per avvisare che è rischioso.
@l1thal che presume anche che il reparto IT sia informato come dovrebbe essere.Il che purtroppo non è sempre il caso nei distretti scolastici.
@WorseDoughnut Questo è un buon punto.Grazie per tutto il tuo contributo, terrò a mente tutto questo nel caso qualcuno mi affronti per questo
Suggerisco di provare a farlo in modo anonimo, quindi negare completamente la conoscenza o il coinvolgimento se richiesto di persona
IMHO, se vuoi seguire la strada anonima, vai in piena regola, hardcore, anonimo.Usa code, fai un giro in un nuovissimo bar e usa il suo WiFi, assicurati di essere su Tor con il Tor Browser con le impostazioni di sicurezza più alte / più rigide e distruggi completamente le code USB una volta che hai finito.Datti quanta più distanza possibile tra te e l'e-mail anonima.Invia a un reparto.capo che non conosci troppo bene, o addirittura inviarlo a un capo / impiegato distrettuale o persino a un leader PTA (piuttosto che a qualcuno della tua scuola specifica che potrebbe facilmente individuarti).
D'accordo con @WorseDoughnut Se vai anonimo vai fino in fondo.Niente mezze misure.Inoltre, se fossi io, non direi proprio niente.Sono negli Stati Uniti e tendiamo ad accendere questo genere di cose in fiamme e versarci sopra un po 'di thermite quando mettiamo alla berlina le buone intenzioni.Conosco le condanne del Regno Unito e ciò che non è molto più leggero ma comunque .... convinzioni.La società ama saltare su e giù sulla percezione delle cattive intenzioni e qualsiasi trama contraria a quell'idea sembra tipicamente essere rimescolata e dimenticata.
Perché non puoi aggiustarlo da solo?Non devi dirlo a nessuno.
@sacreligious222 Trovare un buco è molto più facile che ripararlo.Riparare un buco * senza che nessuno si accorga che stai scherzando * aggiunge solo un altro livello di difficoltà.È come rimettere un biscotto nel barattolo dei biscotti;è difficile dimostrare che questo è il motivo per cui la tua mano è dentro.
È possibile inciampare in questa vulnerabilità "accidentalmente" durante un incarico o una lezione nel laboratorio informatico o è necessario uno sforzo attivo per sfruttarla?
Questa vulnerabilità non è stata trovata accidentalmente
Sembra che la negabilità plausibile sia il minimo indispensabile di ciò di cui hai bisogno.Se controllano i tuoi computer, è meglio che non ci siano tracce di nulla.(sovrascrivi 12x circa) Se presumeranno che sei tu, non significa che possano provarlo.Gli altri suggerimenti sono buoni, quindi non entrerò nei dettagli già trattati.Solo ... Non trattenere nulla di incriminante e non * dire * o ammetterlo.
Se qualcun altro ha già trovato e sta usando questa vulnerabilità, non sembra una prova decente che non sei l'unica persona possibile a scoprirla?Non suggerendo di passare attraverso un rapporto anonimo (gli standard di prova potrebbero comunque essere bassi), ma semplicemente di pubblicarlo.
Nove risposte:
user15392
2016-04-11 23:48:42 UTC
view on stackexchange narkive permalink

Se c'è un insegnante o un consulente di cui ti puoi fidare completamente , che sai che manterrà il tuo nome segreto anche se l'amministrazione scolastica inizia a minacciare di licenziare le persone, andrei prima da loro e parlare con loro in privato. Non hanno bisogno di capire i computer o la sicurezza (e non è necessario entrare nei dettagli della questione), devono solo essere affidabili e bravi a orientare la politica amministrativa nella scuola: hai bisogno di consigli sulle personalità delle persone coinvolte e su quanto sarebbe pericoloso per te segnalare il problema. Se sono del tutto diffidenti nei confronti delle segnalazioni, dovresti tacere.

Se qualcuno con abbastanza potere si imbarazza, potrebbe iniziare a cercare qualcuno da licenziare o espellere (o, nel peggiore dei casi, per hanno arrestato), per dare l'illusione di avere il controllo della situazione. Se sei amichevole e fidato dell'amministrazione e del dipartimento IT e sai che hanno supportato gli studenti in passato anche quando li faceva sembrare cattivi, potrebbe essere meno rischioso condividere il problema, ma lo consiglierei comunque passando attraverso un intermediario fidato.

Se non puoi parlare con qualcuno di cui ti fidi per mantenere il tuo nome anonimo e non puoi segnalare il problema in modo anonimo (e sembra che non puoi), è probabilmente è meglio per te tacere. E questo significa completamente silenzioso: non parlare di ciò che hai trovato nei forum, non dire ai tuoi amici cosa hai trovato e non riprovare tra qualche settimana "per vedere se è stato risolto:" non Non voglio apparire in alcun registro come avente qualcosa a che fare con questo, soprattutto se viene sfruttato da qualcun altro. Fa schifo, ma inizia proteggendoti.

Ottieni un +1 per aver suggerito di preoccuparti prima della propria sicurezza.
Se c'è un problema di sicurezza IT a scuola e l'OP frequenta la suddetta scuola, direi che c'è una chiara possibilità che tacere e lasciare che qualcuno malintenzionato sfrutti la vulnerabilità potrebbe facilmente essere dannoso anche per l'OP.
@Ben Forse dovrebbe essere segnalato al distretto scolastico (sovrintendente) o al dipartimento di polizia se l'OP ritiene che le proprie informazioni o la sicurezza siano a rischio
+1.Seguendo questo consiglio, nel peggiore dei casi sarebbe come se il PO non avesse mai riscontrato la vulnerabilità in primo luogo.
L'ho già fatto quando ho scoperto che la mia scuola era vulnerabile a qualcosa.Il mio insegnante ha chiamato con calma il banco di supporto e glielo ha detto.Entro 2-3 giorni il problema è stato risolto e mi è stato detto di ringraziarti, ma poi è stato gentilmente chiesto di non testarlo di nuovo.
Ho svalutato.Questa linea di condotta inizia con l'OP che dichiara apertamente (a un membro della facoltà che potrebbe non sapere nulla di IT) di aver violato la politica IT della scuola e di aver condotto un test di sicurezza non richiesto.Sembra avventato.
@Spotlight Gentilmente chiesto o "educatamente chiesto"?
@Richard non solo la politica IT della scuola, ma la legge britannica, punibile fino a sei mesi di carcere (accesso non autorizzato a un sistema informatico senza l'intenzione di commettere un altro crimine).
@Sebb Senza virgolette.
user15392
2016-04-12 01:32:45 UTC
view on stackexchange narkive permalink

Un altro pensiero mi ha colpito quando ho riletto la tua domanda (enfasi mia):

Come dovrei dire alla scuola che sono vulnerabili quando non mi è stato dato il permesso di controllare ?

Potresti ottenere l'autorizzazione? Una volta ottenuto il permesso, potresti "scoprire" il problema (senza dire a nessuno di averlo trovato prima) e segnalarlo senza preoccuparti di essere incolpato per hacking senza autorizzazione.

Sarebbe più facile se tu " Stai già frequentando un corso di informatica tenuto da un insegnante amichevole che lavorerebbe con l'IT per darti un credito extra per fare un Pen Test. Oppure, se sei amichevole con qualcuno nell'IT, potresti avvicinarti direttamente a loro e suggerire che sei interessato a studiare la sicurezza della rete e sperare di trovarti un lavoro un giorno, e potresti fare esperienza conducendo un Pen Test della rete locale . Se hai già la reputazione di essere bravo con i computer e la sicurezza e di essere affidabile, potresti avere buone possibilità di far funzionare questo approccio.

Ciò richiederà molto più lavoro della semplice segnalazione del problema , se hai intenzione di farlo bene. Dovrai testare molte più cose in modo da poter riciclare efficacemente la tua conoscenza del buco di sicurezza esistente (ovviamente potresti essere fortunato e trovare qualche problema in più!), E dovrai scrivere un rapporto che descriva in dettaglio tutto ciò che fatto, e perché, e cosa hai trovato. Potrebbero anche limitare l'ambito di ciò che puoi testare o darti un sistema di test che non esponga il problema che hai già trovato, il che significa che sarai bloccato a fare il lavoro e scrivere il rapporto senza essere in grado di rivelarlo il numero originale.

Ovviamente questo è un modo abbastanza "subdolo" per segnalare il problema. Se vieni rifiutato dovresti probabilmente tacere sul problema originale, perché se lo segnali o qualcun altro lo fa e viene ricondotto a te, le persone ricorderanno quando hai chiesto di condurre un Pen Test e inizieranno a fare domande su di te e quanto potresti essere affidabile. Quindi c'è qualche rischio in questo approccio.

Ho contrassegnato questo Wiki della comunità in modo che nessuno pensi che stia cercando di rubare una reputazione extra rispondendo due volte;le mie risposte erano approcci molto diversi e per il bene di OP penso che dovrebbero essere votate separatamente.
non ruberesti nessun rappresentante ma capisco il tuo punto.
"Ehi insegnante di informatica, ho letto su una rivista che potresti essere in grado di hackerare in questo modo, dovrei testare il nostro sistema? Confesso, ho già dato un'occhiata e penso che potremmo essere vulnerabili, ma ho bisogno del tuo permesso per provare questosu..."
Cosa succede se il reparto IT rifiuta la richiesta dell'OP ma decide di controllarla da solo e il nome dell'OP viene visualizzato nei log?(O altri dati riconducibili a OP)
Richard
2016-04-12 04:27:57 UTC
view on stackexchange narkive permalink

Come dovresti dirglielo? Non dovresti.

Diamo un'occhiata alle potenziali conseguenze qui. Dal momento che stavi frugando nella loro rete senza permesso (qualcosa che è quasi certamente in violazione del tuo contratto studentesco e del consenso su cui hai cliccato per accedere al loro sistema IT), il risultato migliore che puoi aspettarti è che lo faranno risolvi il problema e riceverai una piccola pacca sulla spalla.

D'altra parte, c'è almeno un ragionevole cambiamento che prenderanno la parte sbagliata del bastone, espellerti dalla scuola e può anche chiamare la polizia. Dal momento che ci sono stati altri casi di pirateria informatica, potrebbero saltare al presupposto che tu fossi in qualche modo coinvolto anche in quelli, aumentando le possibilità di conseguenze legali.

Per lo meno, e nonostante il tuo bene intenzioni che hai quasi certamente infranto la legge. Sebbene la scuola possa scegliere di ignorare questo aspetto, potrebbe anche non farlo.

Quando si soppesano i lati positivi e negativi, la scelta dovrebbe essere ovvia.

Non sono assolutamente d'accordo Indipendentemente dal modo in cui ottieni queste informazioni, dovresti esporre le informazioni all'amministratore di sistema una terza parte fidata che ha il potere di mettere in moto i cambiamenti necessari Sapere che qualcosa non va e non fare nulla al riguardo è lo stessocome aspettare che accada un possibile disastro.
@Squazz - Devo non essere d'accordo con te.Per lo meno ha quasi certamente [violato la politica IT della scuola] (https://www.techdirt.com/articles/20090731/0325265727.shtml).Qual è il vantaggio di rivelare?Vale la pena rischiare la sua carriera accademica per farsi una pacca sulla testa?
@Squazz - Sono anche ragionevolmente sicuro che l'OP sa che non dovrebbe fare nulla o non farebbe la domanda in primo luogo.Se non altro, il fatto che non gli sia stato ancora comunicato è quasi certamente un'ulteriore violazione della politica che immagino includa una clausola "le vulnerabilità che vengono scoperte dovrebbero essere notificate immediatamente al reparto IT".
non è sempre perché hai attivamente cercato di violare la sicurezza.Una volta ho frequentato una scuola in cui noi del corso di programmazione abbiamo scoperto una vulnerabilità nel server PHP che la nostra scuola ci aveva fornito per giocare con PHP.Abbiamo trovato la vulnerabilità per caso, non cercandola attivamente. Non so come OP abbia ottenuto la conoscenza che ha, ma penso che non importa come le informazioni siano state ottenute, dovrebbe rivelarle a personale fidato.Trasmettendo le informazioni in modo anonimo o meno, una vulnerabilità è una vulnerabilità che dovrebbe essere corretta.
@Squazz - Ancora una volta, devo essere in disaccordo con l'analogia.Nel tuo caso avevi una ragione giustificabile per cercare nel server.Nel caso dell'OP sembra solo essere un ficcanaso che ha usato il suo accesso privilegiato (interno) per condurre un pen-test non autorizzato
se fossi tu ad essere l'amministratore della rete, cosa preferiresti?Che uno studente (presumibilmente) con il cappello bianco ti parli della vulnerabilità, o che lo scopri quando è troppo tardi e la vulnerabilità è stata abusata per qualcosa di brutto? Nel mio mondo, la risposta è semplice, mi piacerebbesaperlo prima che sia troppo tardi
@Squazz - Se fossi l'amministratore, probabilmente inizierei partendo dal presupposto che l'OP fosse coinvolto nell'hacking originale.A seconda della precedente perdita di dati, probabilmente chiamerei la polizia per aggiornarli sul fatto che uno studente si è fatto avanti per confessare di aver frugato nella rete e che sebbene affermi di non essere coinvolto, sospettocercare di [guadagnare un po 'di gloria] (http://www.wsj.com/articles/SB121960882331467103) evidenziando un problema che potrebbe essere stato coinvolto nella causa.Per lo meno sospenderei immediatamente il suo accesso in attesa di un'indagine.
"la scuola può scegliere di ignorare questo aspetto, ma potrebbe anche non farlo": una cosa da esaminare è quanti bambini nel Regno Unito sono stati effettivamente perseguiti per crimini informatici, specialmente quelli in cui non è stato fatto alcun danno.Non lo so per certo ma mi aspetto che sia un numero piuttosto piccolo.L'incredibile probabilità è che l'interrogante non venga perseguito, ma sono d'accordo sul fatto che il piccolo rischio rimanente non possa essere completamente scontato.Se l'interrogante ha più di 18 anni e va ancora a scuola (quindi nell'ultimo anno), le probabilità potrebbero cambiare leggermente.
@SteveJessop - Facciamo un piccolo gioco chiamato "qual è il lato positivo / negativo".Se lo segnala, qual è la cosa migliore che potresti realisticamente immaginare che accada?Se lo segnala, qual è la cosa peggiore che potresti realisticamente immaginare che accada?Ora metti questi risultati su un'altalena.Quale lato poggia sul pavimento?
@Richard: e qual è il lato positivo / negativo di non segnalarlo?Il principale potenziale svantaggio è che è già stato registrato e alla fine viene scoperto quando scoprono il difetto e fanno il loro controllo.Lo scenario peggiore è lo stesso in entrambi i casi, è accusato di hackerarli, quindi dobbiamo anche considerare cosa è probabile.Ora, se l'interrogante avesse giocato "caso migliore / caso peggiore" prima di decidere di verificare se la vulnerabilità è presente in primo luogo, allora sarebbe facile dire solo di giocare con cautela e non fare nulla.
@SteveJessop - Questo è un buon punto, ma invitare apertamente a una discussione sulle sue azioni sembra molto più probabile che si ritorni contro di lui che immaginare che il loro team IT scoprirà mai il difetto.È molto più probabile che venga corretto ad un certo punto (al prossimo aggiornamento di sistema) con loro che non sono più saggi.
@Richard:, in definitiva, penso che dipenda da fattori che l'interrogante (probabilmente saggiamente) ha omesso, come esattamente cosa ha fatto per scoprire questa vulnerabilità e come è il suo rapporto con i suoi insegnanti.Se esegue uno script di rilevamento di shellshock ampiamente noto mentre è connesso a una macchina che gli è consentito utilizzare, allora si trova in un posto molto migliore rispetto a se eseguisse test di fuzz approfonditi sul loro sistema di gestione delle retribuzioni e trovasse un'iniezione SQL.Sì, se non ha motivo di pensare che la prenderanno bene, dovrebbe presumere che la prenderanno male.Semplicemente non lo arresteranno a meno che non ci siano danni.
Inoltre, a pensarci bene, ha già trovato vulnerabilità e gli insegnanti lo sanno.Quindi sa quale era la reazione prima e noi no.Se ciò che gli è stato detto prima è stato "grazie, è davvero utile, lo sistemeremo subito", allora si trova in una posizione molto migliore rispetto a se gli fosse stato detto "questo è il tuo primo e ultimo avvertimento, se fai qualcosa del generedi nuovo poi vieni espulso e informeremo la polizia ".Immagino che quello che è realmente accaduto fosse da qualche parte nel mezzo e meno chiaro, altrimenti non avrebbe avuto bisogno di fare questa domanda, ma dovrebbe aiutarlo a guidarlo.
Vortico
2016-04-12 08:39:25 UTC
view on stackexchange narkive permalink

"Signora, vorrei solo farle sapere che se inserisce una striscia di metallo nel catenaccio della porta del garage, può aprirla con poco sforzo."

Basta non rivelare. Molti di noi addetti alla sicurezza hanno trovato vulnerabilità nei sistemi informatici delle nostre università, ma non c'è nulla da guadagnare rivelandole. Lascia che qualcun altro lo trovi e lo divulga, ma non essere quello a rischio di accuse di rompere un sistema che non è il tuo. Ci sono molte storie nelle scuole in cui sono andato in cui il messaggero è stato punito per aver tentato di violare il sistema. Scommetto che è molto più probabile che tu venga punito rivelando la vulnerabilità invece di approfittarne tu stesso maliziosamente.

Se hai ragioni personali per cui il sistema non viene violato, contatta l'amministratore di sistema per chiedere la sicurezza del sistema in modo che i tuoi dati non vengano rubati personalmente. Poni domande specifiche sul difetto che hai scoperto nella speranza che l'amministratore trovi lo stesso difetto, ma non suggerire di aver tentato in precedenza di accedere al sistema.

Per quel che vale, l'interrogante è nel Regno Unito e qui non chiamiamo università "scuole".Fa comunque schifo essere espulso ovviamente, anche se è "solo" dal liceo.
Amani Kilumanga
2016-04-12 11:45:00 UTC
view on stackexchange narkive permalink

Utilizza il metodo socratico.

Esponi la vulnerabilità a chiunque sia responsabile della sicurezza con una serie di domande. Se, per motivi di sicurezza (o altro), non possono o non vogliono rispondere alle tue domande, proponi situazioni ipotetiche e chiedi informazioni.

PyRulez
2016-04-12 07:19:10 UTC
view on stackexchange narkive permalink

Puoi rivelare la vulnerabilità in modo ammissibile?

Hai riscontrato un problema in un modo che apparentemente non è consentito. Puoi presentare il problema in un modo in cui hai il permesso? In tal caso, provare potrebbe essere una buona idea. Potrebbe non essere nemmeno la vulnerabilità originale, ma un bug che, quando viene analizzato o corretto, rivela la vulnerabilità.

Ad esempio, forse la vulnerabilità è che le password non sono sottoposte ad hashing. L'hai scoperto entrando nei server della scuola. Invece di dire loro che sei entrato nei server della scuola, scarica un'estensione del browser che controlla se le password vengono trasmesse come testo normale (che può essere visto come un modo per proteggere la tua sicurezza in un modo ragionevole e non ficcanaso) e la scuola che il loro sito sta causando bandiere rosse sul tuo laptop e che sei preoccupato per la tua sicurezza. Il bello è che è molto più sicuro e giustificabile dire alle persone fuori dalla scuola se risolvono il problema in un lasso di tempo ragionevole.

Un vantaggio di questa tecnica è che molto probabilmente non devi mentire.

Probabilmente è meglio assicurarsi che non si rendano conto del modo originale in cui hai scoperto la vulnerabilità, anche se lo risolvono, per timore che liberino i poteri del governo contro di te. (Il tuo spionaggio è registrato in qualche registro, ad esempio?)

S.E. Foulk
2016-04-12 09:42:36 UTC
view on stackexchange narkive permalink

Dillo loro in modo anonimo, citando tutto ciò che hai fatto, ad esempio i test di penetrazione, i risultati, ecc. in modo che possano verificarlo da soli (o assumere qualcuno). Assicurati che il messaggio venga inviato a tutti coloro che hanno l'autorità per approfondire il problema.

L'OP ha già menzionato il problema dell'anonimato.
Rok
2016-04-12 17:02:10 UTC
view on stackexchange narkive permalink

Come suggerito da drewbenn nella seconda risposta, ma per dirla in un modo leggermente diverso, dove drewbenn ha detto che puoi chiedere il permesso, sto dicendo che puoi anche "suggerire un controllo di sicurezza o esortarli a farlo, con o senza il tuo aiuto "con un motivo come" Faccio X o mi impegno in comunità X online, e ci sono state segnalazioni o chiacchiere su scuole che sono state violate nel nostro stato / città e qualcuno se ne vantava ". Quindi pensi che "dovremmo controllare se la nostra scuola è stata presa di mira da questo in qualsiasi momento di recente".

Paul Smith
2016-04-12 17:08:47 UTC
view on stackexchange narkive permalink

Non avresti dovuto essere lì, quindi non importa cosa hai trovato, al momento hai torto. Fino a quando non ottieni il permesso di guardare, devi stare zitto e sperare che non abbiano rilevato la tua presenza.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...