Como estudiante, ¿cómo puedo divulgar de manera segura y responsable un problema de seguridad grave en un entorno escolar?

25

Soy un estudiante en mi escuela local.

Hace aproximadamente ocho meses, tropecé en un agujero de seguridad que podría permitir a cualquier usuario descubrir la identificación del estudiante de cualquier en todo el distrito, y soy consciente de que el departamento de TI tiene la tendencia de mantener las identificaciones de los estudiantes lo más confidenciales posible, ya que la identificación es el único identificador único vinculado a un estudiante.

Cuando encontré el problema originalmente, mi profesor de ciencias de la computación me sugirió que no hiciera nada y que no lo denunciara a nadie. Sin embargo, pasaron ocho meses, el departamento de TI no ha hecho nada para solucionar este problema.

Finalmente he reunido el valor para revelar de manera responsable el problema de seguridad a la gerencia. La razón por la que temí informar es que debo hacerlo con mucho cuidado, ya que un paso en falso podría aterrizar en aguas calientes y posiblemente suspendido por "pirateo". Y en este punto, no tengo idea de quién más ha encontrado este exploit que no sea yo mismo.

De nuevo, no estaba buscando activamente agujeros de seguridad; más bien, simplemente me topé con uno.

¿Cuál es el mejor curso de acción para llevar a cabo la divulgación responsable del problema de seguridad al tiempo que minimiza el riesgo de ser castigado por ello?

    
pregunta oldmud0 12.09.2015 - 05:13
fuente

4 respuestas

18

Tengo muchos años de experiencia trabajando dentro de un equipo de TIC de la universidad. Esto es lo que recomendaría basado en mi experiencia.

No acudiría a la gerencia, a ellos no les importará o un gerente no técnico reaccionará de manera exagerada y tomará el problema como una misión personal. Además, si le preocupa que lo acusen de 'piratear', lo más probable es que la dirección no técnica lo haga.

Recomendaría documentar la falla de seguridad y enviarla a la mesa de servicio de ICT.

Si no tiene acceso a la mesa de servicio como estudiante, envíe un correo electrónico directamente o simplemente abra la puerta de la oficina y explíquele la situación y ellos le aconsejarán cómo proceder. (Chapear la puerta es probablemente la mejor opción) Probablemente solo levantarán un ticket para que un técnico pueda ver el problema, pasará por los procedimientos de escalamiento desde allí.

No se preocupe por plantearles este problema, incluso si resulta que no es nada, la mayoría de los equipos estarán felices por el informe proactivo de este tipo de fallas. Por experiencia, puedo decir que la mayoría en el mundo académico, ya sea que el personal de apoyo o el personal académico solo presenten fallas con las TIC cuando les afecta personalmente.

He descubierto fallas en el pasado, solo para que un miembro del personal me diga que la falla en cuestión ha estado ahí por meses. Mi respuesta siempre fue la misma: "Bueno, ¿por qué no subiste un ticket con ICT para solucionarlo?"

    
respondido por el TheJulyPlot 12.09.2015 - 10:01
fuente
9

No plantee el tema como estudiante. Sus preocupaciones son válidas: las escuelas generalmente perciben a los estudiantes como niños cuyas acciones son inútiles en el mejor de los casos y maliciosas en el peor. En el mejor de los casos, serás ignorado, en el peor de los casos, dispararán al mensajero y te disciplinarán por piratear. Incluso podrían culparlo por cualquier abuso no resuelto de las identificaciones de estudiantes en el pasado.

Te recomendaría plantear el problema a través de tus padres. La gestión escolar suele ser mucho más cooperativa cuando es abordada por adultos. Un "solucionador de problemas o hablo con la prensa" a menudo funciona bien.

    
respondido por el Philipp 12.09.2015 - 11:51
fuente
6

Encuentre un abogado para divulgarlo por usted. Ellos están obligados a mantener su identidad confidencial. Tal vez puedas encontrar uno que esté dispuesto a hacer esto gratis. O tal vez tus padres saben de uno.

    
respondido por el Skaperen 12.09.2015 - 15:16
fuente
1

Estoy de acuerdo con TheJulyPlot que los problemas de seguridad se deben llevar al equipo de IRT / CSIRT / SOC / CERT responsable de la seguridad del sitio web. Una escuela pequeña puede no tener una posición específica, mientras que una university ciertamente lo hará.

El objetivo es que estas personas sean (a) técnicamente competentes para comprender lo que está informando y (b) consciente de que en realidad está ayudando , al tiempo que puede enrutarlas a otras personas. destinatario exacto si es necesario (por ejemplo, un equipo de desarrollo independiente debe corregir el error real).

Si no sabe cuál es el equipo que maneja los problemas de seguridad en su institución o cómo comunicarse con ellos, puede subir un nivel: comuníquese con el CERT nacional o, para una universidad, un CERT para la red de investigación a la que pertenece .

Por ejemplo, dependiendo de dónde se base usted (y la entidad), puede notificar en los EE. UU. el US-CERT , en el Reino Unido JANET CSIRT , en España INCIBE-CERT , en Kazajstán, KazAcad CSIRT ...

No hay una guía completa de equipos, pero generalmente puede buscar el CSIRT más relevante para su caso en FIRST o -para European CERTs- Introductor de confianza .

Tenga en cuenta que cada uno tendrá su propia circunscripción. Un CERT nacional para su país puede manejar el informe redirigiéndolo a la Universidad si es necesario, pero el CSIRT para una empresa privada que no tenga ninguna relación puede descartarlo.

En (casi?) todos los casos, es posible enviar un informe del incidente por correo electrónico (si no encuentra uno en la lista, busque la sección RFC 2350). Lo que significa que, para un nivel básico de anonimato, simplemente puede crear una nueva cuenta de freemail y usarla para enviar su informe de incidente. De hecho, incluso podría omitir la creación de un nuevo correo electrónico y enviarlo desde su dirección de correo electrónico habitual (también puede mencionar en el informe que prefiere no permanecer en el anonimato). Si no cometiste ningún delito, es poco probable que a alguien le importe quién eres realmente. En lugar de "enviar y olvidar", le recomiendo que revise ese correo electrónico (pídales una actualización si es necesario). Es posible que simplemente se le agradezca y le informe que lo manejarán de ahora en adelante, pero también pueden solicitarle más información o pedirle que lo envíe a un equipo diferente.

También te recomiendo que lo reportes tan pronto como puedas después del descubrimiento para minimizar el potencial de contraproducente. La gente equivocada podría asumir que lo que hayas descubierto, lo habrás abusado y eres un hacker malvado, sin importar lo tonto que sea la vulnerabilidad real. Sin embargo, al actuar de inmediato para solucionarlo (¡y en realidad no haber abusado de él!). Probablemente hay algunos registros que podrían ser revisados. Si descubren que probó la vulnerabilidad (incluso si les lleva meses encontrarla por sí mismos), lo hizo hace 1 hora antes de que recibieran un informe. Los correos electrónicos representan una imagen muy diferente a la de darse cuenta de que lo descubrió hace 6 meses. . Incluso si su comunicación por alguna razón no llegó a ellos (suponga que su buzón de abuso estaba lleno), el registro en sí mismo en el proveedor de correo electrónico (es decir, el correo enviado) que revela la vulnerabilidad será útil, en caso de que lo necesite. .

    
respondido por el Ángel 13.12.2018 - 02:13
fuente

Lea otras preguntas en las etiquetas