pregunta ética sobre datos confidenciales accesibles en la escuela [duplicar]

Navega tus respuestas
8

Salte al quinto párrafo de la pregunta real, antes de eso hay algunos antecedentes.

Soy un estudiante de secundaria con un interés en computadoras y pruebas de penetración. Dadas las restricciones impuestas al acceso de nivel de estudiante en las computadoras de mi escuela, a menudo intento una escalada de privilegios para obtener un acceso más completo a los recursos que necesito (a veces relacionados con la escuela, pero no obstante restringidos). Aunque hago ese tipo de cosas con bastante frecuencia, nunca espero un gran éxito.

Hace un tiempo, me sorprendió descubrir una cuenta de administrador local sin contraseña, pero eso no proporcionaba acceso a nada a lo que ya no podía acceder, con la excepción de la unidad C: \ y herramientas como la Tarea Administrador y símbolo del sistema. En otras palabras: estaba lejos de ser un gran descubrimiento para mí.

Más recientemente, me topé con un tutorial de escalada de privilegios / postexplotación de seguridad difusa ( aquí ) que mencioné buscando datos confidenciales en archivos de configuración dejados por la configuración de escritorio automatizada. Sé por un poco de búsqueda que las 513 computadoras en la red de escuelas se han configurado de esta manera. Todavía me sorprendió encontrar la contraseña de administrador de red en texto sin formato en C: \ sysprep \ unattend.xml.

Desde que lo encontré, he investigado más a fondo qué se puede hacer. Las cosas que he encontrado van desde el acceso a todos los archivos de alumnos y maestros (que, en algunos casos, incluyen exámenes y claves de examen) hasta la conexión remota con el servidor de la escuela y el servidor del distrito para agregar usuarios como estudiantes, maestros, administradores y personal, y modifique los archivos de inicio de sesión de dichos usuarios para que ejecuten programas maliciosos cuando inicien sesión. Gran parte de esto lo he investigado, pero no he probado por temor a ser atrapado.

Mi pregunta es si debo informar o no al personal técnico de la escuela antes de que alguien que lo maltrate lo encuentre, y si es así, cómo hacerlo de una manera que no resulte en mi castigo. Mi preocupación es que si lo informo, la evidencia de mis exploraciones de las capacidades de administración de red les parecerá maliciosa. Quiero hacer lo correcto, pero preferiría no meterme en problemas si eso es lo que sucedería como resultado.

    
pregunta Anonymous 27.05.2014 - 00:09
fuente

2 respuestas

9

A pesar de que tus intenciones son buenas, las escuelas y las universidades son famosas por ser pesadas con este tipo de cosas. Es posible que quieran echarte por (a) violar la política de la escuela y (b) hacer que se vean como idiotas.

Mi consejo sería detallar los problemas que encontró en una carta anónima, explicar muy claramente que no está intentando ser malicioso o atacar la red, y solo quiere que ellos sepan sobre el problema para que puedan solucionarlo. eso. Explique que está escribiendo de forma anónima porque su educación es valiosa para usted, y le preocupa la cantidad de casos en que las escuelas toman las cosas de manera incorrecta, y prefiere no formar parte de esa estadística. Coloque la carta en un buzón de correo, dirigida al director de la escuela, en la dirección de la escuela.

El opsec habitual se aplica aquí: no le digas a nadie lo que estás haciendo, no alardes de ello a tus amigos, no incluyas ningún detalle que pueda identificarte (por ejemplo, tu año o cualquier tema que estudies), y no escriba la carta a mano (imprímala!).

    
respondido por el Polynomial 27.05.2014 - 00:45
fuente
6

Contra Position

Deseo tomar la posición de Devils Advocate aquí.

Su educación / futuro es mucho más importante para usted que la seguridad de la red de escuelas.

Debe tener el punto de vista de que NADA puede salir de usted al mencionar este problema.

Considere los siguientes escenarios:

  1. La escuela investiga este problema.

    • Usted se convierte en el principal sospechoso (porque nadie más conoce las computadoras como usted).
    • Traen a un investigador forense y encuentran un lugar donde no has cubierto tus pistas (¿qué pasa con la correlación de CCTV)?
    • Incluso tus aliados maestros no pueden ayudarte, ya que se vuelve demasiado político.
    • Lo condenan y lo culpan por el costo de la investigación.

  2. La escuela te ignora.

    • No sucede nada hasta que se queje más fuerte (vea el escenario 1)
respondido por el Andrew Russell 27.05.2014 - 06:47
fuente

Lea otras preguntas en las etiquetas

¿Cómo mantienen las aplicaciones móviles sesiones tan largas mientras aún se consideran seguras? ¿Es seguro montar Veracrypt sin sudo password de esta manera?