¿Cómo debo decirle a la escuela que son vulnerables cuando no me dieron permiso para revisar? [duplicar]

53

Me gustaría informar las debilidades de seguridad a mi escuela en el Reino Unido. Me las arreglé para encontrar puntos débiles de seguridad sin ninguna vulnerabilidad u otro software o hardware.

He visto similar question sin embargo, el problema es que es muy probable que descubra que era yo, incluso si usaría un correo electrónico anónimo, como se sugiere en esta pregunta, ya que el departamento de TI sabe que tengo mucho conocimiento sobre programación de computadoras, redes, seguridad y es (posiblemente) más alto que el de cualquier otro, así que asumo que me llamarán de inmediato. Los maestros también tienen conocimiento de que encontré otras debilidades de seguridad que no afectaron la política escolar, por lo que no tuve ningún problema con esto. Además, las debilidades de seguridad requieren acceso físico, por lo que no puedo mentir que se hizo de forma remota

Otra respuesta mencionada en la pregunta ya mencionada, dijo que simplemente la ignorara, sin embargo, descubrí que una de sus computadoras había sido pirateada por otra persona, y para saber cómo descubrí esto tendría que mencionar las debilidades de seguridad, o sugerir que estaba intentando piratearlos.

    
pregunta vakus 11.04.2016 - 19:56
fuente

9 respuestas

77

Si hay un maestro o consejero en el que puedes confiar completamente , que sabes que mantendrá tu nombre en secreto, incluso si la administración de la escuela comienza a amenazar con despedir a las personas, yo les diré primero. Habla con ellos en privado. No necesitan entender las computadoras ni la seguridad (y no es necesario entrar en detalles sobre el tema), solo tienen que ser confiables y ser buenos para navegar las políticas administrativas en la escuela: Necesita asesoramiento sobre las personalidades de las personas involucradas y lo peligroso que sería para usted informar el problema. Si no les importa informar, entonces debes guardar silencio.

Si alguien con suficiente poder se avergüenza, podría comenzar a buscar a alguien para despedir o expulsar (o, en el peor de los casos, haber arrestado), para dar la ilusión de que están en control de la situación. Si el gobierno y el departamento de TI son amigables y confiables, y sabe que han apoyado a los estudiantes en el pasado incluso cuando los hizo lucir mal, puede ser menos riesgoso compartir el problema, pero aún así lo recomendaría pasando por un intermediario de confianza.

Si no puede hablar con alguien de confianza para mantener su nombre en el anonimato y no puede informar el problema de forma anónima (y parece que no puede), probablemente sea mejor para usted para guardar silencio. Y eso significa completamente tranquilo: no hables sobre lo que encontraste en los foros, no les digas a tus amigos lo que encontraste y no lo intentes de nuevo en unas pocas semanas "para ver si se solucionó:" don No quiero aparecer en ningún registro que tenga algo que ver con esto, especialmente si es explotado por otra persona. Apesta, pero comienza por protegerte.

    
respondido por el drewbenn 11.04.2016 - 20:48
fuente
57

Otro pensamiento me impactó cuando releí tu pregunta (énfasis mío):

  

¿Cómo debo decirle a la escuela que son vulnerables cuando no me dieron?   permiso para verificar ?

¿Podría obtener el permiso? Una vez que tenga permiso, podría "descubrir" el problema (sin decirle a nadie que lo había encontrado antes) e informarlo sin preocuparse de que se le culpe por piratear sin permiso.

Sería más fácil si ya está tomando una clase de computación impartida por un profesor amigable que trabajaría con TI para otorgarle una asignación de crédito adicional para realizar una prueba de la pluma. O si es amigable con cualquier persona en TI, puede acercarse a ellos directamente y sugerirle que está interesado en estudiar seguridad de la red y esperar obtener un trabajo en ella algún día, y podría obtener algo de experiencia al realizar una prueba de la red local. . Si ya tiene la reputación de ser bueno con las computadoras y la seguridad, y ser confiable, puede tener una buena oportunidad de lograr que este enfoque funcione.

Esto requerirá mucho más trabajo que simplemente informar el problema, si lo va a hacer bien. Tendrá que probar muchas más cosas para poder lavar efectivamente su conocimiento del agujero de seguridad existente (¡por supuesto que podría tener suerte y encontrar más problemas!), Y tendrá que redactar un informe que detalle todo lo que necesita. Hiciste, y por qué, y lo que encontraste. También pueden restringir el alcance de lo que se le permite probar o darle un sistema de prueba que no expone el problema que ya encontró, lo que significa que se quedará atascado haciendo el trabajo y escribiendo el informe sin poder divulgarlo. la edición original.

Por supuesto, esta es una forma bastante "astuta" de informar el problema. Si te rechazan, probablemente deberías guardar silencio sobre el problema original, porque si lo denuncias o alguien más lo hace y te lo contamos, la gente recordará cuándo pediste realizar una prueba de la pluma y empezar a hacer preguntas sobre ti y que tan confiable puede ser Por lo tanto, existe un riesgo para este enfoque.

    
respondido por el drewbenn 11.04.2016 - 22:32
fuente
7

¿Cómo se les dice? No deberías.

Veamos las posibles consecuencias aquí. Ya que estaba hurgando en su red sin permiso (algo que casi con certeza viola su acuerdo de estudiante y el consentimiento que hizo clic para obtener acceso a su sistema de TI) el mejor resultado que puede esperar es que arregla el problema y obtendrás una pequeña palmadita en la espalda.

Por otro lado, hay al menos un cambio razonable de que obtendrán el extremo equivocado de la palanca, lo expulsarán de la escuela e incluso podrán llamar a la policía. Dado que ha habido otros casos de piratería, pueden suponer que usted también estuvo involucrado con ellos, lo que aumenta las posibilidades de consecuencias legales.

Por lo menos, y a pesar de tus buenas intenciones, es casi seguro que haya infringido la ley . Si bien la escuela puede optar por pasar por alto esto, también podrían no hacerlo.

Cuando se pesa el lado positivo contra el lado negativo, la elección debería ser obvia.

    
respondido por el Richard 12.04.2016 - 01:27
fuente
4

"Señora, me gustaría hacerle saber que si desliza una tira de metal en el cerrojo de la puerta de su garaje, puede abrirla con poco esfuerzo".

Simplemente no reveles. Muchos de nosotros, la gente de seguridad, hemos encontrado vulnerabilidades en los sistemas informáticos de nuestras universidades, pero no se gana nada con su divulgación. Deje que alguien más lo encuentre y lo divulgue, pero no corra el riesgo de que se le acusen de romper un sistema que no es suyo. Hay muchas historias en las escuelas a las que he ido en las que el mensajero fue castigado por intentar romper el sistema. Apostaría a que es mucho más probable que sea castigado si revela la vulnerabilidad en lugar de aprovecharse maliciosamente usted mismo.

Si tiene una razón personal para que no se infrinja el sistema, comuníquese con el administrador del sistema para cuestionar la seguridad del sistema para que sus datos no sean robados personalmente. Haga preguntas específicas a la falla que descubrió con la esperanza de que el administrador encuentre la misma falla, pero no sugiera que haya intentado acceder al sistema anteriormente.

    
respondido por el Vortico 12.04.2016 - 05:39
fuente
4

Utilice el método socrático .

Exponga la vulnerabilidad a quien esté a cargo de la seguridad como una serie de preguntas. Si, por razones de seguridad (o lo que sea), no pueden o no quieren responder a sus preguntas, propongan situaciones hipotéticas y pregunten sobre ellas.

    
respondido por el Amani Kilumanga 12.04.2016 - 08:45
fuente
1

¿Puede revelar la vulnerabilidad de una manera permisible?

Encontraste el problema de una manera que aparentemente no está permitida. ¿Puede presentar el problema de una manera que tenga permiso? Si es así, intentarlo podría ser una buena idea. Puede que ni siquiera sea la vulnerabilidad original, sino un error que, al ser investigado o corregido, revela la vulnerabilidad.

Por ejemplo, tal vez la vulnerabilidad es que las contraseñas no están ocultas. Usted descubrió esto al entrar en los servidores de la escuela. En lugar de decirles que ingresó a los servidores de la escuela, descargue una extensión del navegador que verifique si las contraseñas se transmiten como texto sin formato (lo que puede verse como una forma de proteger su propia seguridad de una manera razonable y no curiosa), y avisar La escuela indica que su sitio está causando señales de advertencia en su computadora portátil y que le preocupa su propia seguridad. Lo bueno de esto es que es mucho más seguro y justificable decirle a las personas que están fuera de la escuela si lo arreglan en un tiempo razonable.

Una ventaja de esta técnica es que no es necesario que mientas.

Probablemente sea mejor asegurarse de que no se den cuenta de la forma original en que se enteró de la vulnerabilidad, incluso si la solucionan, para no desatar los poderes del gobierno en su contra. (¿Su registro está registrado en algún registro, por ejemplo?)

    
respondido por el PyRulez 12.04.2016 - 04:19
fuente
0

Dígales de forma anónima, citando todo lo que hizo, por ejemplo, las pruebas de penetración, los resultados, etc. para que puedan comprobarlo por sí mismos (o contratar a alguien). Asegúrese de que el mensaje se envíe a todas las personas que tengan la autoridad para profundizar en el (los) tema (s).

    
respondido por el S.E. Foulk 12.04.2016 - 06:42
fuente
0

Como señaló drawbenn en su segunda respuesta, pero para expresarlo de una forma ligeramente diferente, en que drawbenn dijo que puede pedir permiso, le digo que también puede "sugerir un control de seguridad o instarlos a que lo hagan, con o sin su ayuda "por una razón como" Hago X o me involucro en X comunidades en línea, y ha habido informes o charlas sobre escuelas que han sido pirateadas en nuestro estado / ciudad, y alguien se jactó de ello ". Debería comprobar si nuestra escuela fue objeto de esto en algún momento recientemente ".

    
respondido por el Rok 12.04.2016 - 14:02
fuente
0

No deberías haber estado allí, así que no importa lo que hayas encontrado, actualmente estás equivocado. Hasta que obtengas permiso para mirar, debes mantenerte tranquilo y esperar que no hayan detectado tu presencia.

    
respondido por el Paul Smith 12.04.2016 - 14:08
fuente

Lea otras preguntas en las etiquetas