¿Debo hacer un seguimiento de las vulnerabilidades que se divulgaron hace más de un año pero no se han corregido?

8

Background:

Hace unos años, pregunté a esta pregunta sobre la revelación de vulnerabilidades algo serias encontradas en la red de computadoras de mi escuela secundaria.

Más de dos años después, se informó al director (al escuchar a otros estudiantes que hablan) que se rumoreaba que era un "pirata informático" y me llamó a su oficina para preguntar por una actividad de red sospechosa (no relacionada). El asistente del superintendente y dos del personal de TI del distrito estuvieron presentes en esta reunión. Al malinterpretar la situación, asumí que estaban al tanto de lo que sabía y explicé los problemas que había encontrado:

  • La contraseña del administrador de red es accesible para todos los usuarios y se encuentra en un archivo de texto sin formato en cada computadora
  • Todas las computadoras tienen una cuenta de administrador local que no requiere contraseña para iniciar sesión
  • Se puede acceder a las cámaras de seguridad en todo el edificio desde la red cableada e inalámbrica, y pueden transmitirse en vivo, girarse, configurarse para detener la grabación, deshabilitarse o interceptarse; las transmisiones no están encriptadas y los paneles de control de la cámara basados en la web usan las credenciales predeterminadas (o ninguna)
  • El inicio de sesión basado en la web para la red inalámbrica (de lo contrario sin contraseña) se puede eludir de manera trivial, lo que permite que cualquiera pueda acceder a ella sin autenticarse como estudiante
  • El sistema de filtrado de contenido y bloqueo de sitios web puede ser burlado trivialmente

También expliqué que había encontrado los problemas varios años antes y que no los había publicado ni informado por temor a las consecuencias. Creo que mi inesperada revelación de varias vulnerabilidades importantes tomó al prinicpal por sorpresa, y dijo que no me suspenderían ni me expulsarían si detenía toda "exploración" de la red y dejaba de pasar por alto el sistema de filtrado de contenido de la escuela. También creo que podría haber avergonzado un poco a los chicos de informática de la sala; me explicaron que no habrían sabido nada de mis actividades si no les hubiera dicho.

Desde entonces me gradué, pero justo antes de graduarme (aproximadamente un año después de mi conversación con el director de la escuela) quería comprobar si los problemas que había encontrado estaban solucionados, a pesar de que se me había indicado explícitamente que no lo hiciera. Ni uno solo fue. Me gradué, pero todavía tomo estos temas muy en serio. Creo que las vulnerabilidades que encontré representan un gran riesgo para la seguridad y la seguridad de los miles de estudiantes del distrito escolar. Esto es especialmente cierto si las vulnerabilidades se usan en combinación, ya que cualquiera puede, por ejemplo, acceder a la red inalámbrica (y por lo tanto a las cámaras) sin autenticación desde fuera del edificio.

Pregunta :

Me pregunto cuál es el mejor curso de acción, teniendo en cuenta que desobedecí directamente las instrucciones explícitas de mi director, que los niveles se conocen en múltiples niveles de la administración del distrito y el personal de TI, y que han estado al tanto de ellos durante un tiempo. Año completo. Ahora también se conoce mi identidad, lo que significa que si recuperara estos problemas, sería difícil hacerlo de forma anónima. Con esos factores en mente, mis preguntas son las siguientes:

  • ¿Cuáles son las posibles consecuencias de seguir con esto? ¿Son diferentes ahora que ya no soy un estudiante?
  • ¿Cómo puedo hacer mi mejor esfuerzo para asegurarme de que estos problemas se resuelvan sin tener que recurrir a hablar con la prensa como sugiere here o demandar como se sugiere here ?
  • A pesar de la gravedad de estos problemas, ¿vale la pena seguir con esto o básicamente he hecho todo lo que puedo?
pregunta Anonymous 10.08.2017 - 21:47
fuente

1 respuesta

4

No seguiría con esto.

Para resumir: Usted buscó de forma activa y extensa las vulnerabilidades en su red (probablemente ilegal, dependiendo de su ubicación). Usted admitió haber hecho esto y, afortunadamente, no fue castigado, pero le dijo que no lo volviera a hacer. Y luego lo hiciste de nuevo.

Su primera exploración puede explicarse por la ignorancia juvenil de las leyes y las reglas de la escuela (y tal vez podrían haber sido excusas al descubrir "accidentalmente" estos problemas durante la actividad normal), pero la segunda no puede (es principalmente un problema legal, pero hacer algo con cosas que no posee contra la voluntad expresada de la persona responsable de esto no es ético en muchos casos también, incluso esto es cierto cuando se considera que la escuela también está actuando de manera no ética al no arreglar problemas serios de manera oportuna. ).

Lo que deberías haber hecho

Esto no es útil ahora, pero si se encuentra en una situación similar en el futuro: pregunte.

La escuela podría haber estado encantada de permitirte volver a revisar estos problemas. O podrían no haberlo sido. Pero la única forma de saber es preguntar.

Si desea asegurarse de que los problemas se solucionen, podría haber ofrecido ayuda para solucionarlos; sugiriendo posibles soluciones, ofreciendo volver a verificar sus soluciones o ayudando realmente a implementar estas soluciones (esto podría haber tenido lugar en forma de actividades extracurriculares que incluso podrían haber sido mencionadas en un currículum vitae o en una solicitud para la universidad).

Qué hacer ahora

No veo una manera de perseguir esto sin meterme en problemas.

IANAL, pero acudir a la prensa, demandar o simplemente decir que sabe que los sistemas aún son vulnerables podría muy bien provocar problemas legales.

Si realmente lo desea, el mejor enfoque aún podría ser ponerse en contacto con ellos y preguntarles si pudieron solucionar los problemas, y si les gustaría que los revise nuevamente o si les gustaría su ayuda para solucionarlos. a ellos (de forma gratuita; cualquier otra cosa también podría causarle problemas legales). Si hace esto, no mencione que ya lo volvió a verificar sin permiso (y espere que no tengan ningún monitoreo implementado que pueda revelar su actividad anterior).

    
respondido por el tim 10.08.2017 - 22:31
fuente

Lea otras preguntas en las etiquetas