Background:
Hace unos años, pregunté a esta pregunta sobre la revelación de vulnerabilidades algo serias encontradas en la red de computadoras de mi escuela secundaria.
Más de dos años después, se informó al director (al escuchar a otros estudiantes que hablan) que se rumoreaba que era un "pirata informático" y me llamó a su oficina para preguntar por una actividad de red sospechosa (no relacionada). El asistente del superintendente y dos del personal de TI del distrito estuvieron presentes en esta reunión. Al malinterpretar la situación, asumí que estaban al tanto de lo que sabía y explicé los problemas que había encontrado:
- La contraseña del administrador de red es accesible para todos los usuarios y se encuentra en un archivo de texto sin formato en cada computadora
- Todas las computadoras tienen una cuenta de administrador local que no requiere contraseña para iniciar sesión
- Se puede acceder a las cámaras de seguridad en todo el edificio desde la red cableada e inalámbrica, y pueden transmitirse en vivo, girarse, configurarse para detener la grabación, deshabilitarse o interceptarse; las transmisiones no están encriptadas y los paneles de control de la cámara basados en la web usan las credenciales predeterminadas (o ninguna)
- El inicio de sesión basado en la web para la red inalámbrica (de lo contrario sin contraseña) se puede eludir de manera trivial, lo que permite que cualquiera pueda acceder a ella sin autenticarse como estudiante
- El sistema de filtrado de contenido y bloqueo de sitios web puede ser burlado trivialmente
También expliqué que había encontrado los problemas varios años antes y que no los había publicado ni informado por temor a las consecuencias. Creo que mi inesperada revelación de varias vulnerabilidades importantes tomó al prinicpal por sorpresa, y dijo que no me suspenderían ni me expulsarían si detenía toda "exploración" de la red y dejaba de pasar por alto el sistema de filtrado de contenido de la escuela. También creo que podría haber avergonzado un poco a los chicos de informática de la sala; me explicaron que no habrían sabido nada de mis actividades si no les hubiera dicho.
Desde entonces me gradué, pero justo antes de graduarme (aproximadamente un año después de mi conversación con el director de la escuela) quería comprobar si los problemas que había encontrado estaban solucionados, a pesar de que se me había indicado explícitamente que no lo hiciera. Ni uno solo fue. Me gradué, pero todavía tomo estos temas muy en serio. Creo que las vulnerabilidades que encontré representan un gran riesgo para la seguridad y la seguridad de los miles de estudiantes del distrito escolar. Esto es especialmente cierto si las vulnerabilidades se usan en combinación, ya que cualquiera puede, por ejemplo, acceder a la red inalámbrica (y por lo tanto a las cámaras) sin autenticación desde fuera del edificio.
Pregunta :
Me pregunto cuál es el mejor curso de acción, teniendo en cuenta que desobedecí directamente las instrucciones explícitas de mi director, que los niveles se conocen en múltiples niveles de la administración del distrito y el personal de TI, y que han estado al tanto de ellos durante un tiempo. Año completo. Ahora también se conoce mi identidad, lo que significa que si recuperara estos problemas, sería difícil hacerlo de forma anónima. Con esos factores en mente, mis preguntas son las siguientes:
- ¿Cuáles son las posibles consecuencias de seguir con esto? ¿Son diferentes ahora que ya no soy un estudiante?
- ¿Cómo puedo hacer mi mejor esfuerzo para asegurarme de que estos problemas se resuelvan sin tener que recurrir a hablar con la prensa como sugiere here o demandar como se sugiere here ?
- A pesar de la gravedad de estos problemas, ¿vale la pena seguir con esto o básicamente he hecho todo lo que puedo?