Se c'è un insegnante o un consulente di cui ti puoi fidare completamente , saprai che manterrà il tuo nome segreto anche se l'amministrazione scolastica inizia a minacciare di licenziare le persone, prima andrei da loro e parla con loro in privato. Non hanno bisogno di capire i computer o la sicurezza (e non è necessario entrare nei dettagli del problema), devono solo essere affidabili e bravi a navigare nella politica dell'amministrazione nella scuola: hai bisogno di consigli sulle personalità delle persone coinvolte e su quanto sarebbe pericoloso per te segnalare il problema. Se sono diffidenti nei rapporti, allora dovresti stare zitto.

Se qualcuno con sufficiente potere viene messo in imbarazzo, potrebbe iniziare a cercare qualcuno da licenziare o espellere (o, nel peggiore dei casi, arrestarlo), per dare l'illusione di avere il controllo della situazione. Se sei cordiale e ti fidi dell'amministrazione e del reparto IT e sai che in passato hai supportato gli studenti anche quando li hanno resi di cattivo umore, potrebbe essere meno rischioso condividere il problema, ma lo consiglierei comunque passando attraverso un intermediario di fiducia.

Se non puoi parlare con qualcuno di cui ti fidi per mantenere il tuo nome anonimo e non puoi segnalare il problema in modo anonimo (e sembra che tu non possa farlo), probabilmente è meglio per te stare zitti. E questo significa assolutamente tranquillo: non parlare di ciò che hai trovato nei forum, non dire ai tuoi amici cosa hai trovato, e non provarlo di nuovo tra qualche settimana "per vedere se è stato corretto:" non si Non voglio apparire in nessun registro come qualcosa che ha a che fare con questo, specialmente se viene sfruttato da qualcun altro. Fa schifo, ma inizia proteggendoti.

Un altro pensiero mi ha colpito nel rileggere la tua domanda (sottolineatura mia):

How should I tell school that they are vulnerable when I wasn't given permission to check?

Potresti ottenere permesso? Una volta ottenuto il permesso, potresti "scoprire" il problema (senza dire a nessuno che lo avevi trovato prima) e segnalarlo senza preoccuparti di essere incolpato di aver hackerato senza permesso.

Sarebbe più semplice se stai già frequentando un corso di informatica tenuto da un insegnante amichevole che lavorerebbe con l'IT per darti un'assegnazione di crediti extra per fare un Pen Test. Oppure, se sei amichevole con chiunque in IT, potresti accostarti direttamente e suggerire che sei interessato a studiare la sicurezza della rete e sperare di trovare un lavoro in esso un giorno, e potresti fare esperienza con un Pen Test della rete locale . Se hai già la reputazione di essere bravo con i computer e la sicurezza e di essere affidabile, potresti avere una discreta possibilità di far funzionare questo approccio.

Ciò richiederà molto più lavoro rispetto alla semplice segnalazione del problema, se hai intenzione di farlo correttamente. Avrai bisogno di testare molte più cose in modo da poter riciclare efficacemente la tua conoscenza del buco di sicurezza esistente (ovviamente potresti essere fortunato e trovare altri problemi!), E dovrai scrivere un rapporto dettagliato di tutto ciò che fatto, e perché e cosa hai trovato. Potrebbero anche limitare l'ambito di ciò che ti è permesso di testare o fornirti un sistema di test che non esponga il problema che hai già riscontrato, il che significa che sarai bloccato a svolgere il lavoro e a scrivere il rapporto senza essere in grado di rivelare il problema originale.

Naturalmente questo è un modo abbastanza "subdolo" per segnalare il problema. Se vieni rifiutato, probabilmente dovresti tacere sul problema originale, perché se lo fai segnalare o qualcun altro lo fa e viene ricondotto a te, le persone ricorderanno quando hai chiesto di condurre un Pen Test e iniziare a fare domande su di te e quanto affidabile potresti essere. Quindi c'è qualche rischio per questo approccio.

Come dovresti dirglielo? Non dovresti.

Diamo un'occhiata alle potenziali conseguenze qui. Dal momento che stavi curiosando sulla loro rete senza permesso (qualcosa che è quasi certamente in violazione del tuo accordo con lo studente e qualunque consenso hai cliccato per ottenere l'accesso al loro sistema IT) il risultato migliore che puoi aspettarti è che lo faranno correggi il problema e riceverai una piccola pacca sulla parte posteriore.

D'altra parte, c'è almeno un ragionevole cambiamento nel fatto che otterranno la parte sbagliata del bastone, ti espelleranno dalla scuola e potrebbero persino chiamare la polizia. Dal momento che ci sono stati altri casi di hacking, possono saltare all'assunzione che tu sia stato in qualche modo coinvolto anche con quelli, aumentando le possibilità di conseguenze legali.

Per lo meno, e nonostante le tue buone intenzioni hai quasi certamente infranto la legge . Anche se la scuola potrebbe scegliere di ignorare questo, potrebbe anche non farlo.

Quando pesate il rialzo contro il lato negativo, la scelta dovrebbe essere ovvia.

"Signora, vorrei solo farti sapere che se fai scorrere una striscia di metallo nel catenaccio della porta del tuo garage, puoi aprirlo con poco sforzo."

Basta non rivelare. Molti di noi addetti alla sicurezza hanno riscontrato vulnerabilità nei sistemi informatici delle nostre università, ma non c'è nulla da guadagnare divulgando. Lascia che sia qualcun altro a trovarlo e rivelarlo, ma non essere quello a rischio di accuse di violazione di un sistema che non è tuo. Ci sono molte storie nelle scuole in cui sono stato condannato per aver tentato di violare il sistema. Scommetto che è molto più probabile che tu sia punito svelando la vulnerabilità invece di approfittarne maliziosamente da solo.

Se si dispone di motivi personali per non violare il sistema, contattare l'amministratore di sistema per mettere in dubbio la sicurezza del sistema in modo che i dati non vengano rubati personalmente. Fai domande in particolare sulla falla che hai scoperto nella speranza che l'amministratore trovi lo stesso difetto, ma non suggerire di aver tentato in precedenza di accedere al sistema.

Utilizza il metodo socratico .

Esporre la vulnerabilità a chiunque sia responsabile della sicurezza come una serie di domande. Se, per ragioni di sicurezza (o altro), non possono o non vogliono rispondere alle tue domande, propongono situazioni ipotetiche e chiedono informazioni su di loro.

Puoi rivelare la variabilità in modo ammissibile?

Hai trovato il problema in un modo apparentemente non consentito. Puoi presentare il problema in un modo in cui hai il permesso? Se è così, provarlo potrebbe essere una buona idea. Potrebbe anche non essere la vulnerabilità originale, ma un bug che, quando viene esaminato o risolto, rivela la vulnerabilità.

Ad esempio, forse la vulnerabilità è che le password non sono hash. L'hai trovato entrando nei server della scuola. Invece di dire loro che sei entrato nei server della scuola, scarica un'estensione del browser che controlla se le password vengono trasmesse come testo semplice (che può essere visto come un modo per proteggere la tua sicurezza in modo ragionevole e non ficcanaso) e per raccontare la scuola che il loro sito sta causando bandiere rosse sul tuo laptop e che sei preoccupato per la tua sicurezza. Il bello è che è molto più sicuro e giustificabile dire alla gente al di fuori della scuola se la risolvono in un ragionevole lasso di tempo.

Un bonus di questa tecnica è che non devi mentire molto probabilmente.

Probabilmente è meglio assicurarsi che non si rendano conto del modo originale in cui sei venuto a conoscenza della vulnerabilità, anche se lo risolvono, per timore di liberare i poteri del governo contro di te. (Il tuo snooping è registrato in qualsiasi registro, ad esempio?)

Informali in modo anonimo, citando tutto ciò che hai fatto, ad esempio i test di penetrazione, i risultati, ecc. in modo che possano controllarli da soli (o assumere qualcuno). Assicurati che il messaggio venga inviato a tutti coloro che hanno l'autorità di approfondire il / i problema / i.

Come Drewbenn suggerì nella loro seconda risposta, ma per dirla in un modo leggermente diverso, dove Drewbenn disse che puoi chiedere il permesso, sto dicendo che puoi anche "suggerire un controllo di sicurezza o esortarli a farlo, con o senza il tuo aiuto "con una motivazione del tipo" faccio X o mi impegno in comunità X online, e ci sono state segnalazioni o chiacchiere sulle scuole che sono state violate nel nostro stato / città, e qualcuno si vantava di questo. "Quindi pensi" noi dovrebbe controllare se la nostra scuola è stata presa di mira da questo in qualsiasi momento di recente ".

Non avresti dovuto essere lì, quindi non importa cosa hai trovato, al momento hai torto. Fino a quando non hai il permesso di guardare, devi stare tranquillo e spero che non abbiano rilevato la tua presenza.