Come studente, come faccio a rivelare in modo sicuro e responsabile un grave problema di sicurezza in un ambiente scolastico?

25

Sono uno studente della mia scuola locale.

Circa otto mesi fa, I ho inciampato su un buco di sicurezza che potrebbe consentire a qualsiasi utente di scoprire l'ID dello qualsiasi studente nell'intero distretto, e sono consapevole che il dipartimento IT ha la tendenza a mantenere gli ID degli studenti il più confidenziali possibile in quanto l'ID è l'unico identificatore univoco associato a uno studente.

Quando ho trovato il problema originariamente, mi è stato suggerito dal mio insegnante di informatica di limitarmi a non presentarlo a nessuno. Tuttavia, sono passati otto mesi, il reparto IT non ha fatto nulla per risolvere questo problema.

Ho finalmente guadagnato il coraggio di rivelare responsabilmente la questione della sicurezza alla direzione. La ragione per cui ho temuto di aver riportato è che devo calpestare molto attentamente, poiché un passo sbagliato potrebbe atterrarmi in acque calde e probabilmente sospeso per "hacking". E a questo punto, non ho idea di chi altro abbia trovato questo exploit diverso da me stesso.

Ancora una volta, non stavo cercando attivamente buchi di sicurezza; piuttosto, ho semplicemente inciampato su uno.

Qual è la migliore linea di condotta da intraprendere per divulgare responsabilmente il problema di sicurezza riducendo al minimo il rischio di essere puniti per questo?

    
posta oldmud0 12.09.2015 - 05:13
fonte

4 risposte

18

Ho molti anni di esperienza lavorativa all'interno di un team ICT del college. Questo è quello che consiglierei in base alla mia esperienza.

Non andrei alla direzione, non gliene importerebbe nulla o un responsabile non tecnico reagirà in modo esagerato e considererà la questione come una missione personale. Inoltre, se sei preoccupato di essere accusato di "hacking", è una gestione non tecnica che è più probabile che lo faccia.

Suggerirei di documentare l'errore di sicurezza e inviarlo al service desk ICT.

Se non hai accesso al desk assistenza come studente, invia un'email direttamente o semplicemente apri la porta dell'ufficio e spiega loro la situazione e loro ti consiglieranno su come procedere. (Scambiare la porta è probabilmente l'opzione migliore) Probabilmente alzerà semplicemente un biglietto per un tecnico per dare un'occhiata al problema, passerà attraverso le procedure di escalation da lì.

Non essere preoccupato di portare questo problema con loro, anche se risultasse essere nulla, la maggior parte delle squadre sarà felice per la segnalazione proattiva di questo tipo di difetti. Dall'esperienza posso dire che la maggior parte delle università sostiene che lo staff di supporto o il personale accademico sollevi dei difetti con le TIC quando li colpisce personalmente.

Ho scoperto difetti in passato, solo che un membro dello staff mi dicesse che l'errore in questione è lì da mesi. La mia risposta è stata sempre la stessa, "Beh, perché non hai sollevato un ticket con ICT per risolverlo?"

    
risposta data 12.09.2015 - 10:01
fonte
9

Non sollevare il problema come studente. Le tue preoccupazioni sono valide: le scuole di solito percepiscono gli studenti come bambini le cui azioni sono inutili nel migliore dei casi e dannose nel peggiore dei casi. Nel migliore dei casi verrai ignorato, nel peggiore dei casi spareranno al messaggero e ti disciplineranno per l'hacking. Potrebbero persino darti la colpa di qualsiasi abuso irrisolto di ID studente in passato.

Ti consiglierei di sollevare il problema attraverso i tuoi genitori. La gestione della scuola è di solito molto più cooperativa quando viene avvicinata dagli adulti. A "risolvere il problema o parlo con la stampa" kicker spesso funziona abbastanza bene.

    
risposta data 12.09.2015 - 11:51
fonte
6

Trova un avvocato per rivelarlo per te. Sono tenuti a mantenere la vostra identità riservata. Forse puoi trovarne uno disposto a farlo gratuitamente. O forse i tuoi genitori ne conoscono uno.

    
risposta data 12.09.2015 - 15:16
fonte
1

Sono d'accordo con TheJulyPlot che i problemi di sicurezza dovrebbero essere portati al team IRT / CSIRT / SOC / CERT responsabile della sicurezza del sito. Una piccola scuola potrebbe non avere alcuna posizione dedicata, mentre un università sicuramente lo fa.

L'obiettivo è che queste persone siano entrambe (a) tecnicamente competenti a capire cosa stai segnalando e (b) a sapere che in realtà ti aiutano , pur essendo in grado di indirizzarlo a un altro destinatario preciso se necessario (ad esempio, potrebbe essere necessario correggere l'errore effettivo da un team di sviluppo separato).

Se non sai qual è il team che gestisce i problemi di sicurezza del tuo istituto o come contattarli, puoi salire di un livello: contatta il CERT nazionale o -per un'università- un CERT per la rete di ricerca a cui appartiene .

Ad esempio, a seconda di dove (e dell'entità) si basa, è possibile notificare negli Stati Uniti il US-CERT , nel Regno Unito JANET CSIRT , in Spagna INCIBE-CERT , in Kazakistan il KazAcad CSIRT ...

Non esiste una guida completa dei team, ma generalmente puoi cercare il CSIRT più pertinente per il tuo caso su FIRST oppure -per i CERT europei- Presentatore attendibile .

Si prega di notare che ognuno di essi avrà il proprio collegio elettorale. Un CERT nazionale per il tuo paese può gestire il rapporto reindirizzandolo all'università, se necessario, ma il CSIRT per una società privata completamente indipendente potrebbe scartarlo.

On (quasi?) ogni caso, è possibile inviare un rapporto dell'incidente via email (se non ne trovi uno elencato, cerca la loro sezione RFC 2350). Il che significa che, per un livello base di anonimato, puoi semplicemente creare un nuovo account di posta vocale e utilizzarlo per inviare il rapporto sull'incidente. Infatti, potresti addirittura saltare la creazione di una nuova email e inviarti dal tuo solito indirizzo email (potresti anche menzionare sul rapporto che preferisci non rimanere anonimo). Se non hai commesso alcun crimine, è improbabile che a qualcuno importi chi sei veramente. Piuttosto che "invia e dimentica", ti consiglio di controllare quell'e-mail (chiedi loro un aggiornamento se necessario). Puoi ringraziarti facilmente e farti sapere che lo gestiranno da ora in poi, ma potrebbero anche richiedere maggiori informazioni da te o chiederti di inviarlo a un altro team.

Ti consiglio anche di segnalarlo non appena possibile dopo la scoperta, al fine di ridurre al minimo il rischio di ritorni di fiamma. Le persone sbagliate potrebbero presumere che qualunque cosa tu abbia scoperto, l'avresti abusato e sei un malvagio hacker, non importa quanto possa essere sciocco l'effettiva vulnerabilità. Tuttavia, prendendo prontamente l'azione per averlo risolto (e in realtà non averlo abusato!). Probabilmente ci sono alcuni registri che potrebbero essere controllati. Se scoprono di aver provato la vulnerabilità (anche se impiegano mesi per trovarla da soli), che l'hai fatto 1 ora fa, prima che ricevessero un rapporto, le e-mail dipingono un'immagine completamente diversa rispetto a quando hai scoperto che l'hai scoperto 6 mesi fa . Anche se le tue comunicazioni per qualche motivo non le raggiungevano (supponiamo ad esempio che la loro casella di posta abusiva fosse piena!), Il record stesso sul provider di posta elettronica (cioè la posta inviata) che rivela la vulnerabilità sarà utile, nel caso tu ne abbia bisogno .

    
risposta data 13.12.2018 - 02:13
fonte

Leggi altre domande sui tag