Come studente, come faccio a rivelare in modo sicuro e responsabile un grave problema di sicurezza in un ambiente scolastico?

Ho molti anni di esperienza lavorativa all'interno di un team ICT del college. Questo è quello che consiglierei in base alla mia esperienza.

Non andrei alla direzione, non gliene importerebbe nulla o un responsabile non tecnico reagirà in modo esagerato e considererà la questione come una missione personale. Inoltre, se sei preoccupato di essere accusato di "hacking", è una gestione non tecnica che è più probabile che lo faccia.

Suggerirei di documentare l'errore di sicurezza e inviarlo al service desk ICT.

Se non hai accesso al desk assistenza come studente, invia un'email direttamente o semplicemente apri la porta dell'ufficio e spiega loro la situazione e loro ti consiglieranno su come procedere. (Scambiare la porta è probabilmente l'opzione migliore) Probabilmente alzerà semplicemente un biglietto per un tecnico per dare un'occhiata al problema, passerà attraverso le procedure di escalation da lì.

Non essere preoccupato di portare questo problema con loro, anche se risultasse essere nulla, la maggior parte delle squadre sarà felice per la segnalazione proattiva di questo tipo di difetti. Dall'esperienza posso dire che la maggior parte delle università sostiene che lo staff di supporto o il personale accademico sollevi dei difetti con le TIC quando li colpisce personalmente.

Ho scoperto difetti in passato, solo che un membro dello staff mi dicesse che l'errore in questione è lì da mesi. La mia risposta è stata sempre la stessa, "Beh, perché non hai sollevato un ticket con ICT per risolverlo?"

Non sollevare il problema come studente. Le tue preoccupazioni sono valide: le scuole di solito percepiscono gli studenti come bambini le cui azioni sono inutili nel migliore dei casi e dannose nel peggiore dei casi. Nel migliore dei casi verrai ignorato, nel peggiore dei casi spareranno al messaggero e ti disciplineranno per l'hacking. Potrebbero persino darti la colpa di qualsiasi abuso irrisolto di ID studente in passato.

Ti consiglierei di sollevare il problema attraverso i tuoi genitori. La gestione della scuola è di solito molto più cooperativa quando viene avvicinata dagli adulti. A "risolvere il problema o parlo con la stampa" kicker spesso funziona abbastanza bene.

Trova un avvocato per rivelarlo per te. Sono tenuti a mantenere la vostra identità riservata. Forse puoi trovarne uno disposto a farlo gratuitamente. O forse i tuoi genitori ne conoscono uno.

Sono d'accordo con TheJulyPlot che i problemi di sicurezza dovrebbero essere portati al team IRT / CSIRT / SOC / CERT responsabile della sicurezza del sito. Una piccola scuola potrebbe non avere alcuna posizione dedicata, mentre un università sicuramente lo fa.

L'obiettivo è che queste persone siano entrambe (a) tecnicamente competenti a capire cosa stai segnalando e (b) a sapere che in realtà ti aiutano , pur essendo in grado di indirizzarlo a un altro destinatario preciso se necessario (ad esempio, potrebbe essere necessario correggere l'errore effettivo da un team di sviluppo separato).

Se non sai qual è il team che gestisce i problemi di sicurezza del tuo istituto o come contattarli, puoi salire di un livello: contatta il CERT nazionale o -per un'università- un CERT per la rete di ricerca a cui appartiene .

Ad esempio, a seconda di dove (e dell'entità) si basa, è possibile notificare negli Stati Uniti il US-CERT , nel Regno Unito JANET CSIRT , in Spagna INCIBE-CERT , in Kazakistan il KazAcad CSIRT ...

Non esiste una guida completa dei team, ma generalmente puoi cercare il CSIRT più pertinente per il tuo caso su FIRST oppure -per i CERT europei- Presentatore attendibile .

Si prega di notare che ognuno di essi avrà il proprio collegio elettorale. Un CERT nazionale per il tuo paese può gestire il rapporto reindirizzandolo all'università, se necessario, ma il CSIRT per una società privata completamente indipendente potrebbe scartarlo.

On (quasi?) ogni caso, è possibile inviare un rapporto dell'incidente via email (se non ne trovi uno elencato, cerca la loro sezione RFC 2350). Il che significa che, per un livello base di anonimato, puoi semplicemente creare un nuovo account di posta vocale e utilizzarlo per inviare il rapporto sull'incidente. Infatti, potresti addirittura saltare la creazione di una nuova email e inviarti dal tuo solito indirizzo email (potresti anche menzionare sul rapporto che preferisci non rimanere anonimo). Se non hai commesso alcun crimine, è improbabile che a qualcuno importi chi sei veramente. Piuttosto che "invia e dimentica", ti consiglio di controllare quell'e-mail (chiedi loro un aggiornamento se necessario). Puoi ringraziarti facilmente e farti sapere che lo gestiranno da ora in poi, ma potrebbero anche richiedere maggiori informazioni da te o chiederti di inviarlo a un altro team.

Ti consiglio anche di segnalarlo non appena possibile dopo la scoperta, al fine di ridurre al minimo il rischio di ritorni di fiamma. Le persone sbagliate potrebbero presumere che qualunque cosa tu abbia scoperto, l'avresti abusato e sei un malvagio hacker, non importa quanto possa essere sciocco l'effettiva vulnerabilità. Tuttavia, prendendo prontamente l'azione per averlo risolto (e in realtà non averlo abusato!). Probabilmente ci sono alcuni registri che potrebbero essere controllati. Se scoprono di aver provato la vulnerabilità (anche se impiegano mesi per trovarla da soli), che l'hai fatto 1 ora fa, prima che ricevessero un rapporto, le e-mail dipingono un'immagine completamente diversa rispetto a quando hai scoperto che l'hai scoperto 6 mesi fa . Anche se le tue comunicazioni per qualche motivo non le raggiungevano (supponiamo ad esempio che la loro casella di posta abusiva fosse piena!), Il record stesso sul provider di posta elettronica (cioè la posta inviata) che rivela la vulnerabilità sarà utile, nel caso tu ne abbia bisogno .