Questione etica riguardante i dati sensibili accessibili a scuola [duplicato]

8

Passa al quinto paragrafo per la domanda vera e propria, prima che sia un po 'di background.

Sono uno studente del liceo interessato ai computer e ai test di penetrazione. Date le restrizioni imposte all'accesso a livello di studenti sui computer della mia scuola, spesso cerco di escalation dei privilegi per ottenere un accesso più completo alle risorse di cui ho bisogno (a volte scolastico, ma comunque limitato). Anche se faccio quel tipo di cose abbastanza spesso, non mi aspetto mai grandi successi.

Qualche tempo fa sono stato sorpreso a scoprire un account amministratore locale senza password, ma questo non ha consentito l'accesso a qualsiasi cosa non potessi già accedere, ad eccezione dell'unità C: \ e di strumenti come l'attività Manager e prompt dei comandi. In altre parole: era lontano da una grande scoperta per me.

Più recentemente, mi sono imbattuto in un'esercitazione di escalation post-exploitation / privilegio di Fuzzy Security ( qui ) che menzionava alla ricerca di dati sensibili nei file di configurazione lasciati da una configurazione desktop automatizzata. So da un bel po 'di ricerche che i 513 computer della rete scolastica sono stati impostati in questo modo. Ero ancora sorpreso di trovare la password dell'amministratore di rete in chiaro in C: \ sysprep \ unattend.xml.

Da quando l'ho trovato, ho ulteriormente studiato cosa si può fare. Le cose che ho trovato vanno dall'accesso a tutti i file degli studenti e degli insegnanti (che, in alcuni casi includono esami e chiavi d'esame) alla connessione remota al server scolastico e al server distrettuale per aggiungere utenti come studenti, insegnanti, amministratori e personale e modificare i file netlogon di detti utenti per far sì che eseguano programmi dannosi all'accesso. Molto di questo ho indagato ma non testato per paura di essere catturato.

La mia domanda è se dovrei dire o meno allo staff tecnico della scuola prima che qualcuno che abusi lo trovi e, in caso affermativo, come farlo in un modo che non porti alla mia punizione. La mia preoccupazione è che se lo denuncio, le prove delle mie esplorazioni sulle funzionalità di amministrazione di rete appariranno dannose per loro. Voglio fare la cosa giusta, ma preferirei non metterti nei guai se questo è ciò che accadrebbe di conseguenza.

    
posta Anonymous 27.05.2014 - 00:09
fonte

2 risposte

9

Sebbene le tue intenzioni siano buone, le scuole e le università sono famose per essere pesanti con questo genere di cose. Potrebbero voler cacciarti per (a) violare la politica scolastica e (b) farli sembrare idioti.

Il mio consiglio è di descrivere in dettaglio i problemi che hai riscontrato in una lettera anonima, spiegare molto chiaramente che non stai cercando di essere dannoso o di attaccare la rete, e vuoi solo che sappiano del problema in modo che possano risolvere esso. Spiega che stai scrivendo in modo anonimo perché la tua istruzione è preziosa per te e sei preoccupato per il numero di casi in cui le scuole prendono le cose nel modo sbagliato e preferiresti non diventare parte di quella statistica. Lascia cadere la lettera in una casella di posta, indirizzata al capo di scuola, all'indirizzo della scuola.

L'opsec usuale si applica qui: non dire a nessuno cosa stai facendo, non vantartene con i tuoi amici, non includere dettagli che potrebbero identificarti (ad esempio il tuo anno o qualsiasi materia che studi), e non scrivere la lettera a mano (stamparla!).

    
risposta data 27.05.2014 - 00:45
fonte
6

Posizione contraria

Desidero prendere la posizione di Devils Advocate qui.

La tua istruzione / il tuo futuro è più importante per te della sicurezza della rete scolastica.

Devi prendere il punto di vista che NIENTE può venire da te menzionando questo problema.

Considera i seguenti scenari:

  1. La scuola investe effettivamente su questo problema.

    • Diventi il principale sospettato (perché nessun altro conosce i computer come te)
    • Portano un investigatore forense e trovano da qualche parte che non hai coperto le tue tracce (per quanto riguarda la correlazione CCTV).
    • Persino i tuoi alleati dell'insegnante non possono aiutarti perché diventa troppo politico.
    • Ti condannano e ti incolpano per il costo dell'indagine.
  2. La scuola ti ignora.

    • Non succede niente finché non ti lamenti più strong (vedi scenario 1)
risposta data 27.05.2014 - 06:47
fonte

Leggi altre domande sui tag