Sfondo:
Alcuni anni fa, ho chiesto a questa domanda sulla rivelazione di vulnerabilità piuttosto gravi riscontrate nella rete di computer della mia scuola superiore.
Più di due anni dopo, il preside è stato messo a conoscenza (ascoltando gli altri studenti che parlavano) che si diceva che fosse un "hacker" e mi ha chiamato nel suo ufficio per chiedere informazioni sulla rete sospetta (non correlate). Il vicedirettore e due del personale IT del distretto erano presenti in questo incontro. Traintendendo la situazione, presumo che fossero consapevoli della portata di ciò che sapevo e spiegava i problemi che avevo riscontrato:
- La password dell'amministratore di rete è accessibile a tutti gli utenti e si trova in un file di testo semplice su ogni computer
- Ogni computer ha un account amministratore locale che non richiede alcuna password per accedere a
- Le videocamere di sicurezza in tutto l'edificio sono accessibili dalla rete cablata e wireless, e possono essere trasmesse in streaming dal vivo, girate, impostate per interrompere la registrazione, disabilitarle o altrimenti incasinate; gli stream non sono criptati e i pannelli di controllo della telecamera basati sul web utilizzano le credenziali predefinite (o non)
- L'accesso basato sul Web per la rete wireless (altrimenti senza password) può essere aggirato banalmente, consentendo a chiunque di accedervi senza autenticarsi come studente
- Il filtro dei contenuti e il sistema di blocco dei siti web possono essere aggirati banalmente
Ho anche spiegato di aver trovato i problemi diversi anni prima, e di non averli né spiegati né denunciati per paura delle conseguenze. Penso che la mia rivelazione inaspettata di diverse vulnerabilità principali abbia colto di sorpresa il prinicpal, e ha detto che non sarei stato sospeso o espulso se avessi interrotto ogni "esplorazione" della rete e smesso di scavalcare il sistema di filtraggio dei contenuti della scuola. Penso anche che avrei potuto imbarazzare un po 'i ragazzi IT nella stanza; hanno spiegato che non avrebbero saputo nulla delle mie attività se non avessi detto loro.
Da allora mi sono laureato, tuttavia appena prima della laurea (all'incirca un anno dopo la mia conversazione con il preside della scuola) volevo verificare se i problemi che avevo riscontrato fossero stati risolti, nonostante fosse stato esplicitamente istruito a non farlo. Non era uno solo. Mi sono laureato, ma prendo ancora molto sul serio questi problemi. Sento che le vulnerabilità che ho trovato rappresentano un grave rischio per la sicurezza e la sicurezza per migliaia di studenti del distretto scolastico. Ciò è particolarmente vero se le vulnerabilità vengono utilizzate in combinazione, poiché chiunque può, ad esempio, accedere alla rete wireless (e quindi alle telecamere) senza autenticazione dall'esterno dell'edificio.
Domanda:
Mi sto chiedendo quale sia la migliore linea d'azione, tenendo presente che ho disobbedito direttamente alle istruzioni esplicite del mio principale, che i problemi sono noti a più livelli dell'amministrazione distrettuale e del personale IT e che sono stati a conoscenza di loro per un anno pieno. Anche la mia identità è ora nota, il che significa che se avessi ripristinato questi problemi, sarebbe stato difficile farlo in modo anonimo. Con questi fattori in mente, le mie domande sono le seguenti:
- Quali sono le probabili conseguenze nel perseguirlo ulteriormente? Sono diversi ora che non sono più uno studente?
- Come posso fare del mio meglio per assicurarmi che questi problemi vengano risolti senza ricorrere alla stampa, come suggerito da alcuni here o citato in giudizio come suggerito qui ?
- Nonostante la serietà di questi problemi, vale la pena di proseguire ulteriormente, o ho praticamente fatto tutto il possibile?