L'enseignant m'a connecté en tant qu'administrateur pour effectuer une courte tâche, l'ensemble du système est-il maintenant compromis?
J'ai travaillé aujourd'hui avec notre professeur qui m'a connecté à un ordinateur en tant qu'administrateur. Nous avions une tâche nécessitant des droits d'administrateur. Quelques secondes plus tard, il parlait à d'autres élèves de notre classe, mais j'ai pu réinitialiser le mot de passe administrateur avec lusrmgr.
- L'enseignant avait-il raison de faire cela (est-ce un problème critique)?
- S'il n'avait pas raison, quelle pourrait être une meilleure option?
L'enseignant avait-il raison de faire cela?
Oui et non. On pourrait être tenté de dire que donner à un étudiant des droits administratifs est très problématique, et le laisser encore plus sans surveillance. Et dans une certaine mesure, je suis même d'accord avec cela. Vous avez peut-être ajouté un nouvel utilisateur administratif, modifié les informations d'identification d'administrateur, installé un rootkit ou plus.
Mais...
Agir avec malveillance n'aurait pas été sans conséquence pour vous. Il est très probable que l'enseignant se souvienne de vous avoir accordé des droits administratifs spécifiques et à quelle heure. Si dans cette fenêtre temporelle très spécifique, quelque chose devait arriver à cet ordinateur, l'école peut facilement vous identifier comme l'acteur malveillant.
Quelles conséquences pourrait-il y avoir? Cela dépend entièrement de ce que vous avez fait. La modification des informations d'identification de l'administrateur local pourrait être considérée comme une simple farce et pourrait probablement être inversée par l'administrateur du domaine. Les dégâts ne seraient pas trop importants, mais vous pourriez faire face à la détention.
Si vous deviez, par exemple, installer un rootkit, alors l'école pourrait prétendre que vous avez agi avec malveillance, avec l'intention de contourner leur sécurité et d'endommager leurs systèmes. S'opposer à cela, lorsque vous aurez installé ce qui est essentiellement un malware sur leur système, sera très difficile. Cela pourrait être considéré comme un endommagement délibéré des biens de l'école et vous pourriez être expulsé de l'école.
Si vous deviez agir de manière encore plus destructrice, en exécutant des logiciels malveillants conçus pour endommager le matériel (par exemple, hypothétiquement en overclockant le CPU à 12 GHz et en désactivant toutes les mesures de sécurité auto-préservées), l'école pourrait même vous poursuivre en justice pour dommages, en plus de vous expulser.
Cela n'implique-t-il pas que l'enseignant est en faute de m'avoir accordé des droits d'administrateur?
Non. L'enseignant vous a donné l'autorisation administrative d'effectuer une tâche très spécifique. Cela ne vous donne pas le droit d'exécuter n'importe quelle tâche, même si vous en avez techniquement la capacité.
Si mon ami me donnait la clé de sa maison pour surveiller son chien, cela ne m'autorise pas à prendre quoi que ce soit de sa maison, ni à installer des caméras partout - même si j'étais techniquement capable de le faire.
Cela ne peut-il pas être considéré comme un test de pénétration?
"Je testais juste la sécurité des systèmes informatiques de mon école."
Non, ce n'est pas un test de pénétration. Un test de pénétration requiert que l'entité propriétaire du système accepte explicitement le test de pénétration. Un enseignant qui vous fournit un accès administratif pour accomplir une tâche spécifique n'est pas un consentement explicite pour un test de pénétration.
Qu'est-ce que l'enseignant aurait pu faire différemment?
Selon la durée de la tâche que vous étiez censé effectuer, l'enseignant aurait pu rester avec vous et révoquer votre accès administratif après avoir terminé.
Compte tenu de ce qui a été dit ci-dessus, l'enseignant s'attendait raisonnablement à ce que vous n'agissiez pas avec malveillance, ce qui semble être déplacé.
L'enseignant m'a connecté en tant qu'administrateur pour effectuer une courte tâche, l'ensemble du système est-il maintenant compromis?
Non.
mais j'ai pu réinitialiser le mot de passe administrateur avec lusrmgr.
Maintenant, félicitations, vous avez effectué une activité criminelle.
L'enseignant avait-il raison de faire cela (est-ce un problème critique)?
Vous n'avez pas précisé quelle était la tâche que vous étiez censé accomplir, donc personne ne peut vous le dire. Si vous cherchez une validation ou une excuse pour votre comportement, alors non, vous avez décidé de trahir la confiance de cet enseignant. Dans des circonstances normales, il devrait être possible de faire confiance à un élève et vous avez prouvé que vous ne pouvez pas lui faire confiance.
S'il n'avait pas raison, quelle pourrait être une meilleure option?
Il est toujours préférable de ne pas donner l'accès si ce n'est pas nécessaire, mais lorsque cela est nécessaire, il doit être accordé à une personne de confiance. Ce professeur vous a apparemment fait confiance. Vous avez trahi cette confiance et vous vous trompez ici. Si j'ai besoin de corriger un bogue dans le logiciel de mon entreprise et que j'ai besoin d'un accès à la base de données pour cela, il me sera donné de bonne foi. Si je décide de détruire la base de données, ou même de simplement changer le mot de passe, je suis celui qui a tort, pas la personne qui m'a donné l'accès.
Non pas que j'appellerais ce que vous avez fait du piratage, mais je veux emprunter quelques termes de la scène du piratage. Il y a des chapeaux blancs, des chapeaux gris et des chapeaux noirs. Les pirates du chapeau blanc sont des testeurs de pénétration, ils fournissent un service à une entreprise pour lequel ils sont payés par cette entreprise. C'est leur travail d'essayer de pénétrer dans un système et ils enregistreront tous les chemins qu'ils trouveront, ils travailleront dans le but d'améliorer la sécurité du système. Vous n'êtes pas un pirate de chapeau blanc.
Les pirates du chapeau gris font quelque chose de similaire, mais à l'insu de l'entreprise. Ils trouveront eux-mêmes des exploits et des failles de sécurité à l'aide d'une interface utilisateur classique. Souvent, ils signalent tout ce qu'ils trouvent aux entreprises concernées, parfois ils menacent de divulguer leurs conclusions au public. Ils veulent toujours protéger les utilisateurs, mais ils ne le font pas avec le consentement de l'entreprise. Vous n'êtes pas un hacker de chapeau gris.
Les pirates informatiques sont des criminels, ils s'introduisent dans des systèmes avec une intention malveillante, ils essaient de voler des données ou ils pensent que c'est drôle de détruire le système d'une entreprise. Ces gens ne se soucient pas des utilisateurs, ils ne se soucient pas de l'entreprise, ils se soucient d'eux-mêmes. Si ce que vous avez fait pouvait être appelé piratage, vous seriez un pirate à chapeau noir.
Je vous recommanderais de réfléchir à ce que vous vouliez accomplir exactement. Vouliez-vous tester la sécurité de l'école? Avez-vous eu l'intention d'exposer les pratiques de sécurité de ce professeur? Dans ce cas, vous avez toujours tort en raison de votre approche, mais vous pourriez trouver intéressant de commencer à lire sur les tests de pénétration en tant que carrière, vous obtenez clairement un coup de pied. Si votre intention était malveillante, je ne sais vraiment pas quoi vous dire, sauf grandir, ce que vous avez fait était mal et aucune quantité de gymnastique mentale ne fera du professeur le méchant. Vous avez pris une mesure qui n'est pas autorisée, vous avez abusé de la confiance qui vous est accordée et vous êtes celui en difficulté si quelqu'un le découvre.
C'est un mélange de nombreux facteurs, et deux principaux sont la confiance et la responsabilité.
- Le professeur vous a fait une confiance précieuse en tant que partenaire pour effectuer ce travail. Ce n'est rien d'exceptionnel. Disons que le personnel de la société de conseil (A) peut se voir octroyer des droits d'administrateur sur un ou plusieurs serveurs appartenant à une autre société (B) si la situation commerciale l'exige (même un accès à des informations classifiées, comme Edward Snowden l'avait). Cependant, généralement, les entreprises officialisent ces relations de confiance avec NDA et tous les autres membres du personnel juridique pour partager les responsabilités en cas d'acte malveillant).
- Votre responsabilité était de faire le travail et rien de plus. Sortir du champ nous amène à des problèmes éthiques. Changer les mots de passe, même espionner la structure des fichiers - tout cela concerne l'éthique dans cette situation. "Blâme-moi une fois - honte à toi."
Et revenons à votre question de titre: oui, le système doit être considéré comme compromis même si vous n'avez rien modifié.
Qu'est-ce que l'enseignant aurait pu faire différemment?
La réponse évidente est que l'enseignant aurait dû utiliser des autorisations élevées/la gestion des accès utilisateur pour exécuter uniquement ce qui devait s'exécuter avec des autorisations élevées, plutôt que de se connecter avec un compte administrateur. Ce n'est pas infaillible *, mais fait correctement, cela aurait limité la quantité de dégâts que vous pourriez faire.
C'est aussi juste une bonne pratique générale que tout le monde devrait faire. Avec les systèmes d'exploitation modernes, il n'y a pas beaucoup de raisons de se connecter avec un compte administrateur.
* Pas infaillible: si vous demandez à quelqu'un d'exécuter une ligne de commande avec des privilèges élevés, vous pouvez faire beaucoup de dégâts. Donc, vous devez toujours appliquer une pensée critique à ce que vous faites, plutôt que d'exécuter automatiquement des choses élevées.
Vous devriez vraiment diviser votre question en deux parties:
J'ai travaillé aujourd'hui avec notre professeur qui m'a connecté à un ordinateur en tant qu'administrateur. Nous avions une tâche qui nécessitait des droits d'administrateur. [supprimé]
- L'enseignant avait-il raison de faire cela (est-ce un problème critique)?
- S'il n'avait pas raison, quelle pourrait être une meilleure option?
Vous avez déjà des réponses sur ce qu'il faut faire (deux possibilités: soit il vous a fait confiance et vous a laissé exécuter les commandes pertinentes et, encore une fois, vous a fait confiance pour vous déconnecter; ou vous regarder faire cela (peut-être pas parce qu'il ne vous faisait pas confiance, mais parce que vous n'étiez pas assez expérimenté).
Ce qui nous amène à ...
Quelques secondes plus tard, il parlait à d'autres élèves de notre classe, mais j'ai pu réinitialiser le mot de passe administrateur avec
lusrmgr.
Désolé pour le libellé, mais c'est un coup de bite. Vous venez de montrer que vous n'êtes pas assez mûr pour vous voir confier quoi que ce soit de grave.
Il vous faisait confiance, vous avez essayé d'être "intelligent" et maintenant vous avez terminé.
Veuillez vous épargner de la honte et simplement vous excuser. Veuillez ne pas mettre sur la table des raisons telles que les "tests de pénétration" (sauf si vous avez été embauché pour en faire un, mais le fait que vous demandez au question montre que le choix était mauvais))