Comment dois-je dire à l'école qu'ils sont vulnérables quand je n'ai pas été autorisé à vérifier?
Je voudrais signaler les failles de sécurité à mon école au Royaume-Uni. J'avais réussi à trouver des failles de sécurité sans aucun exploit ou autre logiciel ou matériel.
J'ai regardé question similaire mais le problème est qu'il est très probable de découvrir que c'était moi, même si j'utiliserais un e-mail anonyme, comme suggéré dans cette question, car le service informatique sait que je ont beaucoup de connaissances sur la programmation informatique, le réseau, la sécurité, et il est (peut-être) plus élevé que quiconque, donc je suppose que je serais appelé immédiatement. Les enseignants savent également que j'ai trouvé d'autres faiblesses en matière de sécurité qui n'ont eu aucun impact sur la politique de l'école, donc je n'ai eu aucun problème avec celle-ci. De plus, les failles de sécurité nécessitent un accès physique, donc je ne pouvais pas mentir que cela avait été fait à distance
Une autre réponse mentionnée dans une question déjà mentionnée, a dit de simplement l'ignorer, mais j'avais découvert qu'un de leurs ordinateurs avait été piraté par quelqu'un d'autre, et pour dire comment je l'ai découvert, je devrais mentionner des failles de sécurité ou suggérer que J'essayais de les pirater.
S'il y a un enseignant ou un conseiller en qui vous pouvez avoir confiance complètement, que vous savez garder votre nom secret même si l'administration de l'école commence à menacer de licencier des gens, j'irais d'abord vers eux et leur parlerais en privé. Ils n'ont pas besoin de comprendre les ordinateurs ou la sécurité (et vous n'avez pas besoin d'entrer dans les détails du problème), ils doivent juste être dignes de confiance et bon pour naviguer dans la politique de l'administration à l'école: vous avez besoin de conseils sur la personnalité des personnes impliquées et à quel point il serait dangereux pour vous de signaler le problème. S'ils se méfient du signalement, vous devez rester silencieux.
Si quelqu'un avec suffisamment de pouvoir est embarrassé, il peut commencer à chercher quelqu'un pour renvoyer ou expulser (ou, dans le pire des cas, pour avoir arrêté), pour donner l'illusion qu'il contrôle la situation. Si vous êtes sympathique avec l'administration et le service informatique et que vous lui faites confiance, et que vous savez qu'ils ont soutenu les étudiants dans le passé, même lorsque cela les rendait mauvais, il peut être moins risqué de partager le problème, mais je recommanderais quand même passer par un intermédiaire de confiance.
Si vous ne pouvez pas parler à quelqu'un en qui vous avez confiance pour garder votre nom anonyme et que vous ne pouvez pas signaler le problème de façon anonyme (et il semble que vous ne puissiez pas), il est probablement préférable pour vous pour se taire. Et cela signifie complètement silencieux: ne parlez pas de ce que vous avez trouvé sur les forums, ne dites pas à vos amis ce que vous avez trouvé, et ne réessayez pas dans quelques semaines "pour voir si cela a été corrigé:" vous ne Je ne veux pas apparaître dans les journaux comme ayant quelque chose à voir avec cela, surtout s'il est exploité par quelqu'un d'autre. Ça craint, mais commencez par vous protéger.
Une autre pensée m'a frappé alors que je relisais votre question (c'est moi qui souligne):
Comment dois-je dire à l'école qu'ils sont vulnérables quand je n'ai pas été autorisé à vérifier?
Pourriez-vous obtenir l'autorisation? Une fois que vous avez l'autorisation, vous pouvez "découvrir" le problème (sans en parler à personne que vous l'avez déjà trouvé) et le signaler sans vous soucier d'être blâmé pour avoir piraté sans autorisation.
Il serait plus facile si vous suivez déjà un cours d'informatique enseigné par un professeur amical qui travaillerait avec l'informatique pour vous donner une affectation de crédit supplémentaire pour faire un Pen Test. Ou si vous êtes sympathique avec quelqu'un en informatique, vous pouvez les approcher directement et suggérer que vous êtes intéressé à étudier la sécurité du réseau et espérer obtenir un emploi un jour, et pourriez-vous acquérir de l'expérience en effectuant un test de plume du réseau local . Si vous avez déjà la réputation d'être bon en informatique et en sécurité, et d'être digne de confiance, vous pouvez avoir une chance décente de faire fonctionner cette approche.
Cela nécessitera beaucoup plus de travail que de simplement signaler le problème, si vous voulez le faire correctement. Vous devrez tester beaucoup plus de choses afin de pouvoir efficacement blanchir vos connaissances sur le trou de sécurité existant (bien sûr, vous pourriez avoir de la chance et trouver d'autres problèmes!), Et vous devrez rédiger un rapport détaillant tout ce que vous et pourquoi et ce que vous avez trouvé. Ils peuvent également limiter la portée de ce que vous êtes autorisé à tester ou vous donner un système de test qui n'expose pas le problème que vous avez déjà trouvé, ce qui signifie que vous serez bloqué en faisant le travail et en écrivant le rapport sans être en mesure de divulguer le problème d'origine.
Bien sûr, c'est une façon assez "sournoise" de signaler le problème. Si vous êtes refusé, vous devriez probablement garder le silence sur le problème d'origine, car si vous le signalez ou si quelqu'un d'autre le fait et qu'il vous est retracé, les gens se souviendront de la date à laquelle vous avez demandé d'effectuer un Pen Pen et commencent à poser des questions sur vous et à quel point vous pourriez être digne de confiance. Il y a donc un certain risque à cette approche.
Comment devez-vous leur dire? Tu ne devrais pas.
Regardons les conséquences potentielles ici. Puisque vous vous promeniez sur leur réseau sans autorisation (quelque chose qui est presque certainement en violation de votre accord étudiant et quel que soit le consentement que vous avez cliqué pour accéder à leur système informatique), le meilleur résultat que vous pouvez attendre est qu'ils vont corrigez le problème et vous obtiendrez une petite tape dans le dos.
D'un autre côté, il y a au moins un changement raisonnable selon lequel ils obtiendront le mauvais bout du bâton, vous expulseront de l'école et pourraient même appeler la police. Puisqu'il y a eu d'autres cas de piratage, ils peuvent passer à l'hypothèse que vous y avez également participé, augmentant ainsi les risques de conséquences juridiques.
À tout le moins, et malgré vos bonnes intentions, vous avez presque certainement enfreint la loi . Bien que l'école puisse choisir de ne pas en tenir compte, ils ne le peuvent pas non plus.
Lorsque vous pesez le haut contre le bas, le choix doit être évident.
"Madame, je voudrais juste vous faire savoir que si vous glissez une bande de métal dans le pêne dormant de la porte de votre garage, vous pouvez l'ouvrir avec peu d'effort."
Ne divulguez pas. Beaucoup d'entre nous, spécialistes de la sécurité, ont trouvé des vulnérabilités dans les systèmes informatiques de nos universités, mais il n'y a rien à gagner à les divulguer. Laissez quelqu'un d'autre le trouver et le divulguer, mais ne soyez pas celui qui risque d'être accusé de briser un système qui n'est pas le vôtre. Il y a beaucoup d'histoires dans les écoles où je suis allé dans lesquelles le messager a été puni pour avoir tenté de violer le système. Je parierais que vous êtes beaucoup plus susceptible d'être puni en révélant la vulnérabilité au lieu d'en profiter vous-même par malveillance.
Si vous avez une raison personnelle pour que le système ne soit pas violé, contactez l'administrateur système pour remettre en question la sécurité du système afin que vos données ne soient pas personnellement volées. Posez des questions spécifiques à la faille que vous avez découverte dans l'espoir que l'administrateur trouve la même faille, mais ne suggérez pas que vous avez déjà tenté d'accéder au système.
Utilisez la méthode socratique .
Exposez la vulnérabilité à celui qui est en charge de la sécurité comme une série de questions. S'ils, pour des raisons de sécurité (ou autre), ne peuvent pas ou ne veulent pas répondre à vos questions, proposez des situations hypothétiques et posez des questions à leur sujet.
Pouvez-vous révéler la vunérabilité d'une manière autorisée?
Vous avez trouvé le problème d'une manière qui n'est apparemment pas autorisée. Pouvez-vous présenter le problème d'une manière que vous avez l'autorisation? Si c'est le cas, essayer cela pourrait être une bonne idée. Ce n'est peut-être même pas la vulnérabilité d'origine, mais un bogue qui, lorsqu'il est étudié ou corrigé, révèle la vulnérabilité.
Par exemple, la vulnérabilité est peut-être que les mots de passe ne sont pas hachés. Vous l'avez découvert en entrant dans les serveurs de l'école. Au lieu de leur dire que vous êtes entré sur les serveurs de l'école, téléchargez une extension de navigateur qui vérifie si les mots de passe sont transmis en texte brut (ce qui peut être vu comme un moyen de protéger votre propre sécurité d'une manière raisonnable et non curieuse), et dites l'école que leur site provoque des drapeaux rouges sur votre ordinateur portable et que vous vous inquiétez pour votre propre sécurité. La grande chose à propos de cela est qu'il est beaucoup plus sûr et justifiable de dire aux gens à l'extérieur l'école s'ils le réparent dans un délai raisonnable.
Un avantage de cette technique est que vous n'avez pas à mentir très probablement.
Il est probablement préférable de vous assurer qu'ils ne réalisent pas la façon originale dont vous avez découvert la vulnérabilité, même s'ils la corrigent, de peur qu'ils ne déchaînent les pouvoirs du gouvernement contre vous. (Votre espionnage est-il enregistré dans des journaux, par exemple?)
Dites-leur de façon anonyme, en citant tout ce que vous avez fait, par exemple les tests de pénétration, les résultats, etc. afin qu'ils puissent le vérifier par eux-mêmes (ou embaucher quelqu'un). Assurez-vous que le message est envoyé à toutes les personnes autorisées à approfondir le (s) problème (s).
Comme Drewbenn l'a suggéré dans sa deuxième réponse, mais pour le dire d'une manière légèrement différente, où Drewbenn a dit que vous pouvez demander la permission, je dis que vous pouvez également "suggérer un contrôle de sécurité ou les exhorter à le faire, avec ou sans votre aider "avec une raison comme" Je fais X ou je m'engage dans des communautés X en ligne, et il y a eu des rapports ou des bavardages sur le piratage d'écoles dans notre état/ville, et quelqu'un s'en vantait. " Vous pensez donc que "nous devrions vérifier si notre école a été ciblée par cela récemment".
Vous n'auriez pas dû être là, donc peu importe ce que vous avez trouvé, vous avez actuellement tort. Jusqu'à ce que vous obteniez la permission de regarder, vous devez rester silencieux à ce sujet et espérer qu'ils n'ont pas détecté votre présence.