Frage:
Wie soll ich der Schule sagen, dass sie anfällig sind, wenn ich keine Erlaubnis zur Überprüfung erhalten habe?
vakus
2016-04-11 22:56:08 UTC
view on stackexchange narkive permalink

Ich möchte meiner Schule in Großbritannien Sicherheitslücken melden. Ich hatte es geschafft, Sicherheitslücken ohne Exploits oder andere Software oder Hardware zu finden.

Ich habe mir ähnliche Fragen angesehen. Das Problem ist jedoch, dass es sehr wahrscheinlich herausfindet, dass dies der Fall ist Ich selbst, wenn ich eine anonyme E-Mail verwenden würde, wie in dieser Frage vorgeschlagen, da die IT-Abteilung weiß, dass ich viel Wissen über Computerprogrammierung, Netzwerk, Sicherheit habe und es (möglicherweise) höher ist als das anderer, also gehe ich davon aus, dass ich würde sofort angerufen werden. Die Lehrer haben auch das Wissen, dass ich andere Sicherheitslücken gefunden habe, die die Schulpolitik überhaupt nicht beeinflusst haben, weshalb ich mit dieser keine Probleme hatte. Auch Sicherheitslücken erfordern physischen Zugriff, so dass ich nicht lügen konnte, dass dies remote durchgeführt wurde.

Eine andere erwähnte Antwort in der bereits erwähnten Frage soll sie einfach ignorieren, ich hatte jedoch herausgefunden, dass einer ihrer Computer dies getan hatte wurde von jemand anderem gehackt, und um zu sagen, wie ich das herausgefunden habe, müsste ich Sicherheitslücken erwähnen oder vorschlagen, dass ich versucht habe, sie zu hacken.

Ich bin mir auch sicher, dass sie mehr als glücklich sein werden, jemanden zu hören, der gut genug ist, um dieses Problem zu melden und es nicht zu verkaufen oder auszunutzen.Es ist jedoch wichtig, sich daran zu erinnern, dass nicht jeder so ist.Diese Lösung birgt definitiv einen Risikoaspekt
Ohne weitere Details zu Ihren Aktivitäten und einem Jurastudium in Großbritannien ist es schwer, sicher zu sein, aber Sie haben möglicherweise gegen Gesetze verstoßen.Selbst wenn Sie es nicht getan haben, gibt es eine lange Geschichte, in der Hacker mit weißem Hut strafrechtlich verfolgt werden.
@l1thal Ich würde Ihren Kommentar ablehnen, wenn ich könnte.In einer idealen Welt ist das wahr, aber die Leute neigen dazu, "den Boten zu erschießen", wenn es um Dinge geht, die sie nicht verstehen, und dazu gehört oft auch die Computersicherheit.
@drewbenn Deshalb würden Sie es jemandem in der IT-Abteilung der Schule erzählen.
Ich stimme @drewbenn zu.Das ist ein sehr riskanter Rat.
Ich denke, ich bin nur eine riskante Person, aber ich werde meinen Kommentar überarbeiten, um darauf hinzuweisen, dass er riskant ist.
@l1thal, das auch davon ausgeht, dass die IT-Abteilung so gut informiert ist, wie es sein sollte.Was in Schulbezirken leider nicht immer der Fall ist.
@WorseDoughnut Das ist ein guter Punkt.Vielen Dank für all Ihre Beiträge. Ich werde dies alles im Hinterkopf behalten, falls mich jemals jemand damit konfrontiert
Ich schlage vor, es anonym zu versuchen und dann Wissen oder Beteiligung vollständig abzulehnen, wenn ich persönlich gefragt werde
IMHO, wenn Sie den anonymen Weg gehen wollen, gehen Sie ausgewachsen, hardcore, anonym.Verwenden Sie Schwänze, machen Sie einen Ausflug in ein brandneues Café und nutzen Sie das WLAN, stellen Sie sicher, dass Sie mit dem Tor-Browser mit den höchsten / strengsten Sicherheitseinstellungen auf Tor sind, und zerstören Sie die Schwänze USB vollständig, wenn Sie fertig sind.Geben Sie sich so viel Abstand wie möglich von der anonymen E-Mail.Senden Sie es an eine Abteilung.Kopf, den Sie nicht so gut kennen, oder senden Sie ihn sogar an einen Bezirksleiter / Mitarbeiter oder sogar an einen PTA-Leiter (anstatt an jemanden aus Ihrer Schule, der Sie leicht herausgreifen könnte).
Stimmen Sie @WorseDoughnut zu Wenn Sie anonym bleiben, gehen Sie den ganzen Weg.Keine halben Sachen.Wenn ich es wäre, würde ich auch überhaupt nichts sagen.Ich bin in den USA und wir neigen dazu, solche Dinge in Brand zu setzen und eine Menge Thermit darauf zu gießen, wenn wir gute Absichten anprangern.Ich kenne die britischen Überzeugungen und was nicht viel leichter ist, aber immer noch ... Überzeugungen.Die Gesellschaft liebt es, auf der Wahrnehmung von schlechten Absichten auf und ab zu springen, und jede Handlung, die dieser Idee widerspricht, scheint normalerweise abgewischt und vergessen zu werden.
Warum kannst du es nicht selbst reparieren?Du musst es niemandem erzählen.
@sacreligious222 Ein Loch zu finden ist viel einfacher als es zu reparieren.Das Reparieren eines Lochs * ohne dass jemand merkt, dass Sie mit Dingen herumspielen * fügt nur einen ganz anderen Schwierigkeitsgrad hinzu.Es ist, als würde man einen Keks zurück in die Keksdose legen.Es ist schwer zu beweisen, dass dies der Grund ist, warum deine Hand darin ist.
Kann diese Sicherheitsanfälligkeit "versehentlich" bei einer Aufgabe oder Klasse im Computerraum entdeckt werden, oder sind aktive Anstrengungen erforderlich, um sie auszunutzen?
Diese Sicherheitsanfälligkeit konnte nicht versehentlich gefunden werden
Es klingt so, als wäre plausible Verleugnung das absolute Minimum dessen, was Sie brauchen.Wenn sie Ihre Computer überprüfen, gibt es besser keine Spuren von irgendetwas.(12x oder so überschreiben) Wenn sie annehmen, dass Sie es sind, heißt das nicht, dass sie es beweisen können.Die anderen Vorschläge sind gut, daher werde ich nicht auf bereits behandelte Details eingehen.Nur ... Behalte nichts belastendes bei und * sage * oder gebe es auch nicht zu.
Wenn jemand anderes diese Sicherheitsanfälligkeit bereits gefunden hat und nutzt, scheint das nicht ein anständiger Beweis dafür zu sein, dass Sie nicht die einzig mögliche Person sind, die sie entdeckt?Ich schlage nicht vor, dass Sie einen anonymen Bericht erstellen (die Beweisstandards können ohnehin niedrig sein), sondern ihn nur dort veröffentlichen.
Neun antworten:
user15392
2016-04-11 23:48:42 UTC
view on stackexchange narkive permalink

Wenn es einen Lehrer oder Berater gibt, dem Sie vollständig vertrauen können und von dem Sie wissen, dass er Ihren Namen geheim hält, selbst wenn die Schulverwaltung anfängt, Drohungen gegen die Entlassung von Personen auszusprechen, würde ich zuerst zu ihnen gehen und Sprich privat mit ihnen. Sie müssen weder Computer noch Sicherheit verstehen (und Sie müssen nicht ins Detail gehen), sie müssen nur vertrauenswürdig sein und sich gut in der Verwaltungspolitik der Schule zurechtfinden: Sie benötigen Ratschläge zu den Persönlichkeiten der beteiligten Personen und wie gefährlich es für Sie wäre, das Problem zu melden. Wenn sie sich überhaupt nicht melden, sollten Sie ruhig bleiben.

Wenn sich jemand mit genügend Macht schämt, sucht er möglicherweise nach jemandem, der feuert oder vertreibt (oder im schlimmsten Fall zu verhaftet haben), um die Illusion zu vermitteln, dass sie die Kontrolle über die Situation haben. Wenn Sie mit der Verwaltung und der IT-Abteilung vertraut sind und ihnen vertrauen, und Sie wissen, dass sie Schüler in der Vergangenheit unterstützt haben, auch wenn sie dadurch schlecht aussahen, ist es möglicherweise weniger riskant, das Problem zu teilen, aber ich würde es trotzdem empfehlen Durch einen vertrauenswürdigen Vermittler gehen.

Wenn Sie nicht mit jemandem sprechen können, dem Sie vertrauen, um Ihren Namen anonym zu halten, und Sie das Problem nicht anonym melden können (und es klingt so, als ob Sie es nicht können), ist dies der Fall wahrscheinlich am besten für Sie , um ruhig zu bleiben. Und das bedeutet ganz leise: Sprechen Sie nicht über das, was Sie in den Foren gefunden haben, erzählen Sie Ihren Freunden nicht, was Sie gefunden haben, und probieren Sie es in ein paar Wochen nicht noch einmal aus, um zu sehen, ob es behoben wurde: Sie ziehen an möchte in keinem Protokoll angezeigt werden, dass dies etwas damit zu tun hat, insbesondere wenn es von jemand anderem ausgenutzt wird. Es ist scheiße, aber beginnen Sie damit, sich selbst zu schützen.

Sie erhalten eine +1 für den Vorschlag, sich zuerst um die eigene Sicherheit zu kümmern.
Wenn es in der Schule ein IT-Sicherheitsproblem gibt und das OP diese Schule besucht, besteht eine eindeutige Möglichkeit, dass das Schweigen und die böswillige Ausnutzung der Sicherheitsanfälligkeit durch jemanden auch für das OP schädlich sein kann.
@Ben Vielleicht sollte es dem Schulbezirk (Superintendent) oder der Polizei gemeldet werden, wenn OP der Ansicht ist, dass ihre Informationen oder ihre Sicherheit gefährdet sind
+1.Nach diesem Rat wäre es im schlimmsten Fall so, als ob das OP die Sicherheitslücke überhaupt nicht entdeckt hätte.
Ich habe das schon einmal gemacht, als ich feststellte, dass meine Schule für etwas anfällig ist.Mein Lehrer rief ruhig am Support Desk an und sagte es ihnen.Innerhalb von 2-3 Tagen wurde es behoben und mir wurde Danke gesagt, aber dann wurde ich höflich gebeten, dies nicht noch einmal zu testen.
Ich habe abgestimmt.Diese Vorgehensweise beginnt damit, dass das OP offen erklärt (gegenüber einem Fakultätsmitglied, das möglicherweise nichts über IT weiß), dass er gegen die IT-Richtlinien der Schule verstoßen und einen unaufgeforderten Sicherheitstest durchgeführt hat.Das scheint tollkühn.
@Spotlight Höflich gefragt oder "höflich gefragt"?
@Richard nicht nur die IT-Richtlinien der Schule, sondern auch das britische Recht, das mit bis zu sechs Monaten Gefängnis bestraft werden kann (unbefugter Zugriff auf ein Computersystem ohne die Absicht, ein weiteres Verbrechen zu begehen).
@Sebb Ohne Anführungszeichen.
user15392
2016-04-12 01:32:45 UTC
view on stackexchange narkive permalink

Ein anderer Gedanke kam mir, als ich Ihre Frage erneut las (Hervorhebung meiner):

Wie soll ich der Schule sagen, dass sie anfällig sind, wenn mir keine Erlaubnis zur Überprüfung erteilt wurde? ?

Könnten Sie die Erlaubnis erhalten? Sobald Sie die Erlaubnis haben, können Sie das Problem "entdecken" (ohne jemandem mitzuteilen, dass Sie es zuvor gefunden haben) und es melden, ohne sich Sorgen machen zu müssen, dass Sie ohne Erlaubnis für das Hacken verantwortlich gemacht werden.

Es wäre am einfachsten, wenn Sie ' Nehmen Sie bereits an einem Computerkurs teil, der von einem freundlichen Lehrer unterrichtet wird, der mit der IT zusammenarbeitet, um Ihnen eine zusätzliche Gutschrift für einen Pen-Test zu geben. Wenn Sie mit jemandem in der IT befreundet sind, können Sie sich direkt an ihn wenden und vorschlagen, dass Sie sich für das Studium der Netzwerksicherheit interessieren und hoffen, eines Tages einen Job darin zu bekommen. Wenn Sie einen Pen-Test des lokalen Netzwerks durchführen, können Sie Erfahrungen sammeln . Wenn Sie bereits den Ruf haben, gut mit Computern und Sicherheit umzugehen und vertrauenswürdig zu sein, haben Sie möglicherweise eine gute Chance, diesen Ansatz zum Laufen zu bringen.

Dies erfordert viel mehr Arbeit als nur das Melden des Problems , wenn du es richtig machst. Sie müssen viel mehr Dinge testen, damit Sie Ihr Wissen über die vorhandene Sicherheitslücke effektiv waschen können (natürlich können Sie Glück haben und weitere Probleme finden!), Und Sie müssen einen Bericht verfassen, in dem alles aufgeführt ist, was Sie tun tat und warum und was du gefunden hast. Sie können auch den Umfang dessen einschränken, was Sie testen dürfen, oder Ihnen ein Testsystem geben, das das bereits gefundene Problem nicht aufdeckt, was bedeutet, dass Sie bei der Arbeit und beim Schreiben des Berichts nicht weiterkommen können, ohne dies offenlegen zu können die ursprüngliche Ausgabe.

Natürlich ist dies eine ziemlich "hinterhältige" Art, das Problem zu melden. Wenn Sie abgelehnt werden, sollten Sie wahrscheinlich über das ursprüngliche Problem schweigen, denn wenn Sie es melden oder jemand anderes es tut und es auf Sie zurückgeführt wird, werden sich die Leute daran erinnern, wann Sie gebeten haben, einen Pen-Test durchzuführen und Fragen über Sie und zu stellen wie vertrauenswürdig du sein könntest. Dieser Ansatz birgt also ein gewisses Risiko.

Ich habe dieses Community-Wiki markiert, damit niemand denkt, ich versuche, zusätzliche Mitarbeiter zu stehlen, indem ich zweimal antworte.Meine Antworten waren sehr unterschiedliche Ansätze, und aus Gründen des OP denke ich, dass über sie separat abgestimmt werden sollte.
Sie würden keinen Repräsentanten stehlen, aber ich verstehe Ihren Standpunkt.
"Hey IT-Lehrer, ich habe in einer Zeitschrift gelesen, dass Sie sich vielleicht so einhacken können, sollte ich unser System testen? Ich gestehe, ich habe bereits einen Blick darauf geworfen und ich denke, wir sind möglicherweise verwundbar, aber ich brauche Ihre Erlaubnis, um dies zu versuchenaus..."
Was passiert, wenn die IT-Abteilung die Anfrage von OP ablehnt, diese jedoch selbst überprüft und der Name von OP in den Protokollen angezeigt wird?(Oder andere Daten, die auf OP zurückgeführt werden können)
Richard
2016-04-12 04:27:57 UTC
view on stackexchange narkive permalink

Wie solltest du es ihnen sagen? Das sollten Sie nicht.

Sehen wir uns hier die möglichen Konsequenzen an. Da Sie ohne Erlaubnis in ihrem Netzwerk herumgestöbert haben (was mit ziemlicher Sicherheit gegen Ihre Studentenvereinbarung und die Zustimmung verstößt, durch die Sie geklickt haben, um Zugriff auf ihr IT-System zu erhalten), ist das beste Ergebnis, das Sie erwarten können, dass sie es tun Beheben Sie das Problem und Sie erhalten einen kleinen Klaps auf den Rücken.

Andererseits gibt es zumindest eine vernünftige Änderung, dass sie das falsche Ende des Stocks bekommen und Sie aus der Schule ausweisen und kann sogar die Polizei rufen. Da es andere Fälle von Hacking gegeben hat, können sie davon ausgehen, dass Sie auch irgendwie in diese verwickelt waren, was die Wahrscheinlichkeit rechtlicher Konsequenzen erhöht.

Zumindest und trotz Ihres Guten Absichten, mit denen Sie mit ziemlicher Sicherheit gegen das Gesetz verstoßen haben. Die Schule kann dies zwar übersehen, aber auch nicht.

Wenn Sie die Oberseite gegen die Unterseite abwägen, sollte die Wahl offensichtlich sein.

Ich bin völlig anderer Meinung. Unabhängig davon, wie Sie diese Informationen erhalten, sollten Sie die Informationen dem Systemadministrator, einem vertrauenswürdigen Dritten, zur Verfügung stellen, der die erforderlichen Änderungen in Gang setzen muss. Zu wissen, dass etwas nicht stimmt, und nichts dagegen zu tun, ist dasselbeals Warten auf eine mögliche Katastrophe.
@Squazz - Ich muss dir nicht zustimmen.Zumindest hat er mit ziemlicher Sicherheit [gegen die eigene IT-Richtlinie der Schule verstoßen] (https://www.techdirt.com/articles/20090731/0325265727.shtml).Was ist der Vorteil der Offenlegung?Lohnt es sich, einen Schlag auf den Kopf zu bekommen, um seine akademische Karriere zu riskieren?
@Squazz - Ich bin mir auch ziemlich sicher, dass das OP weiß, dass er nichts tun sollte oder dass er die Frage überhaupt nicht stellen würde.Wenn nichts anderes, ist die Tatsache, dass er es ihnen noch nicht gesagt hat, mit ziemlicher Sicherheit ein weiterer Verstoß gegen die Richtlinien, der vermutlich die Klausel "Entdeckte Schwachstellen, die entdeckt werden, sollte sofort der IT-Abteilung gemeldet werden" enthält.
Das liegt nicht immer daran, dass Sie aktiv versucht haben, die Sicherheit zu brechen.Ich habe einmal eine Schule besucht, in der wir im Programmierunterricht eine Sicherheitslücke in dem PHP-Server gefunden haben, den unsere Schule uns zum Herumspielen mit PHP zur Verfügung gestellt hat.Wir haben die Sicherheitslücke zufällig gefunden, nicht indem wir aktiv danach gesucht haben. Ich weiß nicht, wie OP das Wissen, über das er verfügt, ausgewählt hat, aber ich denke, dass er es, egal wie die Informationen erhalten wurden, vertrauenswürdigen Personen offenlegen sollte.Wenn Sie die Informationen anonym weitergeben oder nicht, ist eine Sicherheitsanfälligkeit eine Sicherheitsanfälligkeit, die behoben werden sollte.
@Squazz - Auch hier muss ich der Analogie nicht zustimmen.In Ihrem Fall hatten Sie einen berechtigten Grund, auf dem Server herumzustöbern.Im Fall des OP scheint er nur ein geschäftiger Mensch zu sein, der seinen privilegierten (internen) Zugang genutzt hat, um einen nicht autorisierten Pen-Test durchzuführen
Wenn Sie der Administrator im Netzwerk wären, was würden Sie dann bevorzugen?Dass ein (vermutlich) White-Hat-Student Ihnen von der Sicherheitsanfälligkeit erzählt oder dass Sie davon erfahren, wenn es zu spät ist und die Sicherheitsanfälligkeit für etwas Schlimmes missbraucht wurde? In meiner Welt ist diese Antwort einfach, möchte ichweiß davon, bevor es zu spät ist
@Squazz - Wenn ich der Administrator wäre, würde ich wahrscheinlich davon ausgehen, dass das OP am ursprünglichen Hacking beteiligt war.Abhängig vom früheren Datenverlust würde ich wahrscheinlich die Polizei anrufen, um sie über die Tatsache zu informieren, dass ein Student sich gemeldet hat, um zu gestehen, dass er im Netzwerk herumgestochert hat, und dass er, obwohl er behauptet, unbeteiligt zu sein, dies möglicherweise vermutetversuchen, [etwas Ruhm zu erlangen] (http://www.wsj.com/articles/SB121960882331467103), indem Sie ein Problem hervorheben, an dessen Verursachung er möglicherweise beteiligt war.Zumindest würde ich seinen Zugang sofort aussetzen, bis eine Untersuchung ansteht.
"Die Schule könnte sich dafür entscheiden, dies zu übersehen, sie könnte es auch nicht" - eine Sache, die untersucht werden muss, ist, wie viele Kinder in Großbritannien jemals wegen Computerkriminalität strafrechtlich verfolgt wurden, insbesondere solche, bei denen kein Schaden angerichtet wurde.Ich weiß es nicht genau, aber ich gehe davon aus, dass es eine ziemlich kleine Zahl ist.Die überwältigende Wahrscheinlichkeit ist, dass der Fragesteller nicht strafrechtlich verfolgt wird, aber ich stimme zu, dass das verbleibende kleine Risiko nicht vollständig ausgeschlossen werden kann.Wenn der Fragesteller über 18 Jahre alt ist und noch in der Schule ist (daher im letzten Jahr), können sich die Chancen etwas verschieben.
@SteveJessop - Lass uns ein kleines Spiel spielen, das "Was ist der Auf- / Abwärtstrend" heißt.Wenn er es meldet, was ist das Beste, was Sie sich realistisch vorstellen können?Wenn er es meldet, was ist das Schlimmste, was Sie sich realistisch vorstellen können?Stellen Sie diese Ergebnisse nun auf eine Wippe.Welche Seite ruht auf dem Boden?
@Richard: und was ist der Vorteil / Nachteil, wenn Sie es nicht melden?Der potenzielle Hauptnachteil ist, dass er bereits protokolliert wurde und schließlich herausgefunden wird, wenn sie den Fehler entdecken und ihre Prüfung durchführen.Das Worst-Case-Szenario ist in beiden Fällen dasselbe. Er wird beschuldigt, sie gehackt zu haben. Daher müssen wir auch überlegen, was wahrscheinlich ist.Wenn der Fragesteller "Best Case / Worst Case" gespielt hätte, bevor er sich entschieden hätte, zu prüfen, ob die Sicherheitslücke überhaupt vorhanden ist, wäre es einfach zu sagen, nur vorsichtig zu spielen und nichts zu tun.
@SteveJessop - Das ist ein guter Punkt, aber eine offene Diskussion über seine Aktionen einzuladen, scheint weitaus wahrscheinlicher zu sein, als sich vorzustellen, dass das IT-Team den Fehler jemals entdecken wird.Es ist weitaus wahrscheinlicher, dass es irgendwann (beim nächsten Systemupdate) gepatcht wird, wenn sie nicht klüger sind.
@Richard: Letztendlich denke ich, dass es auf Faktoren ankommt, die der Fragesteller (wahrscheinlich mit Bedacht) ausgelassen hat, wie genau, was er getan hat, um diese Verwundbarkeit zu entdecken und wie seine Beziehung zu seinen Lehrern ist.Wenn er ein weithin bekanntes Shellshock-Erkennungsskript ausführt, während er an einem Computer angemeldet ist, den er verwenden darf, ist er an einem viel besseren Ort, als wenn er umfangreiche Fuzz-Tests auf seinem Lohn- und Gehaltsabrechnungssystem durchführt und eine SQL-Injektion gefunden hat.Ja, wenn er keinen Grund zu der Annahme hat, dass sie es gut nehmen, sollte er davon ausgehen, dass sie es schlecht nehmen werden.Sie werden ihn nur dann wirklich verhaften, wenn es Schaden gibt.
Denken Sie auch darüber nach, er hat schon früher Schwachstellen gefunden und die Lehrer wissen es.Er weiß also, wie die Reaktion vorher war und wir nicht.Wenn ihm zuvor gesagt wurde: "Danke, das ist wirklich nützlich, wir werden das sofort korrigieren", dann ist er an einem viel besseren Ort als wenn ihm gesagt wurde: "Dies ist Ihre erste und letzte Warnung, wenn Sie so etwas tundann bist du wieder ausgewiesen und wir werden die Polizei informieren ".Ich denke, was tatsächlich passiert ist, war irgendwo dazwischen und weniger klar, oder er würde diese Frage nicht stellen müssen, aber es sollte ihm helfen, ihn zu führen.
Vortico
2016-04-12 08:39:25 UTC
view on stackexchange narkive permalink

"Ma'am, ich möchte Sie nur wissen lassen, dass Sie einen Metallstreifen mit geringem Aufwand öffnen können, wenn Sie einen Metallstreifen in den Riegel der Tür zu Ihrer Garage schieben."

Nur nicht offenlegen. Viele von uns Sicherheitsleuten haben Schwachstellen in den Computersystemen unserer Universitäten gefunden, aber es gibt nichts zu gewinnen, wenn sie offengelegt werden. Lassen Sie es von jemand anderem finden und offenlegen, aber riskieren Sie nicht, ein System zu brechen, das nicht Ihnen gehört. Es gibt viele Geschichten in Schulen, in die ich gegangen bin, in denen der Bote dafür bestraft wurde, dass er versucht hat, das System zu verletzen. Ich wette, es ist viel wahrscheinlicher, dass Sie bestraft werden, indem Sie die Sicherheitsanfälligkeit offenlegen, anstatt sie selbst böswillig auszunutzen.

Wenn Sie einen persönlichen Grund dafür haben, dass das System nicht verletzt wird, wenden Sie sich an den Systemadministrator, um Fragen zu stellen die Sicherheit des Systems, damit Ihre Daten nicht persönlich gestohlen werden. Stellen Sie Fragen zu dem Fehler, den Sie in der Hoffnung entdeckt haben, dass der Administrator denselben Fehler findet, aber schlagen Sie nicht vor, dass Sie zuvor versucht haben, auf das System zuzugreifen.

Für das, was es wert ist, ist der Fragesteller in Großbritannien und wir nennen Universitäten hier nicht "Schulen".Immer noch scheiße, natürlich ausgewiesen zu werden, auch wenn es "nur" von der High School ist.
Amani Kilumanga
2016-04-12 11:45:00 UTC
view on stackexchange narkive permalink

Verwenden Sie die sokratische Methode.

Zeigen Sie die Sicherheitslücke dem Verantwortlichen für die Sicherheit in einer Reihe von Fragen auf. Wenn sie aus Sicherheitsgründen (oder aus welchen Gründen auch immer) Ihre Fragen nicht beantworten können oder wollen, schlagen Sie hypothetische Situationen vor und fragen Sie danach.

PyRulez
2016-04-12 07:19:10 UTC
view on stackexchange narkive permalink

Können Sie die Vunerabilität auf zulässige Weise offenlegen?

Sie haben das Problem auf eine Weise gefunden, die anscheinend nicht zulässig ist. Können Sie das Problem so darstellen, dass Sie die Erlaubnis dazu haben? Wenn ja, könnte es eine gute Idee sein, dies zu versuchen. Möglicherweise handelt es sich nicht einmal um die ursprüngliche Sicherheitsanfälligkeit, sondern um einen Fehler, der bei der Untersuchung oder Behebung die Sicherheitsanfälligkeit aufdeckt.

Möglicherweise besteht die Sicherheitsanfälligkeit darin, dass Kennwörter nicht gehasht werden. Sie haben dies herausgefunden, indem Sie auf die Server der Schule gegangen sind. Anstatt ihnen mitzuteilen, dass Sie auf die Server der Schule gelangt sind, laden Sie eine Browsererweiterung herunter, die prüft, ob Passwörter als Klartext übertragen werden (was als Mittel zum Schutz Ihrer eigenen Sicherheit auf vernünftige, nicht neugierige Weise angesehen werden kann), und sagen Sie es die Schule, dass ihre Website rote Fahnen auf Ihrem Laptop verursacht und dass Sie sich Sorgen um Ihre eigene Sicherheit machen. Das Tolle daran ist, dass es viel sicherer und vertretbarer ist, Leuten außerhalb der Schule zu sagen, ob sie das Problem in angemessener Zeit beheben.

Ein Bonus dieser Technik ist das Sie müssen höchstwahrscheinlich nicht lügen.

Es ist wahrscheinlich am besten sicherzustellen, dass sie nicht die ursprüngliche Art und Weise erkennen, wie Sie von der Sicherheitsanfälligkeit erfahren haben, auch wenn sie diese beheben, damit sie nicht die Befugnisse der Regierung freisetzen gegen dich. (Wird Ihr Snooping beispielsweise in einem Protokoll aufgezeichnet?)

S.E. Foulk
2016-04-12 09:42:36 UTC
view on stackexchange narkive permalink

Sagen Sie es ihnen anonym und zitieren Sie alles, was Sie getan haben, z. B. die Penetrationstests, Ergebnisse usw., damit sie es selbst überprüfen (oder jemanden einstellen können). Stellen Sie sicher, dass die Nachricht an alle Personen gesendet wird, die befugt sind, sich mit den Problemen zu befassen.

Das OP hat das Problem der Anonymität bereits erwähnt.
Rok
2016-04-12 17:02:10 UTC
view on stackexchange narkive permalink

Wie Drawbenn in ihrer zweiten Antwort vorgeschlagen hat, aber um es etwas anders auszudrücken: Drawbenn sagte, Sie können um Erlaubnis bitten, ich sage, Sie können auch „eine Sicherheitskontrolle vorschlagen oder sie dazu auffordern, dies zu tun oder ohne Ihre Hilfe “mit einem Grund wie„ Ich mache X oder engagiere mich online in X-Communities, und es gab Berichte oder Gespräche darüber, dass Schulen in unserem Bundesstaat / unserer Stadt gehackt wurden und jemand damit prahlte. “ Sie denken also, "wir sollten überprüfen, ob unsere Schule in letzter Zeit davon betroffen war".

Paul Smith
2016-04-12 17:08:47 UTC
view on stackexchange narkive permalink

Du hättest nicht dort sein sollen, also ist es egal, was du gefunden hast, du bist derzeit im Unrecht. Bis Sie die Erlaubnis zum Schauen erhalten, müssen Sie darüber schweigen und hoffen, dass sie Ihre Anwesenheit nicht erkannt haben.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...