大学の卒業生のログインページが単純なHTTPであることがわかりました。 Wiresharkは、資格情報がHTTP POSTメッセージを使用して送信されることを確認しました。私は少し調査しましたが、私が思ったように、ログインページでは常にHTTPSを使用する必要があります IsサイトがHTTPを使用してログインページを提供することは安全ですが、実際のサイトはHTTPSにありますか? )。
まず、大学を大事にしたいのですが、どうすれば彼らに行動を起こさせることができますか?学位や卒業年などの個人データが卒業生データベースに保存されている可能性は非常に高いです。一部の組織がそのような報告を真剣に受け取らなくても驚くことではありません( 問題を信じていない大規模な組織に脆弱性を報告するにはどうすればよいですか? を参照してください)。卒業生のメールアカウントを使用して大学のITヘルプデスクにメールを送信しましたが、担当者から、問い合わせを一般の卒業生の問い合わせメールに転送するように求められました。
技術的な詳細に加えて、ハッキングのために警察が私を逮捕しないようにするにはどうすればよいですか?私は個人情報を盗もうとしませんでした。大学が何らかの措置を講じる前に、この脆弱性をセキュリティフォーラムに報告することには興味がありません。
追伸私のCSの学位がその学校の出身だったのは恥ずかしいです。
ログインにHTTPSではなくHTTPを使用していることを報告するだけで安全ではないため、ハッキングの疑いをかけられることはありません。サイトを見てすぐに公開されるものです。
実際にハッキングと見なされる可能性のある脆弱性を検出する方法は多数あります(たとえば、実行を許可されていないターゲットに対して脆弱性スキャナーを実行する)。しかし、私は、ページを確認し、ハッキングされていることがすぐにわかる欠陥を認識します。それは家を歩いているようなもので、誰かがドアを開けたままドアを開けたままにし、泥棒であると指摘されたときにドアを開けたままにしている(あなたが立っていなくても)それらの特性。)
メールを無視する場合は、データ保護法の施行を担当する組織に報告してみてください。出身地はわかりませんが、英国では http://ico.org.uk/concerns
彼らはあなたのデータを安全に保つ責任があります。
まず、誰にも何もさせてはいけません。ミョウバンとして、あなたは自分の資格が公開されているというあなた自身の個人的な懸念を提起することができますが、それはそれについてです。
誰かがあなたの述べられた行動をどのようにハッキングと見なすかはわかりませんが、それはあなたの管轄に依存します。私の場合、自分のパケットをキャプチャすることはまったく違法ではありません。
ITサポートがあなたを一般的な電子メールのビンに送り込んだのは残念ですが、その手順に従う必要があります。
これが私のアプローチです:
あなたの大学にセキュリティ担当者がいるかどうか調べてください。多分彼らはそれを行う会社を持っているか、彼らは部門を持っています。もしそうなら、これらの人々に連絡してみてください。彼らはあなたが何を話しているかをよく知っています。
彼らに連絡するとき、あなたはwiresharkについて彼らに話す必要はありません。 「このサイトはHTTPを使用していることに気づきました。私はコンピューターのセキュリティで作業しているため、私の名前とパスワードは何の保護もされずにインターネット経由で送信されることを知っています。あなたと私の間のネットワークにいる悪意のある人物は、この方法で私のアイデンティティを盗みます。あなたはこれを知っていますか?」
したがって、最初の目標は、「リスクを発見し、私が話していることを知っている」です。次に、彼らの反応を見てください。これは生命を脅かす状況ではありません。解決に数日かかる場合は問題ありません。あなたはあなたの主張をするためにいくつかのメールを使うことができます。
彼らがあなたを信じることを拒否した場合、彼らに彼らが彼ら自身を見ることができる方法を彼らにレシピに与えてください(Wiresharkをインストールし、このルールを使用し、ログインを行い、Wiresharkがあなたに示したことを振り返ってください)。そのようにして、彼らは「悪い」ツールを実行します。自分のコンピュータで何をしたかを伝える必要はありません。押された場合、「私のブラウザがあなたに送信するデータをキャプチャするために私の会社のセキュリティツールを使用し、それを見た...」と言うことができます。
TL; DR-プロフェッショナルで謙虚であることは長い道のりです。秘密主義、高慢、または悪意があることは、明らかにそれだけでは終わりません。あなたが静かにそして私的に彼らと仕事をするなら、彼らは同じようにするでしょう。
これは、大学のセキュリティに関する問題を見つけ始めた方法にほとんど切り貼りしたように思えます。私の大学は学生のIDをcookieに入れていましたが、それがあなたがサインインしたものです。 Cookieを操作した場合は、任意のユーザーとしてサインインしたことになります。私が彼らの安全をより深く調査するようになったのは発見でした。また、認証なしで何でも中継する安全でないメールサーバーもありました。学校のディレクトリにある画像のファイル名は、その生徒のIDの 奇妙なエンコーディング でした。ある時点で、SSNを検索して学生の名前を取得することができました。
私はこれらのバグを少しずつ見つけました。 「私の情報は安全である必要があり、安全ではない」という感覚から始まり、ITに発見した最新の欠陥を指摘します。約3回目の報告の後、私は部門に対して怒りと優越感の両方を感じ始めました。 1週間おきに私は副学長のテクノロジーオフィスにいて、1995年までさかのぼって学生のSSNまたは財務記録を取得する新しい方法、または誰かのクラス全体のスケジュール(そのクラスのレターグレードを含む)を決定するためのストーカー手法を指摘しています)。 VPも私と敵対し始めました。 6か月が過ぎた後、私は最高の態度をとっていなかったかもしれないと認めます。ある時点で、エンコードをリバースエンジニアリングしようとしていると聞いたとき、私は約3週間強制的に追放されました(上記のリンク)。個人が作業しておらず、暗闇の中で脆弱だった穴を彼らに見せたかったのです。結局、私たちはそれを整理しましたが、その間、多くの怒り、書類、そして自我が両側で回っていました。
私が主張しようとしている点は、私がいじめられているにもかかわらず、IT部門が私と協力してくれたことです。彼らは問題を修正し、学校はその方がいいです。私が自分の意図について率直であり、私がしていることについてオープンである限り、彼らは私を脅したり、私を妨げたりしませんでした。彼らが懲戒処分を下したのは、私が密かに働いていた時でした。インジェクション攻撃、ソーシャルエンジニアリング、リバースエンジニアリング、パケットスニッフィング、ポートスキャニング、カスタムソフトウェアエクスプロイトなど、ハッキングと見なされる可能性のあるものはすべて揃っていました。私は何も変更せず、常に(よく...いつも)自分の調査結果を静かにそして直接彼らに報告したので、彼らは私と協力しました。私がロバでなかったら、私は一時的に追放されなかっただろうに違いない。
Hewlett-Packard Tipping Pointが提供するZero Day Initiativeというサービスがあります。 http://www.zerodayinitiative.com/
これがどのように機能するかです。
ご覧のように、ステップ1で完了し、お金を受け取り、匿名を保つことができます。
企業や大学には、このような場合に敵意に反応してメッセンジャーを撃つという長い誇りのある歴史があるため、これはかなり難しい問題です。そして、あなたが彼らの不安に気付いた以上の理由で起訴されないという保証はありません。彼らはあなたに対して訴訟を起こさないかもしれませんが、それは彼らがあなたを惨めにすることができないわけではありません。
だからここに役立つかもしれないいくつかのアイデアがあります。
匿名のまま:IDを保護する方法はたくさんあります。ここでは触れませんが、ほとんどの場合、脆弱性を公開するために自分を特定する必要はありません。報復が心配な場合は、報復しないほうがよいでしょう。
直接開示しないでください:この問題に個人的に対処することは理想的ですが、報復することを決定した場合、保護することはほとんどありません。信頼できるサードパーティを通じて脆弱性を開示すると、ストーリーを制御できなくなるため、直接的な行動からある程度守られます。多くの場合、間接的な開示は匿名性を維持する方法です。
彼らの脆弱性ではなく、彼らの過失に焦点を合わせる:あなたが道徳的な高地を先取りして攻撃している場合lessではなく、more過失としてそれらをペイントします。主に過失で告発されたサービスが内部告発者を犯罪者として描くことは非常に困難(そして非常にまれ)です。彼らの貧弱なセキュリティを指摘するだけでは道徳的優位性は得られず、犯罪者の違法行為を非難して被害者として自分自身を描く機会を与えます。それらを与えないでください。
時には、人々にセキュリティの重要性を説明することは非常に困難です。セキュリティを理解していない人もいれば、システムが危険にさらされることもないと感じている人もいます。セキュリティの脅威の報告は無視されるか、修正に非常に長い時間がかかります。私の経験から、セキュリティを向上させるためにあなたの要点を説明するために、私は攻撃をデモします。攻撃をデモするときは、同様の環境をセットアップできる独自のボックスを使用することをお勧めします。これにより、データがどのように盗まれるのかを視覚的に示すことができます。
あなたが言ったことから判断して、あなたがハッキングを試みたという証拠はありません。自分のネットワークの着信要求と発信要求を単に監視しただけです。
それでも問題が解決しない場合は、カナダのプライバシーコミッショナーに連絡して、推奨事項を確認してください。 https://www.priv.gc.ca/