確認の許可が与えられなかったときに、彼らが脆弱であることを学校にどのように伝えるべきですか?
英国の学校にセキュリティの弱点を報告したいと思います。私はなんとかエクスプロイトや他のソフトウェアやハードウェアなしでセキュリティの弱点を見つけることができました。
私は 同様の質問 を見ていたが、問題は、この質問で提案されているように匿名の電子メールを使用する場合でも、IT部門が知っているので、私であることが判明する可能性が非常に高いことである。コンピュータプログラミング、ネットワーク、セキュリティに関する知識が豊富で、他の誰よりも(おそらく)高いので、すぐに呼び出されると思います。教師はまた、学校のポリシーにまったく影響を与えなかった他のセキュリティ上の弱点を発見したことを知っています。そのため、これには問題がありませんでした。また、セキュリティの弱点は物理的なアクセスを必要とするため、リモートで行われたとは言えませんでした。
すでに述べた質問の別の言及された答えは、それを単に無視すると述べたが、彼らのコンピュータの1つが他の誰かによってハッキングされていることを知り、それをどのようにして見つけたのかを知るために、セキュリティの弱点について言及するか、私はそれらをハックしようとしていました。
信頼できる教師またはカウンセラーがいる場合完全に、学校の行政が人を解雇することについて脅迫を始めても、私はあなたの名前を秘密にしておくことを知っているので、私は最初に彼らに行き、彼らに話します非公式に。彼らはコンピューターやセキュリティを理解する必要はありません(そして、問題について詳細に説明する必要はありません)。彼らは信頼できる学校での行政政治のナビゲートが得意です。関係者の人格や、問題を報告することがどれほど危険かについてのアドバイスが必要です。彼らが報告にまったく警戒しているのなら、あなたは黙っているべきです。
十分な力を持つ誰かが当惑した場合、彼らは状況を制御しているように錯覚させるために、発砲または追放する(または最悪の場合は逮捕した)誰かを探し始めるかもしれません。あなたが管理部門とIT部門に友好的で信頼されていて、生徒が見た目が悪くなったとしても過去に学生をサポートしていたことがわかっている場合は、問題を共有することのリスクは少ないかもしれませんが、それでもお勧めします信頼できる仲介者を通過します。
あなたの名前を匿名に保つために信頼できる人と話すことができず、あなたが匿名で問題を報告できない場合(そしてあなたがそうすることができないように聞こえる場合)、それはおそらくあなたにとって最良です静かにします。そしてそれは完全に静かであることを意味します:フォーラムで見つけたものについて話したり、友達にあなたが見つけたものを伝えたりしないでください、そして数週間以内にそれをもう一度試してはいけません。特に他の誰かに悪用された場合、これに関係があるとログに表示したくない。面倒ですが、自分を守ることから始めましょう。
私があなたの質問をもう一度読んだとき、別の考えが私を襲いました(強調は私のものです):
チェックする権限が与えられなかった場合の場合、彼らが脆弱であることを学校にどのように伝える必要がありますか?
get許可を得ることができますか?許可を得ると、問題を「発見」し(以前に発見した人には誰にも言わずに)、許可なくハッキングされたと非難されることを心配せずに報告できます。
ITと協力して、Pen Testを実行するための追加のクレジット割り当てを提供する友好的な教師が教えるコンピュータークラスを既に受講している場合は、最も簡単です。または、IT担当者と友好的である場合は、それらに直接アプローチして、ネットワークセキュリティの研究に興味があり、いつかそこに就職することを希望し、ローカルネットワークのペンテストを実施して、経験を積むことができます。 。コンピュータとセキュリティが得意で信頼できるという評判がすでにある場合は、このアプローチがうまく機能する可能性は十分あります。
これを正しく行うには、単に問題を報告するよりも多くの作業が必要になります。既存のセキュリティホールの知識を効果的に洗い出すことができるように、さらに多くのことをテストする必要があります(もちろん、幸運にもいくつかの問題を見つける可能性があります)。また、すべての詳細を示すレポートを作成する必要があります。した、その理由、そしてあなたが見つけたもの。また、テストを許可する対象の範囲を制限したり、すでに発見した問題を明らかにしないテストシステムを提供したりする可能性があります。つまり、作業を行ってレポートを作成できず、公開することができません。元の問題。
もちろん、これは問題を報告するかなり「卑劣な」方法です。拒否された場合は、おそらく元の問題について静かにしておく必要があります。それを報告したり、誰かが報告したりした場合、あなたはペンテストを実施するように依頼されたとき、他の人に思い出され、あなたについて質問し始めます。あなたがどれほど信頼できるか。したがって、このアプローチにはいくつかのリスクがあります。
どのように伝えるべきですか?すべきではない。
ここで潜在的な結果を見てみましょう。あなたが許可なしに彼らのネットワークをぶらぶらしていたので(ほぼ確実にあなたの学生の同意とあなたが彼らのITシステムにアクセスするためにクリックしたどんな同意にも違反している何か)あなたが期待できる最高の結果は彼らが問題を修正すると、背中に小さなパットが表示されます。
一方、彼らは棒の間違った端を取得し、学校からあなたを追放し、さらには警察に電話する可能性があるという少なくとも合理的な変更があります。他にもハッキングの事例があったため、それらもあなたが何らかの形でそれらに関与していたという想定に飛びつき、法的結果の可能性を高めます。
少なくとも、そしてあなたの善意にもかかわらず、ほぼ確実に 法を破った です。学校はこれを見落とすことを選択するかもしれませんが、彼らもそうしないかもしれません。
良い面と悪い面を比較検討する場合、選択は明白です。
"奥様、ドアのデッドボルトにある金属片をガレージにスライドさせれば、簡単に開けることができることをお知らせします。"
開示しないでください。私たちの多くのセキュリティ関係者は、大学のコンピュータシステムに脆弱性を発見しましたが、それを開示しても何も得られません。他の誰かに見つけて開示してもらいましょう。ただし、自分のものではないシステムを壊したと非難されるリスクはありません。私が行った学校には、メッセンジャーがシステムを破ろうとしたために罰せられたという話がたくさんあります。悪意を持って悪用するのではなく、脆弱性を開示することで罰せられる可能性がはるかに高くなるでしょう。
システムが侵害されないという個人的な理由がある場合は、システム管理者に連絡して、システムのセキュリティについて質問し、個人的にデータが盗まれないようにしてください。管理者が同じ欠陥を見つけることを期待して発見した欠陥に特定の質問をしますが、以前にシステムにアクセスしようとしたことを示唆していません。
Socratic method を使用します。
一連の質問として、セキュリティ担当者に脆弱性を公開します。セキュリティ上の理由(またはその他)のために、質問に答えられない、または答えたくない場合は、架空の状況を提案し、それらについて尋ねます。
許容範囲で脆弱性を明らかにできますか?
明らかに許可されていない方法で問題を見つけました。許可を得た方法で問題を提示できますか?もしそうなら、それを試すことは良い考えかもしれません。それは元の脆弱性ではないかもしれませんが、調査または修正されたときに脆弱性を明らかにするバグです。
たとえば、脆弱性はパスワードがハッシュされないことです。これは、学校のサーバーにアクセスすることでわかりました。学校のサーバーにアクセスしたことを伝える代わりに、パスワードがプレーンテキストとして送信されているかどうかをチェックするブラウザー拡張機能をダウンロードします(これは、妥当な非邪魔な方法で自分のセキュリティを保護する方法と見なすことができます)。彼らのサイトがあなたのラップトップに赤信号を引き起こしていること、そしてあなた自身のセキュリティについて心配していることを学校に。優れた点は、妥当な時間内に修正すると、人々に伝えることがより安全で正当化できることです外部学校。
このテクニックの1つのボーナスは、嘘をつく必要がほとんどないということです。
たとえ彼らがそれを修正したとしても、彼らがあなたに対して政府の力を解き放たないように、彼らがあなたが脆弱性について見つけた元の方法を彼らが理解しないことを確実にすることはおそらく最善です。 (たとえば、あなたのスヌーピングはログに記録されていますか?)
侵入テストや結果など、あなたがしたことすべてを引用して、彼らが自分で確認できるように(または誰かを雇うように)匿名で伝えます。問題を調査する権限を持つすべての人にメッセージが送信されることを確認してください。
Drewbennが2番目の答えで提案したように、少し異なる方法でそれを置くために、drewbennがあなたに許可を求めることができると言った場合、私はあなたが「セキュリティチェックを提案するか、またはあなたにそれを行うように彼らにそれを促すこともできる」と言っています「オンラインでXをしている、またはXのコミュニティに参加している。学校が私たちの州/都市でハッキングされており、誰かがそれを自慢しているとの報告やおしゃべりがあった。」のような理由でそれで、あなたは「私たちの学校がこれによっていつでも最近ターゲットにされたかどうかを確認する必要がある」と考えます。
あなたはそこにいるべきではなかったので、あなたが見つけたものは問題ではありません、あなたは現在間違っています。あなたが見る許可を得るまで、あなたはそれについて静かにとどまり、彼らがあなたの存在を検出していないことを望みます。