web-dev-qa-db-ja.com

1年以上前に公開されたが修正されていない脆弱性をフォローアップする必要がありますか?

背景:

数年前、私は高校のコンピューターネットワークで見つかったやや深刻な脆弱性の開示について この質問 を尋ねました。

2年以上後、校長は私が「ハッカー」であると噂されていることを(他の生徒の話を聞いて)知らされ、(無関係な)疑わしいネットワークアクティビティについて尋ねるために私を彼のオフィスに呼びました。この会議には、副校長と地区のIT担当者2名が出席しました。状況を誤解して、私は彼らが私が知っていることの程度を知っていると思い、私が見つけた問題を説明しました:

  • ネットワーク管理者パスワードはすべてのユーザーがアクセスでき、すべてのコンピューターのプレーンテキストファイルにあります
  • すべてのコンピューターには、ログインにパスワードを必要としないローカル管理者アカウントがあります
  • 建物全体の防犯カメラは、有線および無線ネットワークからアクセスでき、ライブストリーミング、回転、録画停止の設定、無効化、その他の操作が可能です。ストリームは暗号化されておらず、Webベースのカメラのコントロールパネルはデフォルトの資格情報を使用します(または使用しません)
  • (それ以外の場合はパスワードなしの)ワイヤレスネットワークのWebベースのサインオンは簡単に回避できるため、学生としての認証なしに誰でもアクセスできます
  • コンテンツフィルタリングおよびウェブサイトブロッキングシステムは簡単に回避できます

私はまた、数年前に問題を発見し、結果への恐怖からそれらを取り上げたり報告したりしていないことも説明しました。私はいくつかの主要な脆弱性の予想外の開示に驚かされたと思います。彼は、ネットワークのすべての「探索」を停止し、学校のコンテンツフィルタリングシステムを迂回するのをやめれば、私が停止または追放されることはないと述べた。また、私は部屋のIT担当者を少し困惑させたかもしれません。彼らは私が彼らに言わなかったら私の活動について何も知らなかっただろうと説明しました。

卒業してからですが、卒業直前(校長との会話から約1年後)に、自分で見つけた問題が直らないように指示されているにもかかわらず、直らないかチェックしたいと思いました。一つもなかった。私は卒業しましたが、これらの問題を真剣に受け止めています。私が見つけた脆弱性は、学区の何千人もの生徒に大きなセキュリティと安全のリスクをもたらすと感じています。これは特に脆弱性を組み合わせて使用​​する場合に当てはまります。たとえば、誰もが建物の外から認証なしでワイヤレスネットワーク(したがってカメラ)にアクセスできるためです。

質問:

私は校長の明確な指示に直接従わなかったこと、問題は複数のレベルの地区管理者とIT担当者に知られていること、彼らが1年間それらを認識していることを念頭に置いて、最善の行動方針について考えています。私の身元も判明しました。つまり、これらの問題を元に戻すと、匿名で行うことは困難になります。これらの要因を念頭に置いて、私の質問は次のとおりです。

  • これをさらに追求すると、どのような結果が予想されますか?私はもはや学生ではなくなったので、彼らは今違うのですか?
  • 一部の here で示唆されているように、マスコミと話すことなく、これらの問題が確実に解決されるように最善を尽くすには here
  • これらの問題の深刻さにもか​​かわらず、これをさらに追求する価値はありますか、それとも私はできる限りのことをしましたか?
privacydisclosureethics
8
Anonymous

これ以上は追求しません。

要約すると、あなたは積極的にそして広範囲にわたって彼らのネットワークの脆弱性を探しました(あなたの場所によっては違法である可能性があります)。あなたはこれを認め、幸運にも罰せられませんでしたが、二度とそれをしないように言いました。そして、あなたは再びそれをやりました。

最初の調査は、法律や学校の規則を若々しく知らないことで説明できます(通常の活動中にこれらの問題を「偶然に」発見したことで言い訳になった可能性もあります)が、2番目の調査はできません(主に法的な問題ですが、何かをしている)責任者の表明した意志に反してあなたが所有していないものに対しても、多くの場合非倫理的です。学校が深刻な問題をタイムリーに修正しないことにより、学校もここで非倫理的であると考えると、これは真実です。

すべきこと

これは現時点では役に立ちませんが、将来同じような状況にある場合は、質問してください。

学校は実際にこれらの問題を再確認できるように喜んでいたかもしれません。または彼らはされていなかったかもしれません。しかし、知る唯一の方法は尋ねることです。

問題が確実に修正されるようにしたい場合は、問題の修正を支援することを提案できます。可能な解決策を提案する、解決策を再確認することを提案する、または実際にこれらの解決策の実施を支援する(これは、履歴書や大学の申請書で言及されている課外活動の形で行われた可能性があります)。

今何をすべきか

問題を起こさずにこれを追求する方法は見当たりません。

IANAL、しかし、マスコミに行くか、訴えるか、または単にシステムがまだ脆弱であることを知っているとさえ言っても、非常によく法的問題に巻き込まれる可能性があります。

本当にやりたい場合でも、最善の方法は、彼らに連絡して、問題を修正できたかどうか、彼らに再確認してほしいかどうか、または彼らが修正に協力してほしいかどうかを尋ねることです。無料。それ以外の場合も法的問題に巻き込まれる可能性があります)。これを行う場合は、許可を得ずに再確認したことを述べないでください(以前のアクティビティを開示する可能性のある監視が行われていないことを期待してください)。

4
tim