首先,我想对我的大学有所帮助,但是如何使他们采取一些行动呢?我的个人数据(例如学位和毕业年份)很可能存储在校友数据库中。某些组织不认真对待此类报告也就不足为奇了(请参阅
如何向不认为有问题的大型组织报告漏洞?)。我已经使用校友电子邮件帐户向大学的IT服务台发送了电子邮件,但是工作人员要求我将查询直接发送到普通校友查询电子邮件。
除了技术细节之外,如何确保没有警察会因为黑客入侵而逮捕我?我没有试图窃取任何个人信息。我不希望在大学采取任何措施之前向某个安全论坛报告此漏洞。
P.S.我很抱歉我的CS学位是从那所学校毕业的。
#1 楼
仅报告它使用HTTP而不是HTTPS进行登录,并且报告不安全,不应使您被指控黑客入侵。通过查看该站点,可以立即公开看到该内容。有很多检测漏洞的方法实际上可以被认为是黑客攻击(例如,针对您无权对其运行的目标运行漏洞扫描程序),但我不知道任何会考虑查看页面并识别出立即可见被黑客入侵的漏洞的司法管辖区。这有点像在房子旁走走,注意到有人离开时门一直开着,当您向他们指出他们离开门时,他们被指控是小偷(而您甚至没有站在门上)他们的财产。)
评论
无论出于何种原因,这篇文章似乎吸引了很多评论,这些评论不是“为了澄清或要求更新”,而是集中在轶事和模糊的相关新闻文章上。与其让它升级为争论,不如将它们全部删除。随意讨论信息安全聊天中的主题,因为我们喜欢在那里的讨论:-)
–Rory Alsop♦
2014年10月30日14:32
#2 楼
如果他们忽略了您的电子邮件,则可以尝试将其报告给负责执行《数据保护法》的组织。我不知道您来自哪里,在英国会是http://ico.org.uk/concerns他们有责任保护您的数据安全。
评论
感谢您指出这样的组织,但我在加拿大。让我看看是否可以找到任何等效的东西。
–user29170
14-10-29在15:48
对于加拿大,这是联邦隐私委员会(uk.practicallaw.com/6-502-0556#a588373)
– Gustek
14-10-29在15:52
省级隐私权机构更适合(隐私权法律因省而异)。
– schroeder♦
14-10-29在18:33
我认为这不能回答问题,因为没有什么可以阻止隐私事务专员也指责黑客是黑客。 (我现在知道可能,但这是他的问题)
–道格拉斯举行
2014年11月3日15:29
据我所知,当您向隐私事务专员报告某人时,他们将进行调查以确认您的疑虑,但他们不会深入了解您是如何知道的。据报道,当事人可能会指责您入侵他们。
– Gustek
2014年11月3日16:05
#3 楼
首先,你不能让任何人做任何事情。作为明矾,您可以提出自己的个人担心,即您的凭据已公开,仅此而已。我不确定有人会如何将您所说的行为视为黑客行为,但这取决于您的管辖权。在我的系统中,捕获您自己的数据包根本不是非法的。
不幸的是,IT支持使您无法进入常规的电子邮件收件箱,但是您必须遵循他们的程序。
评论
是否有任何地方捕获自己的数据包是非法的? o_O听起来很疯狂…
–显示名称
14-10-30在20:04
我已经尝试验证自己的记忆,但是也许很久以前该讨论才有意义。法律理论属于“查看代码”的范畴,不允许“编译器”(浏览器)进行渲染,因此被认为是“未经授权的访问”。在这一点上,我找不到证据证明通过Internet将自己的数据包捕获到服务器是非法的。
– schroeder♦
14-10-30在20:41
记住犯罪意图,对法律的无知实际上可能是最健全的法律辩护(不是法律咨询)美国刑法
– mchid
2014年11月1日在22:28
捕获自己的数据包通常是逆向工程的第一阶段之一,在许多地方,逆向工程可能会带来负面的法律影响。
–疯狂
2014年11月2日,12:35
#4 楼
这是我的方法:尝试找出您的大学是否有负责安全的人员。也许他们有这样做的公司,或者有部门。如果是这样,请尝试与这些人联系。他们经常知道您在说什么。
与他们联系时,您无需告诉他们有关Wireshark的信息。说“我注意到该站点使用HTTP,并且由于我从事计算机安全工作,所以我知道这意味着我的名称和密码将通过Internet发送,而没有任何形式的保护。您和我之间任何网络中的任何恶意人员都可能这样窃取我的身份。您知道吗?”
所以第一个目标是:“我发现了风险,知道了我的意思。”然后看看他们如何回应。这不是威胁生命的情况。如果需要几天的时间就可以解决。您可以使用几封邮件来说明您的观点。
如果他们拒绝相信您,请给他们一个食谱,让他们自己看到(安装Wireshark,使用此规则,执行登录,然后回头看) Wireshark向您显示的内容)。这样,他们运行“不良”工具。您无需随时告诉他们您在自己的计算机上所做的事情。如果按下,您可以说“我使用了公司的安全工具来捕获浏览器发送给您的数据,然后我看到了……”
#5 楼
TL; DR-专业而谦虚将大有帮助。隐秘,自大或恶意显然不会那么好。如果您冷静地和私下与他们合作,他们可能会做同样的事情。这听起来几乎是粘贴并粘贴到我开始发现大学安全问题的方式上。我的大学正在将学生的ID放在cookie中,这就是您登录时的身份。如果您操作Cookie,则可以使用任何人登录。正是这一发现使我对它们的安全性有了更深入的了解。他们还拥有一个不安全的邮件服务器,该邮件服务器无需身份验证即可中继任何内容。学校目录中图像的文件名只是该学生ID的奇怪编码。有一次,我可以查找一个SSN并获得一个学生的名字。
我一次发现了这些错误。它从“我的信息需要安全,但不是安全的”开始,我会指出我发现的最新IT缺陷。大约第三次报告之后,我开始感到生气和对部门的优越感。我每隔一周就会去技术副总裁办公室,指出一种新的方式来获取早在1995年的学生的SSN或财务记录,或者某种跟踪者技术来确定某人的整个班级时间表(包括他们在该班级的字母成绩) )。副总裁也开始对我产生敌意。我承认六个月后我可能没有最好的态度。有一次我被开除大约3周,当时他们听说我要对他们的编码进行反向工程(见上链接)。我想向他们展示当一个人不与他们一起工作并且他们处于黑暗中时哪些漏洞是脆弱的。最终我们进行了整理,但与此同时,双方都充满了愤怒,文书工作和自我。
我要说明的一点是,尽管我很讨厌,但IT部门还是与我一起工作。他们解决了问题,学校为此而更好。只要我对自己的意图保持直觉并公开自己在做什么,他们就不会威胁我或阻碍我。直到我秘密工作时,他们才采取纪律处分。我到处都是绝对可以被认为是黑客的东西,包括注入攻击,社会工程,反向工程,数据包嗅探,端口扫描,自定义软件利用等等。由于我从不进行任何更改,并且总是(通常……很好)向他们悄悄地直接报告我的发现,因此他们与我合作。我毫不怀疑,如果我不是驴子,那我就不会被暂时驱逐出境。
#6 楼
惠普引爆点提供的一项服务称为“零日倡议”。 http://www.zerodayinitiative.com/它的工作原理。
他们从您那里购买漏洞
HP Tipping Point提供了保护向其智能防火墙用户的客户群
ZDI与供应商一起努力解决问题(通常可能需要6个月的时间)
如果供应商不响应或让步,则ZDI会报告公开显示该漏洞。
正如您所看到的,您已经完成了第一步,您获得了钱,并且可以保持匿名。
评论
该站点现在在我的书签中...
– Mark K Cowan
2014年11月2日,12:06
#7 楼
有时很难解释安全对人们的重要性。有些人只是不了解安全性,而其他人则认为他们的系统永远不会受到威胁。报告安全威胁有时会被忽略,或者需要很长时间才能得到解决。根据我的经验,您可以全面了解如何提高安全性,我将演示攻击。演示攻击时,建议您使用自己的盒子,在其中可以设置类似的环境。这样做可以直观地向人们展示如何窃取数据。评论
演示适用于您自己组织内的人员,但是对于OP的情况,可能无法实现。
– schroeder♦
14-10-29在18:34
@schroeder同意。此外,当局可能会误解我的动机并逮捕我。这位流血的黑客确实发现了漏洞,但其他人并没有很好地利用它们。 keyboard.vice.com/en_ca/blog / ...
–user29170
2014年10月30日,下午1:26
#8 楼
这是一个相当困难的问题,因为公司和大学在应对此类敌对行动和开枪打靶方面有着悠久而自豪的历史。并不能保证您不会因为注意到他们的不安全而受到起诉。他们可能没有针对您的案子,但这并不意味着他们不会使您痛苦。所以这里有一些想法可能会有所帮助。
保持匿名:保护身份的方法有很多。我不会在这里介绍他们,但是在大多数情况下,您不必标识自己即可披露漏洞。如果您担心遭到报复,最好不要这么做。
不要直接披露:虽然私下处理该问题是理想的选择,但这样做几乎没有保护作用如果他们决定进行报复。通过受信任的第三方披露漏洞,可以通过阻止第三方控制故事来使您从某种程度上直接采取行动。通常,间接披露是保持匿名的一种方式。
关注他们的疏忽而不是脆弱性:如果您先占道德高地,那么攻击您会将他们描绘成更多的疏忽,而不是更少的疏忽。对于主要因疏忽大意而将举报人描绘成犯罪分子的服务而言,是极其困难的(且极为罕见)。仅仅指出他们的不安全状况并不能给您任何道德上的优势,而是让他们有机会通过指控您犯有刑事不当行为来将自己描绘成受害者。不要把它们给丢掉。
#9 楼
从您所说的内容来看,没有证据表明您尝试黑客入侵。您只需监视自己网络的传入和传出请求即可。如果您仍然对这种情况不满意,请尝试与加拿大的隐私保护专员联系,以了解他们的建议。 https://www.priv.gc.ca/
#10 楼
这似乎更像是一个心理/社会学问题,而不是一个安全性问题,因为问题似乎在于如何与另一方最好地沟通,并说服他们采取特定行动。我无法相信任何“黑客”指控都可能会因其他答案解释的原因而对法律产生真正的后果。上述方法的另一种方法是实施有力的犯罪。如果他们拒绝确认您的电子邮件,请以礼貌但坚定的态度发送半威胁邮件,解释说,如果他们没有解决此安全漏洞以保护您的个人数据,则您可能需要采取法律行动来保护自己。这可能可行,也可能不可行,具体取决于他们实际存储的是您的个人信息。
这种方法自然会建立对抗性的互动,因此在走这条路之前请仔细考虑。
评论
作为Info Sec的专家,我们经常处理这种情况,而这本身就是一个有效的Info Sec问题:了解漏洞的技术细节仅是成功的一半,将其传达给负责修复该漏洞的人员并进行工作和他们在一起,是另一半。这不能打折。威胁性的法律诉讼不会吸引很多人。
– schroeder♦
14-10-29在21:03
@schroeder您能提供该断言的证据吗?我对选票感到惊讶。 OP列出了更好的选项,但它们已经尝试过并失败了。我不建议首先尝试法律威胁,但是鉴于没有其他尚未尝试过但没有失败的可行选择,这为实现变革提供了另一种可能的方式。组织和公司的行为是自私的,除非他们看到对自己的威胁,否则通常不会改变。这提供了启动更改所需的内容。
–尼古拉斯
14-10-30在12:35
我还要补充一点,第一个链接问题的公认答案本质上是相同的建议。通过消除利润,进行不良宣传或向CEO报告员工来损害业务。这似乎与利用司法系统威胁要转移利润的行为(实际上似乎没有那么严重)不同。
–尼古拉斯
14-10-30在12:38
我提出了2条断言,您想证明什么?
– schroeder♦
2014年10月30日14:14
如果说“法律诉讼/牵引”是:OP来自加拿大,而我可以从个人经验中向您保证,只有在实际损失(即实际折衷)的情况下,法律诉讼才会被认真对待。在没有损失的情况下,威胁公众的诉讼被视为噪音。
– schroeder♦
2014年10月30日14:17
评论
我同意@schroeder的观点,因为我认为您不必担心费用。您正在查看自己网络上的未加密流量。再加上这是你的大学。即使他们向您起诉,A)该案将由任何有资格的律师解决。B)该漏洞将在大学不希望的诉讼程序中公开。令人讨厌的是,他们不在乎,但您不能强迫他们去照顾。 :-/这甚至一点都不像黑客入侵。
您是否与前任教授有联系?他们很可能会在意(如果没有其他理由,则出于职业自豪感),并且他们将更有利于影响IT部门。
您为什么担心被视为黑客?一些计算机科学领域最受人尊敬的人(我怀疑安全领域几乎所有受人尊敬的人)都以被称为黑客而自豪。你没有做任何犯罪。
无论如何,您都会被某人称为“黑客”。从好的方面来说,这不是您的雇主。不利的一面是,有关大学(及其律师)的反应是高度不可预测的。愚蠢的人会做愚蠢的事情(不是他们,而是您)。