LAS VEGAS - بدءًا من الصف العاشر ، وجد طالب المدرسة الثانوية بيل دميركابي ثغرات أمنية متعددة في برنامج استخدمته مدرسته لتسجيل الدرجات ، والحفاظ على الحضور ، وإخطار أولياء الأمور ، وحتى الاحتفاظ بحسابات نقود الغداء. لكن المشكلة التي واجهها بسبب الإبلاغ عن العيوب تظهر مدى خطورة لفت الانتباه إلى الثغرات الأمنية في المؤسسات القوية.

قال دميركابي خلال مؤتمر صحافي: "هناك مشكلة خطيرة في صناعة التعليم ، ولا يتم إيلاء الاهتمام الكافي لهذه القضية". عرضا في نهاية الأسبوع الماضي في مؤتمر DEF CON 27 هنا. "إذا وجد طفل يبلغ من العمر 16 عامًا خرقًا يؤثر على ملايين الطلاب والمعلمين ، فما الذي يمكن أن تجده دولة قومية؟"

أكثر: أفضل أجهزة الكمبيوتر المحمولة للكلية

ركز دميركابي على مجموعتين من البرامج المستخدمة من قبل مدرسته الثانوية في منطقة بوسطن: نظام معلومات الطالب أسبن التابع لـ Follett و Blackboard Community Engagement. استخدمت المدرسة Aspen لتقديم الدرجات والنصوص و Blackboard لتقديم الأخبار والمعلومات حول الأكاديميين للطلاب وأولياء الأمور.

سحب فيريس بيلر

قامت Aspen بتصفية حقول إدخال المستخدم الخاصة بها حتى لا يتمكن أي مستخدم عادي من إرسال تعليمات برمجية ضارة إلى نظام المراسلة الخاص بها. لكن في سنته الأولى ، اكتشف دميركابي أن آسبن لم تصفي الكود إلا مرة واحدة لكل عملية إرسال ؛ إذا قام بتضمين الكود داخل المزيد من الكود ، فسيقوم المرشح بإزالة الطبقة الخارجية فقط وسيمر كل شيء آخر.

وجد Demirkapi أن Aspen لم تقفل تمامًا ما يمكن أن يفعله المستخدمون العاديون. من خلال تغيير بعض المعلمات في كود Java المرئي الذي يقوم بتشغيل Aspen ، يمكن لـ Demirkapi قراءة كلمات مرور Aspen للطلاب الآخرين ، تواريخ الميلاد ، حالة اللغة الإنجليزية ، الوضع العسكري العائلي ، حالة الغداء المجاني ، الحالة التأديبية ، حالة التعليم الخاص و GPA. (قال إنه لم يطلع على سجلات أي شخص سوى سجلاته).

قال دميركابي: "يمكنني تعديل المعدل التراكمي الخاص بي" ، رغم أنه رفض التصريح عما إذا كان قد فعل ذلك بالفعل.

في سنته الأخيرة ، وجد Demirkapi أنه إذا أطلق رسالة خطأ أثناء محاولته رؤية أنواع معينة من الملفات في Aspen ، فإن رسالة الخطأ نفسها ستطبع محتويات الملف بالكامل. يمكن أيضًا الوصول إلى الملفات إذا قام بإدخال تعليمات برمجية ضارة أثناء طلب تنزيل جداول الفصل الدراسي أو بطاقات التقارير.

غابة السبورة

قال دميركابي إن بلاك بورد واجهت مشاكل أكبر.

عندما كان كبيرًا ، اكتشف أن برنامج Blackboard مثبت في منطقته التعليمية تم تمكين ميزة تصحيح الأخطاء في الأنظمة ، وهي المكافئ البرمجي لترك باب الصيانة مفتوحة.

هذا يعني أن رسائل الخطأ الناتجة عن رمز سيئ ستطبع جميع البيانات الوصفية المرتبطة بجميع المناطق التعليمية في المدينة - بما في ذلك أسماء المستخدمين الإدارية وكلمات المرور وبيانات اعتماد تسجيل الدخول لـ 27 حسابًا من حسابات Apple App Provisioning المستخدمة لتثبيت برامج المدرسة على المدرسين و الطلاب' آيفون و ايباد.

كان الأمر الأكثر أهمية هو وجود أربع ثغرات أمنية في حقن SQL وجدها Demirkapi خلال الصف العاشر ، عندما كان قد بدأ للتو في فحص أنظمة مدرسته.

يمكن تشغيل إدخالات SQL عن طريق كتابة gibberish في أوامر قاعدة البيانات المرئية في العديد من عناوين URL لمواقع الويب. هذه كانت الهجمات مشكلة معروفة على نطاق واسع لمدة 20 عامًا ، وتمنعها معظم قواعد البيانات التي تواجه الويب عن طريق حظرها غير المعتمدة أوامر. يبدو أن Blackboard لم تحصل عليها جميعًا.

قال دميركابي إنه لا يستطيع رؤية سجلات مدرسته فحسب ، بل أيضًا قاعدة بيانات Blackboard بأكملها ، وفضح الأسماء وتواريخ الميلاد وجهات الاتصال المعلومات وتحميل الدورات والدرجات والتاريخ التأديبي والصور وكلمات المرور ضعيفة التشفير لكل طالب ومعلم في نظام Blackboard على الصعيد الوطني.

من خلال عد جداول قاعدة البيانات وأعداد الإدخالات ، قدر دميركابي أنه كان بإمكانه النظر إليها (لكن يصر على أنه لم يفعل) سجلات أكثر من 5 ملايين شخص و 5000 مدرسة ، بما في ذلك 34000 تحصين السجلات.

إطلاق النار على الرسول

قال دميركابي: "لقد قضيت وقتًا ممتعًا للغاية في محاولة الكشف عن هذه العيوب لشركة فوليت [الشركة الأم في أسبن]" عندما كان صغيرًا. "لقد بدأت بالمرور من خلال مدير تكنولوجيا المعلومات في مدرستي ، لكن ذلك لم يحدث."

لذا بدلاً من ذلك ، استخدم ميزات المراسلة الخاصة بـ Aspen لبث تحذير للطلاب الآخرين في مدرسته بأن فوليت "لا يهتم بالأمن".

قال دميركابي: "سترى هذه الرسالة متى قمت بتسجيل الدخول إلى شاشتك". "اتضح أن هذه الرسالة وصلت إلى كل طالب ، ومعلم ، ومسؤول ، ووالد في المنطقة ، وليس فقط الأطفال في مدرستي."

وأضاف: "لقد حصلت على تعليق لمدة يومين فقط وتمكنت من إقناعهم بأنني لم أنتهك سياسة الاستخدام المقبول [IT] للمدرسة". "بالنظر إلى الماضي ، لم يكن هذا أفضل شيء يمكن القيام به."

ثم استخدم دميركابي Twitter لنشر صور لما أنجزه ، مما دفع فوليت للتواصل معه ومدرسته ومحاولة ترتيب اجتماع.

قال ، "سمعت مدرستي عن ذلك وطلبت من فوليت ألا يتحدث معي" ، حتى ناشد مدير المدرسة للسماح له بالاجتماع.

وقال: "لقد التقوا بي في غضون أسبوع وتم إصلاح الخلل بحلول منتصف أبريل 2018". "لقد كانوا محترفين للغاية".

بعد عام ، بعد أن وجد المجموعة الثانية من أخطاء Aspen ، تواصل Demirkapi مع Follett من خلال برنامج إفصاح تابع لجهة خارجية وقال إنه لا يريد إشراك مدرسته. قال دميركابي إن فوليت توقف عن العمل معه مباشرة ، ثم أبلغ مدرسته - مما أدى على الفور إلى تعطيل جميع حسابات مدرسة دميركابي.

قال دميركابي "شيء جيد أنني تخرجت بالفعل". "لقد أرسلت للتو ملف PDF عن نقاط الضعف إلى Follett ، لذلك قاموا بإصلاحها جميعًا بحلول نهاية يوليو 2019."

قال متحدث باسم فوليت لـ Tom's Guide: "بعد تلقي معلومات بيل ، قمنا بتطوير ونشر تصحيح لمعالجة ثغرة الويب في يوليو 2018".

"إننا نقدر بصدق جهود بيل لتوجيه انتباهنا إلى ذلك. يراقب فريق التكنولوجيا لدينا باستمرار النظام بحثًا عن نقاط الضعف ويقوم بتحديث النظام الأساسي حسب الحاجة استنادًا إلى المعلومات من عمليات تدقيق الأمان والمعلومات المقدمة من مصادر خارجية. "

"يمكننا تحسين طريقة تواصلنا مع الباحثين في مجال الأمن"

قال دميركابي إن بلاكبورد لم يكن متجاوبًا مثل فوليت. لم ترد الشركة في البداية على رسائل البريد الإلكتروني التي أرسلها لهم حول عيوب حقن SQL التي اكتشفها خلال سنته الأولى - على الرغم من أنه كان يرى أن الرسائل الإلكترونية تتم قراءتها.

لذا فقد جعل مدرسته تتواصل مع Blackboard ، والتي استجابت بعقد كان بمثابة عدم إفشاء الاتفاق ويعني أن دميركابي لن يكون قادرًا على مناقشة العيوب مع أي شخص ، حتى بعد ذلك ثابت.

بمساعدة والديه ، تفاوض على العقد للسماح بالكشف عن العيوب بعد إصلاح العيوب - ولإعطاء تحكم Blackboard في تحرير أي شيء قاله Demirkapi عن العيوب ، بما في ذلك الشرائح الخاصة بـ DEF CON عرض. المجموعة الثانية من عيوب Blackboard التي اكتشفها مرت ببرنامج إفشاء للجهات الخارجية دون أي عوائق.

ومع ذلك ، لاحظ دميركابي أن كبير مسؤولي أمن المعلومات في Blackboard ترك المنصب "مباشرة بعد تصحيح ملفات SQL في أبريل 2018."

قال دميركابي: "رأيت إعلانًا للوظيفة وفكرت فيه". "كنت لا أزال في السابعة عشرة من عمري حينها ، لذلك أعتقد أنني سأنتظر عامًا أو عامين."

"نثني على بيل دميركابي لتوجيه انتباهنا إلى نقاط الضعف هذه ولسعيه ليكون جزءًا من حل تحسين أمان منتجاتنا وحماية المعلومات الشخصية لعملائنا "، هذا ما قاله متحدث باسم Blackboard لتوم يرشد.

"لقد تناولنا جميع القضايا التي لفت انتباهنا السيد دميركابي وليس لدينا ما يشير إلى ذلك تم استغلال نقاط الضعف أو أنه تم الوصول إلى أي معلومات شخصية خاصة بالعميل بواسطة السيد دميركابي أو أي شخص آخر طرف غير مصرح به ".

وأضاف المتحدث: "تأخذ Blackboard كل تقرير عن ثغرة أمنية محتملة على محمل الجد وتعمل على التحقيق في نقاط الضعف المحتملة ومعالجتها بأسرع ما يمكن". "أحد الدروس المستفادة من هذا التبادل المعين هو أنه يمكننا تحسين طريقة تواصلنا مع الباحثين الأمنيين الذين يلفتون انتباهنا إلى هذه القضايا.

في نهاية حديثه ، حدد دميركابي سلسلة من التوصيات للمدارس التي تشتري برامج تعليمية.

وقال "بغض النظر عن الشركة ، يجب على المدارس إجبار الشركات على التأكد من أن المنتجات التي يستخدمونها آمنة". "يجب أن تطلب المدارس تدقيقًا من طرف ثالث للبرامج ، ومحاسبة الشركات عند إهمالها يتم اتخاذ الإجراءات [و] فهم كيف وأين يتم تخزين المعلومات الحساسة - لا تسقط حديث تسويقي ".

  • أفضل 10 حقائب ظهر للكمبيوتر المحمول للعودة إلى المدرسة
  • أفضل تطبيقات للطلاب
  • دليل شراء أجهزة الكمبيوتر المحمول الخاصة بالعودة إلى المدرسة