LAS VEGAS - Започвайки от 10-ти клас, гимназистът Бил Демиркапи откри множество недостатъци в сигурността в софтуер, който училището му използва за записване на оценки, запазване на посещаемостта, уведомяване на родителите и дори поддържане на сметки за обяд. Но проблемът, с който се сблъска с докладването на недостатъците, показва колко рисковано може да бъде насочването на вниманието към дупките в сигурността на мощните институции.

"Има сериозен проблем в образователната индустрия и не се отделя достатъчно внимание на този въпрос," каза Демиркапи по време на презентация през изминалия уикенд на конференцията за хакери DEF CON 27 тук. „Ако 16-годишно дете може да открие нарушение, засягащо милиони ученици и учители, какво може да открие национална държава?“

ПОВЕЧЕ ▼: Най-добрите лаптопи за колеж

Демиркапи се фокусира върху два софтуерни пакета, използвани от неговата гимназия в района на Бостън: Информационната система за ученици на Аспен на Фолет и Ангажимент от общността на черната дъска. Училището използва Aspen за доставяне на оценки и стенограми, а Blackboard - за новини и информация за академични среди на ученици и родители.

Издърпване на Ferris Bueller

Aspen филтрира своите полета за въвеждане от потребителя, така че никой редовен потребител не може да изпрати злонамерен код в системата си за съобщения. Но през младшата си година Демиркапи открива, че Аспен е филтрирал кода само веднъж на подаване; ако той вложи код в повече код, филтърът ще отстрани само най-външния слой и всичко останало ще премине.

Aspen също не е заключил напълно това, което обикновените потребители могат да направят, установи Demirkapi. Чрез промяна на някои параметри във видимия код на Java, работещ с Aspen, Demirkapi може да чете паролите на Aspen на други ученици, дати на раждане, английски език, семейно военно състояние, статут на безплатен обяд, дисциплинарен статус, статут на специално образование и GPA. (Каза, че не е гледал ничии записи, а свои собствени.)

"И аз бих могъл да редактирам собствения си GPA", каза Демиркапи, въпреки че отказа да заяви дали всъщност го е направил.

В последната си година Демиркапи установи, че ако задейства съобщение за грешка, докато се опитва да види определени видове файлове в Аспен, самото съобщение за грешка ще отпечата цялото съдържание на файла. Файловете също могат да бъдат достъпни, ако той въведе злонамерен код, докато иска изтегляне на графици на класове или отчетни карти.

Джунгла за черна дъска

Blackboard имаше още по-големи проблеми, каза Демиркапи.

Когато беше старши, той откри, че Blackboard софтуерът е инсталиран на неговия училищен квартал системите имат активирана функция за отстраняване на грешки, софтуерът е еквивалентен на оставянето на врата за поддръжка отключена.

Това означаваше, че съобщенията за грешки, причинени от лош код, ще отпечатат всички метаданни, свързани с всички градски училищни квартали - включително административни потребителски имена и пароли и идентификационни данни за влизане за 27 акаунта на Apple App Provisioning, използвани за инсталиране на училищен софтуер на учители и студентски iPhone и iPad.

Още по-елементарни бяха четири уязвимости при инжектиране на SQL, които Демиркапи откри по време на 10 клас, когато тъкмо започваше да изследва системите на училището си.

SQL инжекциите могат да бъдат задействани чрез въвеждане на глупости в командите на базата данни, видими в URL адресите на много уебсайтове. Такива атаките са широко известен проблем от 20 години и повечето бази данни, изправени пред мрежата, ги предотвратяват, като блокират неодобрени команди. Очевидно Blackboard не ги получи всички.

Демиркапи каза, че може да вижда не само записите на собственото си училище, но и цялата база данни на Blackboard, излагайки имената, датите на раждане, контактите информация, натоварване на курсове, оценки, дисциплинарна история, снимки и слабо кодирани пароли на всеки ученик и учител в системата на Blackboard в национален мащаб.

Като преброи таблиците в базата данни и броя на записите, Демиркапи прецени, че е могъл да погледне (но настоява, че не го е направил) архивите на повече от 5 милиона души и 5000 училища, включително 34 000 имунизации записи.

Снимане на пратеника

„Имах много интересно време, опитвайки се да разкрия тези недостатъци пред [компанията майка Aspen] Follett Corporation“, когато беше младши, каза Демиркапи. „Започнах с преминаването през ИТ директора на моето училище, но това не доведе до никъде.“

Затова вместо това той използва собствените функции за съобщения на Аспен, за да излъчи предупреждение на други ученици в неговото училище, че Фолет „не се интересува от сигурността“.

„Ще видите това съобщение всеки път, когато влезете в екрана си“, каза Демиркапи. "Оказва се, че това съобщение е изпратено до всеки ученик, учител, администратор и родител в областта, а не само към децата в моето училище."

„Получих само двудневно спиране и успях да ги убедя, че не съм нарушил правилата на училището за допустимо използване [ИТ]“, добави той. „В ретроспекция това не беше най-доброто нещо за правене.“

След това Демиркапи използва Twitter, за да публикува изображения на постигнатото, което накара Фолет да се свърже както с него, така и с неговото училище и да се опита да организира среща.

„Моето училище чу за това и каза на Фолет да не говори с мен“, каза той, докато не помоли директора си да разреши среща.

„Те се срещнаха с мен в рамките на една седмица и отстраниха грешките до средата на април 2018 г.“, каза той. "Те бяха много професионални."

Година по-късно, след като намери втория набор от грешки на Аспен, Демиркапи се свърза с Фолет чрез програма за разкриване на трета страна и каза, че не иска да включва училището си. Но Фолет спря да работи директно с него, каза Демиркапи и след това уведоми училището си, което незабавно деактивира всички училищни сметки на Демиркапи.

"Добре, че вече бях завършил", каза Демиркапи. „Току-що изпратих PDF на уязвимостите до Follett, така че те ги отстраниха до края на юли 2019 г.“

„След като получихме информацията на Бил, разработихме и внедрихме кръпка за справяне с уязвимостта в мрежата през юли 2018 г.“, говорител на Follett каза на Tom's Guide.

„Искрено оценяваме усилията на Бил да ни обърне внимание. Нашият технологичен екип непрекъснато наблюдава системата за уязвимости и актуализира платформата, ако е необходимо, въз основа на информация от одити на сигурността и информация, предоставена от източници на трети страни. "

„Бихме могли да подобрим начина си на комуникация с изследователите по сигурността“

Черната дъска не беше толкова отзивчива като Фолет, каза Демиркапи. Първоначално компанията не отговори на имейлите, които им беше изпратил, относно недостатъците на SQL инжектирането, които беше открил през младшата си година - въпреки че виждаше, че имейлите се четат.

Така той накара училището си да се свърже с Blackboard, който отговори с договор, който възлизаше на неразкриване споразумение и означаваше, че Демиркапи няма да може да обсъжда недостатъците с никого, дори след като са били фиксиран.

С помощта на родителите си той договори договора, за да позволи разкриване след отстраняване на недостатъците - и да даде Контрол върху редактирането на черна дъска върху всичко, което Демиркапи е казал за недостатъците, включително слайдовете за неговия DEF CON презентация. Вторият открит от него недостатък на Blackboard премина през програмата за разкриване на трета страна без проблеми.

Демиркапи обаче забеляза, че главният служител по информационна сигурност на Blackboard напусна позицията „веднага след като моите SQL vulns бяха закърпени през април 2018 г.“

„Видях обява за работа за длъжността и се замислих за това“, каза Демиркапи. "Тогава все още бях само на 17, така че мисля да изчакам година-две."

"Поздравяваме Бил Демиркапи за това, че ни обърна внимание на тези уязвимости и се стреми да бъде част от решение на подобрете сигурността на нашите продукти и защитете личната информация на нашите клиенти “, заяви говорител на Blackboard пред Tom's Ръководство.

„Обърнахме се към всички въпроси, които бяха насочени към нашето внимание от г-н Демиркапи, и нямаме индикации, че те са уязвимости са били използвани или че личната информация на клиентите е била достъпна от г-н Демиркапи или друга неупълномощена страна. "

"Blackboard приема всеки доклад за потенциална уязвимост сериозно и работи за разследване и отстраняване на потенциални слабости възможно най-бързо", добави говорителят. „Един от уроците, извлечени от този конкретен обмен, е, че бихме могли да подобрим начина си на комуникация с изследователите по сигурността, които ни насочват към тези проблеми.

В края на речта си Демиркапи очерта поредица от препоръки за училищата, купуващи образователен софтуер.

"Без значение от компанията, училищата трябва да принудят компаниите да се уверят, че продуктите, които използват, са безопасни", каза той. „Училищата трябва да изискват одит на софтуер от трети страни, да държат компаниите отговорни при небрежност предприемат се действия [и] разбират как и къде се съхранява чувствителна информация - не си падайте маркетингов разговор. "

  • 10 най-добри раници за лаптоп с обратна връзка
  • Най-добрите приложения за студенти
  • Ръководство за закупуване на лаптоп от училище