LAS VEGAS - A partir del décimo grado, el estudiante de secundaria Bill Demirkapi encontró múltiples fallas de seguridad en el software que su escuela usaba para registrar las calificaciones, mantener la asistencia, notificar a los padres e incluso mantener cuentas de dinero para el almuerzo. Pero el problema en el que se metió por informar de las fallas muestra lo arriesgado que puede ser llamar la atención sobre los agujeros de seguridad de las instituciones poderosas.

"Hay un problema grave en la industria de la educación, y no se presta suficiente atención a este tema", dijo Demirkapi durante una presentación el fin de semana pasado en la conferencia de hackers DEF CON 27 aquí. "Si un joven de 16 años puede encontrar una brecha que afecte a millones de estudiantes y maestros, ¿qué puede encontrar un estado-nación?"

MÁS: Las mejores computadoras portátiles para la universidad

Demirkapi se centró en dos paquetes de software utilizados por su escuela secundaria del área de Boston: el sistema de información estudiantil Aspen de Follett y el compromiso comunitario de Blackboard. La escuela usó Aspen para entregar calificaciones y transcripciones y Blackboard para entregar noticias e información sobre temas académicos a estudiantes y padres.

Tirando de un Ferris Bueller

Aspen filtró sus campos de entrada de usuario para que ningún usuario normal pudiera enviar código malicioso a su sistema de mensajería. Pero en su tercer año, Demirkapi descubrió que Aspen filtraba el código solo una vez por envío; si anidara código dentro de más código, el filtro eliminaría solo la capa más externa y todo lo demás pasaría.

Aspen tampoco bloqueó totalmente lo que los usuarios normales podían hacer, descubrió Demirkapi. Al cambiar algunos parámetros en el código Java visible que ejecuta Aspen, Demirkapi pudo leer las contraseñas de Aspen de otros estudiantes, fechas de nacimiento, estatus de habla inglesa, estatus familiar militar, estatus de almuerzo gratis, estatus disciplinario, estatus de educación especial y GPA. (Dijo que no miró los registros de nadie más que el suyo).

"Y podría editar mi propio GPA", dijo Demirkapi, aunque se negó a decir si realmente lo hizo.

En su último año, Demirkapi descubrió que si activaba un mensaje de error mientras intentaba ver ciertos tipos de archivos en Aspen, el mensaje de error en sí mismo imprimiría todo el contenido del archivo. También se puede acceder a los archivos si ingresa un código malicioso mientras solicita descargas de horarios de clases o boletas de calificaciones.

Selva de pizarra

Blackboard tenía problemas aún mayores, dijo Demirkapi.

Cuando era un estudiante de último año, descubrió que el software Blackboard instalado en su distrito escolar Los sistemas tenían habilitada la función de depuración, el software equivalente a dejar una puerta de mantenimiento desbloqueado.

Esto significaba que los mensajes de error causados ​​por un código incorrecto imprimirían todos los metadatos asociados con todos los distritos escolares de la ciudad, incluidos nombres de usuario y contraseñas administrativas, y credenciales de inicio de sesión para 27 cuentas de aprovisionamiento de aplicaciones de Apple utilizadas para instalar software escolar en los maestros y estudiantes iPhones y iPads.

Aún más elementales fueron cuatro vulnerabilidades de inyección de SQL que Demirkapi encontró durante el décimo grado, cuando apenas comenzaba a sondear los sistemas de su escuela.

Las inyecciones de SQL se pueden activar escribiendo galimatías en los comandos de la base de datos visibles en las URL de muchos sitios web. Tal Los ataques han sido un problema ampliamente conocido durante 20 años, y la mayoría de las bases de datos web los previenen bloqueando comandos. Blackboard aparentemente no los consiguió todos.

Demirkapi dijo que podía ver no solo los registros de su propia escuela, sino toda la base de datos de Blackboard, exponiendo los nombres, fechas de nacimiento, contacto información, cantidad de cursos, calificaciones, historial disciplinario, fotografías y contraseñas encriptadas débilmente de cada estudiante y maestro en el sistema Blackboard a escala nacional.

Al contar las tablas de la base de datos y el número de entradas, Demirkapi estimó que podría haber mirado (pero insiste en que no lo hizo) los registros de más de 5 millones de personas y 5,000 escuelas, incluidas 34,000 inmunizaciones registros.

Disparando al mensajero

"Pasé un tiempo muy interesante tratando de revelar estos defectos a [la empresa matriz de Aspen] Follett Corporation" cuando era un junior, dijo Demirkapi. "Empecé pasando por el director de TI de mi escuela, pero no llegué a ninguna parte".

En su lugar, utilizó las funciones de mensajería de Aspen para transmitir una advertencia a otros estudiantes de su escuela de que a Follett "no le importaba la seguridad".

"Vería ese mensaje cada vez que inicie sesión en su pantalla", dijo Demirkapi. "Resulta que ese mensaje se envió a todos los estudiantes, maestros, administradores y padres del distrito, no solo a los niños de mi escuela".

"Solo obtuve una suspensión de dos días y logré convencerlos de que no había violado la política de uso aceptable [TI] de la escuela", agregó. "En retrospectiva, no fue lo mejor que se pudo hacer".

Demirkapi luego usó Twitter para publicar imágenes de lo que había logrado, lo que hizo que Follett se comunicara con él y con su escuela e intentara concertar una reunión.

"Mi escuela se enteró de eso y le dijo a Follett que no me hablara", dijo, hasta que le suplicó a su director que le permitiera una reunión.

"Se reunieron conmigo en una semana y arreglaron los errores a mediados de abril de 2018", dijo. "Fueron muy profesionales".

Un año después, después de haber encontrado el segundo conjunto de errores de Aspen, Demirkapi se acercó a Follett a través de un programa de divulgación de terceros y le dijo que no quería involucrar a su escuela. Pero Follett se detuvo en trabajar directamente con él, dijo Demirkapi, y luego notificó a su escuela, lo que desactivó rápidamente todas las cuentas escolares de Demirkapi.

"Menos mal que ya me había graduado", dijo Demirkapi. "Acabo de enviar un PDF de las vulnerabilidades a Follett, por lo que las arreglaron todas a fines de julio de 2019".

"Después de recibir la información de Bill, desarrollamos e implementamos un parche para abordar la vulnerabilidad web en julio de 2018", dijo un portavoz de Follett a Tom's Guide.

"Agradecemos sinceramente los esfuerzos de Bill para llamar nuestra atención sobre esto. Nuestro equipo de tecnología monitorea continuamente el sistema en busca de vulnerabilidades y actualiza la plataforma según sea necesario en función de la información de las auditorías de seguridad y la información proporcionada por fuentes de terceros ".

'Podríamos mejorar la forma en que nos comunicamos con los investigadores de seguridad'

Blackboard no respondió tan bien como Follett, dijo Demirkapi. Inicialmente, la compañía no respondió a los correos electrónicos que les envió sobre las fallas de inyección de SQL que encontró durante su tercer año, a pesar de que pudo ver que los correos electrónicos se estaban leyendo.

Así que hizo que su escuela se comunicara con Blackboard, que respondió con un contrato que equivalía a una no divulgación. acuerdo y significaba que Demirkapi no podría discutir los defectos con nadie, incluso después de haber sido fijo.

Con la ayuda de sus padres, negoció el contrato para permitir la divulgación después de que se corrigieron las fallas, y para dar Control de edición de Blackboard sobre todo lo que Demirkapi dijo sobre las fallas, incluidas las diapositivas de su DEF CON presentación. El segundo conjunto de fallas de Blackboard que encontró pasó por el programa de divulgación de terceros sin ningún problema.

Sin embargo, Demirkapi notó que el director de seguridad de la información de Blackboard dejó el puesto "justo después de que se repararan mis vulns SQL en abril de 2018".

"Vi una lista de trabajos para el puesto y pensé en ello", dijo Demirkapi. "Sin embargo, todavía tenía 17 años, así que creo que esperaré uno o dos años".

"Felicitamos a Bill Demirkapi por señalarnos estas vulnerabilidades y por esforzarse por ser parte de una solución para mejorar la seguridad de nuestros productos y proteger la información personal de nuestros clientes ", dijo un portavoz de Blackboard a Tom's Guía.

"Hemos abordado todas las cuestiones que nos señaló el Sr. Demirkapi y no tenemos indicios de que se explotaron vulnerabilidades o que el Sr.Demirkapi o cualquier otra persona accedió a la información personal de los clientes. parte no autorizada ".

"Blackboard toma en serio cada informe de una vulnerabilidad potencial y trabaja para investigar y remediar las posibles debilidades lo más rápido posible", agregó el vocero. "Una de las lecciones aprendidas de este intercambio en particular es que podríamos mejorar la forma en que nos comunicamos con los investigadores de seguridad que nos traen estos problemas".

Al final de su charla, Demirkapi describió una serie de recomendaciones para las escuelas que compran software educativo.

"Independientemente de la empresa, las escuelas deben obligar a las empresas a asegurarse de que los productos que utilizan sean seguros", dijo. "Las escuelas deben exigir auditorías de software por parte de terceros, responsabilizar a las empresas cuando sean negligentes se toman medidas [y] comprenden cómo y dónde se almacena la información confidencial, no se deje engañar charla de marketing ".

  • 10 mejores mochilas para portátiles de regreso a la escuela
  • Las mejores aplicaciones para estudiantes
  • Guía de compra de portátiles para el regreso a clases