LAS VEGAS - Od 10. ročníka, študent strednej školy Bill Demirkapi našiel viac bezpečnostných chýb v softvér, ktorý jeho škola používala na zaznamenávanie ročníkov, dochádzku, upozorňovanie rodičov a dokonca na vedenie účtov s peniazmi na obed. Ale problém, s ktorým sa stretol pri hlásení nedostatkov, ukazuje, aké riskantné môže byť upriamiť pozornosť na bezpečnostné diery mocných inštitúcií.

„Vo vzdelávacom priemysle existuje vážny problém a tejto problematike sa nevenuje dostatočná pozornosť,“ uviedol Demirkapi počas prezentácia minulý víkend na hackerskej konferencii DEF CON 27 tu. „Ak 16-ročný mladík dokáže nájsť porušenie postihujúce milióny študentov a učiteľov, čo môže nájsť národný štát?“

VIAC: Najlepšie notebooky pre vysoké školy

Demirkapi sa zameral na dva softvérové ​​balíčky, ktoré používala jeho stredná škola v Bostone: Follettov Aspen Student Information System a Blackboard Community Engagement. Škola využívala Aspen na doručovanie ročníkov a prepisov a Tabuľa na doručovanie správ a informácií o akademikoch študentom a rodičom.

Ťahanie Ferris Buellera

Spoločnosť Aspen filtrovala svoje vstupné polia, takže žiadny bežný používateľ nemohol do svojho systému správ odoslať škodlivý kód. Ale v juniorskom veku Demirkapi zistil, že Aspen odfiltroval kód iba raz na každé podanie; keby vnoril kód do viac kódu, filter by odstránil iba najvzdialenejšiu vrstvu a všetko ostatné by sa dostalo cez.

Aspir tiež úplne nezastavil to, čo by bežní používatelia mohli robiť, zistil Demirkapi. Zmenou niektorých parametrov vo viditeľnom kóde Java, na ktorom je spustený Aspen, mohol Demirkapi čítať heslá Aspen ostatných študentov, dátumy narodenia, status v anglickom jazyku, rodinný vojenský status, status bezplatného obeda, disciplinárny status, status špeciálneho školstva a GPA. (Povedal, že sa nepozrel na nikoho záznamy, iba na svoje.)

„A mohol by som upraviť svoje vlastné GPA,“ povedal Demirkapi, hoci odmietol uviesť, či tak skutočne urobil.

V poslednom ročníku Demirkapi zistil, že ak by pri pokuse o zobrazenie určitých typov súborov v Aspene spustil chybové hlásenie, samotné chybové hlásenie by vytlačilo celý obsah súboru. K súborom by sa tiež dalo dostať, ak pri zadávaní škodlivých kódov zadá škodlivý kód a požiada o stiahnutie rozvrhov hodín alebo vysvedčení.

Džungľa na tabuľu

Tabuľa mala ešte väčšie problémy, povedal Demirkapi.

Keď bol starším, zistil, že softvér Blackboard bol nainštalovaný na školskom obvode systémy mali povolenú funkciu ladenia, čo je softvérový ekvivalent opustenia dverí údržby odomknutý.

To znamenalo, že chybové správy spôsobené zlým kódom vytlačia všetky metadáta spojené so všetkými mestskými školskými obvodmi - vrátane administratívne používateľské mená a heslá a prihlasovacie poverenia pre 27 účtov Apple App Provisioning používaných na inštaláciu školského softvéru na učiteľov a študentské iPhony a iPady.

Ešte elementárnejšie boli štyri chyby zabezpečenia pomocou injekcie SQL, ktoré Demirkapi našiel počas 10. ročníka, keď ešte len začal skúmať systémy svojej školy.

Injekcie SQL sa dajú spustiť zadaním gýča do príkazov databázy viditeľných v adresách URL mnohých webových stránok. Taký útoky sú už 20 rokov všeobecne známym problémom a väčšina databáz zameraných na web im bráni blokovaním neschválených príkazy. Tabuľa zjavne nedostala všetky.

Demirkapi uviedol, že vidí nielen záznamy svojej školy, ale aj celú databázu tabule, ktorá odhaľuje mená, dátumy narodenia, kontakt informácie, zaťaženie, známky, disciplinárna história, fotografie a slabo zašifrované heslá všetkých študentov a učiteľov v systéme Tabuľa celonárodne.

Spočítaním tabuliek v databáze a počtu záznamov odhadol Demirkapi, na ktorý sa mohol pozrieť (ale trvá na tom, že to neurobil) záznamy o viac ako 5 miliónoch ľudí a 5 000 školách vrátane 34 000 imunizácií záznamy.

Zastrelenie posla

„Mal som veľmi zaujímavé obdobie, keď som sa snažil odhaliť tieto nedostatky [materskej spoločnosti v Aspene] Follett Corporation“, keď bol mladší, povedal Demirkapi. „Začal som prechodom cez IT riaditeľa mojej školy, ale to nikam nevedelo.“

Namiesto toho teda použil vlastné funkcie správ spoločnosti Aspen na vysielanie varovania ostatným študentom v jeho škole, že Follett „sa nestaral o bezpečnosť“.

„Túto správu by si videl, kedykoľvek by si sa prihlásil na svoju obrazovku,“ povedal Demirkapi. „Ukázalo sa, že správa bola vyslaná všetkým študentom, učiteľom, správcom a rodičom v okrese, nielen deťom v mojej škole.“

„Dostal som iba dvojdňové pozastavenie a podarilo sa mi ich presvedčiť, že som neporušil politiku školy v oblasti prijateľného použitia [IT],“ dodal. „Spätne to nebolo to najlepšie.“

Demirkapi potom pomocou Twitteru zverejnil obrázky toho, čo dosiahol, čo Folletta prinútilo osloviť jeho aj jeho školu a pokúsiť sa zorganizovať stretnutie.

„Moja škola o tom počula a povedala Follettovi, aby so mnou nerozprával,“ povedal, až kým neprosil svojho riaditeľa, aby umožnil stretnutie.

„Stretli sa so mnou do týždňa a chyby nechali opraviť do polovice apríla 2018,“ uviedol. „Boli veľmi profesionálni.“

O rok neskôr, potom, čo našiel druhú sadu chrobákov Aspen, sa Demirkapi spojil s Follettom prostredníctvom programu zverejňovania informácií od tretích strán a povedal, že nechce zapojiť svoju školu. Ale Follett prestal pracovať priamo s ním, povedal Demirkapi a potom to oznámil svojej škole - ktorá okamžite deaktivovala všetky školské účty Demirkapiho.

„Dobrá vec, ktorú som už absolvoval,“ povedal Demirkapi. „Práve som poslal PDF so zraniteľnosťami spoločnosti Follett, takže všetky opravili do konca júla 2019.“

„Po získaní informácií od Billa sme v júli 2018 vyvinuli a nasadili opravu zameranú na riešenie zraniteľnosti webu,“ uviedol pre Tom's Guide hovorca Follettu.

„Úprimne si vážime Billovo úsilie, aby nás na to upozornil. Náš technologický tím neustále monitoruje zraniteľnosť systému a podľa potreby aktualizuje platformu na základe informácií z bezpečnostných auditov a informácií poskytovaných zdrojmi tretích strán. “

„Mohli by sme zlepšiť komunikáciu s bezpečnostnými výskumníkmi.“

Tabuľa nebola taká citlivá ako Follett, povedal Demirkapi. Spoločnosť spočiatku nereagovala na e-maily, ktoré im zasielal o chybách vstrekovania SQL, ktoré zistil počas juniorského roka - aj keď videl, že sa e-maily čítajú.

Nechal teda svoju školu osloviť spoločnosť Blackboard, ktorá reagovala zmluvou, ktorá sa považovala za nezverejnenie súhlas a znamenalo to, že Demirkapi nebude môcť s nikým diskutovať o chybách, ani keď už boli opravený.

S pomocou svojich rodičov dojednal zmluvu, aby umožnil zverejnenie informácií po odstránení nedostatkov - a dal Ovládanie editácie tabule nad všetkým, čo Demirkapi hovoril o chybách, vrátane snímok pre jeho DEF CON prezentácia. Druhá sada chýb Blackboardu, ktorú našiel, prešla programom zverejňovania informácií o tretích stranách bez problémov.

Demirkapi si však všimol, že hlavný úradník informačnej a bezpečnostnej služby spoločnosti Blackboard opustil miesto „hneď po vykonaní opravy mojich SQL vulnov v apríli 2018“.

„Videl som zoznam pracovných pozícií pre túto pozíciu a premýšľal som o tom,“ povedal Demirkapi. „Mal som vtedy ešte len 17 rokov, takže si myslím, že si počkám rok alebo dva.“

„Chválime Billa Demirkapiho za to, že nás upozornil na tieto chyby zabezpečenia a že sa usiloval byť súčasťou riešenia zlepšovať zabezpečenie našich produktov a chrániť osobné informácie našich klientov, “povedal Tom's hovorca spoločnosti Blackboard Sprievodca.

„Riešili sme všetky problémy, na ktoré nás upozornil pán Demirkapi, a nič o tom nenasvedčuje boli zneužité zraniteľné miesta alebo pán Demirkapi alebo ktokoľvek iný získal prístup k osobným informáciám klientov neoprávnená strana. ““

„Tabuľa berie každú správu o potenciálnej zraniteľnosti vážne a pracuje na čo najrýchlejšom vyšetrení a náprave potenciálnych slabostí,“ dodal hovorca. „Jedným z poznatkov získaných z tejto konkrétnej výmeny je to, že by sme mohli vylepšiť komunikáciu s bezpečnostnými výskumníkmi, ktorí nás upozorňujú na tieto problémy.“

Na konci svojej prednášky Demirkapi načrtol sériu odporúčaní pre školy kupujúce výučbový softvér.

„Bez ohľadu na spoločnosť, školy by mali nútiť spoločnosti, aby sa ubezpečili, že výrobky, ktoré používajú, sú bezpečné,“ uviedol. „Školy by mali vyžadovať audit softvéru od tretích strán, v prípade nedbanlivosti niesť spoločnosti k zodpovednosti sú prijímané akcie [a] chápané, ako a kde sú uložené citlivé informácie - nespadajte do toho marketingové reči. “

  • 10 najlepších batohov na notebooky do školy
  • Najlepšie aplikácie pre študentov
  • Sprievodca nákupom notebookov späť do školy