LAS VEGAS - 10. sınıftan başlayarak, lise öğrencisi Bill Demirkapı, okulda çok sayıda güvenlik açığı buldu. Okulunun notları kaydetmek, devamlılığı sürdürmek, velileri bilgilendirmek ve hatta öğle yemeği parası hesaplarını tutmak için kullandığı yazılım. Ancak kusurları bildirmekle yaşadığı sıkıntı, güçlü kurumların güvenlik açıklarına dikkat çekmenin ne kadar riskli olabileceğini gösteriyor.

Demirkapı, "Eğitim sektöründe ciddi bir sorun var ve bu konuya yeterince dikkat edilmiyor" dedi. geçen hafta sonu bir sunum DEF CON 27 hacker konferansında burada. "16 yaşında bir çocuk milyonlarca öğrenciyi ve öğretmeni etkileyen bir ihlal bulabilirse, bir ulus devlet ne bulabilir?"

DAHA: Üniversite için En İyi Dizüstü Bilgisayarlar

Demirkapı, Boston bölgesindeki lisesi tarafından kullanılan iki yazılım paketine odaklandı: Follett's Aspen Student Information System ve Blackboard Community Engagement. Okul, Aspen'i notları ve transkriptleri, Blackboard'u akademisyenler hakkında öğrencilere ve ebeveynlere haber ve bilgi vermek için kullandı.

Dönme Dolap Çekmek

Aspen, kullanıcı giriş alanlarını filtreledi, böylece hiçbir normal kullanıcı, mesajlaşma sistemine kötü amaçlı kod gönderemez. Ancak Demirkapı üçüncü yılında, Aspen'in kodu her gönderimde yalnızca bir kez filtrelediğini keşfetti; kodu daha fazla kodun içine yerleştirirse, filtre yalnızca en dıştaki katmanı çıkarır ve geri kalan her şey geçer.

Demirkapı, Aspen'in sıradan kullanıcıların neler yapabileceğini de tamamen kilitlemediğini buldu. Demirkapi, Aspen çalıştıran görünen Java kodundaki bazı parametreleri değiştirerek diğer öğrencilerin Aspen şifrelerini okuyabilir, doğum tarihleri, İngilizce dil durumu, ailenin askerlik durumu, ücretsiz öğle yemeği durumu, disiplin durumu, özel eğitim durumu ve GPA. (Kendisinin dışında kimsenin kayıtlarına bakmadığını söyledi.)

Demirkapı, "Ve kendi not ortalamamı düzenleyebilirim," dedi, ancak bunu gerçekten yapıp yapmadığını belirtmeyi reddetti.

Demirkapı, son yılında Aspen'de belirli dosya türlerini görmeye çalışırken bir hata mesajı tetiklediğinde, hata mesajının dosyanın tüm içeriğini yazdıracağını buldu. Sınıf programlarının veya rapor kartlarının indirilmesini talep ederken kötü amaçlı kod girmesi durumunda da dosyalara erişilebilir.

Karatahta ormanı

Demirkapı, Blackboard'un daha da büyük sorunları olduğunu söyledi.

Son sınıftayken, Blackboard yazılımının okul bölgesinde kurulu olduğunu keşfetti. sistemlerde hata ayıklama özelliği etkinleştirildi, yazılım bakım kapısından çıkmaya eşdeğer kilidi açıldı.

Bu, kötü kodun neden olduğu hata mesajlarının tüm şehir okul bölgeleri ile ilişkili tüm meta verileri yazdıracağı anlamına geliyordu. yönetici kullanıcı adları ve şifreleri ile okul yazılımını öğretmenlere yüklemek için kullanılan 27 Apple App Provisioning hesabı için oturum açma kimlik bilgileri ve öğrencilerin iPhone'lar ve iPad'ler.

Demirkapı, 10. sınıfta okulunun sistemlerini incelemeye yeni başladığı sırada bulduğu dört SQL enjeksiyon güvenlik açığıydı.

SQL enjeksiyonları, birçok web sitesinin URL'sinde görünen veritabanı komutlarına anlamsız kelimeler yazarak tetiklenebilir. Böyle saldırılar 20 yıldır yaygın olarak bilinen bir sorundur ve çoğu Web'e yönelik veritabanı, onaylanmamış saldırıları engelleyerek bunları engeller. komutlar. Görünüşe göre Blackboard hepsini alamadı.

Demirkapı, sadece kendi okulunun kayıtlarını değil, tüm Blackboard veritabanını görebildiğini, isimleri, doğum tarihlerini, iletişim bilgilerini ifşa ettiğini söyledi. Blackboard sistemindeki her öğrenci ve öğretmenin bilgileri, ders yükü, notları, disiplin geçmişi, fotoğrafları ve zayıf bir şekilde şifrelenmiş şifreleri ülke çapında.

Veritabanı tablolarını ve giriş sayılarını sayarak Demirkapı, bakabileceğini tahmin etti (ancak Yapmadığında ısrar ediyor) 5 milyondan fazla insan ve 34.000 aşılama dahil 5.000 okulun kayıtları kayıtları.

Messenger'ı vurmak

Demirkapı, "Bu kusurları [Aspen ana şirketi] Follett Corporation'a açıklamaya çalışırken çok ilginç bir zaman geçirdim" dedi. "Okulumun BT direktöründen geçerek başladım ama bu hiçbir yere varmadı."

Bunun yerine, Aspen'in kendi mesajlaşma özelliklerini kullanarak okulundaki diğer öğrencilere Follett'in "güvenliği önemsemediğini" belirten bir uyarı yayınladı.

Demirkapı, "Ekranınıza her giriş yaptığınızda bu mesajı görürsünüz" dedi. "Görünüşe göre mesaj sadece okulumdaki çocuklara değil, bölgedeki her öğrenciye, öğretmene, yöneticiye ve ebeveyne gitti."

"Yalnızca iki günlük bir uzaklaştırma aldım ve onları okulun Kabul Edilebilir Kullanım [BT] politikasını ihlal etmediğime ikna etmeyi başardım," diye ekledi. "Geçmişe bakınca, yapılacak en iyi şey bu değildi.

Demirkapı daha sonra, başardıklarının resimlerini paylaşmak için Twitter'ı kullandı ve bu da Follett'in hem kendisine hem de okuluna ulaşmasını ve bir toplantı ayarlamasını sağladı.

"Okulum bunu duydu ve Follett'e benimle konuşmamasını söyledi," dedi müdürüne bir toplantıya izin vermesini rica edene kadar.

"Benimle bir hafta içinde buluştular ve hataları 2018 Nisan ortasına kadar giderdiler" dedi. "Çok profesyoneldiler."

Bir yıl sonra, Aspen böceklerinin ikinci setini bulduktan sonra Demirkapı, bir üçüncü taraf açıklama programı aracılığıyla Follett'e ulaştı ve okulunu dahil etmek istemediğini söyledi. Ancak Follett, kendisiyle doğrudan çalışmayı bıraktığını söyledi ve ardından okuluna haber verdi - bu da Demirkapı'nın tüm okul hesaplarını derhal devre dışı bıraktı.

Demirkapı, "İyi ki zaten mezun olmuştum" dedi. "Güvenlik açıklarının bir PDF'sini Follett'e gönderdim, bu yüzden Temmuz 2019'un sonuna kadar hepsini düzelttiler."

Follett'in bir sözcüsü Tom's Guide'a verdiği demeçte, "Bill'in bilgilerini aldıktan sonra, Temmuz 2018'deki web güvenlik açığını gidermek için bir yama geliştirdik ve uyguladık" dedi.

"Bill'in bunu dikkatimize çekme çabalarını içtenlikle takdir ediyoruz. Teknoloji ekibimiz, sistemi güvenlik açıklarına karşı sürekli olarak izler ve güvenlik denetimlerinden gelen bilgilere ve üçüncü taraf kaynaklar tarafından sağlanan bilgilere dayanarak platformu gerektiğinde günceller. "

'Güvenlik araştırmacılarıyla iletişim kurma şeklimizi iyileştirebiliriz'

Demirkapi, Blackboard'un Follett kadar duyarlı olmadığını söyledi. Şirket başlangıçta, e-postaların okunduğunu görebilmesine rağmen, üçüncü yılında bulduğu SQL enjeksiyon kusurları hakkında onlara gönderdiği e-postalara yanıt vermedi.

Bu yüzden okulunun Blackboard'a ulaşmasını sağladı ve bu da açıklama yapılmaması anlamına gelen bir sözleşmeyle yanıt verdi. anlaşması ve Demirkapı'nın kusurları kimseyle tartışamayacağı anlamına geliyordu. sabit.

Ebeveynlerinin yardımıyla, kusurlar giderildikten sonra ifşa edilmesine izin vermek için sözleşmeyi müzakere etti - ve DEF CON'unun slaytları da dahil olmak üzere Demirkapı'nın kusurlar hakkında söylediği her şey üzerinde Blackboard düzenleme kontrolü sunum. Bulduğu ikinci Blackboard kusurları, üçüncü taraf ifşa programından sorunsuz bir şekilde geçti.

Ancak Demirkapı, Blackboard'un bilgi güvenliği şefinin "Nisan 2018'de SQL vuln'larım yamalandıktan hemen sonra" pozisyondan ayrıldığını fark etti.

Demirkapı, "Pozisyon için bir iş ilanı gördüm ve düşündüm" dedi. "O zamanlar hala daha 17 yaşındaydım, bu yüzden sanırım bir veya iki yıl bekleyeceğim."

"Bill Demirkapı'yı bu güvenlik açıklarını dikkatimize sunduğu ve bir çözümün parçası olmaya çalıştığı için takdir ediyoruz. Blackboard sözcüsü, Tom'un yaptığı açıklamada, ürünlerimizin güvenliğini iyileştirmek ve müşterilerimizin kişisel bilgilerini korumak Kılavuz.

"Sayın Demirkapı tarafından dikkatimize sunulan tüm konuları ele aldık ve bunların güvenlik açıklarından istismar edilmiş veya herhangi bir müşterinin kişisel bilgilerine Sayın Demirkapı veya başka yetkisiz şahıs. "

Sözcü, "Blackboard, olası bir güvenlik açığıyla ilgili her raporu ciddiye alıyor ve olası zayıflıkları olabildiğince çabuk araştırmak ve düzeltmek için çalışıyor," diye ekledi. "Bu alışverişten çıkarılan derslerden biri, bu sorunları dikkatimize çeken güvenlik araştırmacılarıyla iletişim kurma biçimimizi geliştirebileceğimizdir."

Demirkapı, konuşmasının sonunda eğitim yazılımı satın alan okullar için bir dizi tavsiyenin altını çizdi.

"Şirket ne olursa olsun, okullar şirketleri kullandıkları ürünlerin güvenli olduğundan emin olmaya zorlamalı," dedi. "Okullar, yazılımların üçüncü taraf denetimine tabi tutulmalı, ihmal edildiğinde şirketleri sorumlu tutmalıdır önlemler alınır [ve] hassas bilgilerin nasıl ve nerede saklandığını anlayın - kanmayın pazarlama konuşması. "

  • Okula Dönüş İçin En İyi 10 Dizüstü Bilgisayar Sırt Çantası
  • Öğrenciler için En İyi Uygulamalar
  • Okula Dönüş Dizüstü Bilgisayar Satın Alma Rehberi