This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Informática primer estudiante alabado, luego expulsado por hurgar

Filed Under: Data loss, Security threats, Vulnerability

Computer estudiante de ciencias de primero alabado, luego expulsado por hurgar. Imagen de Shutterstock Un estudiante de ciencias de la computación ha sido expulsado de Dawson College de Montreal para hurgar en lo que él denomina "codificación descuidada" en el software de la universidad - dejadez que comprometía la seguridad de los datos de más de 250.000 personales de los alumnos.

De acuerdo con el National Post, el estudiante, de 20 años de edad, Ahmed Al-Khabaz, había estado trabajando en una aplicación móvil que habría permitido a los estudiantes acceso fácil a sus cuentas de la universidad.

Al-Khabaz y un colega - Ovidiu Mija - descubrió la falla en OmniVox software de la universidad Portal.

OmniVox Portal, hecha por Skytech Comunicaciones, se anuncia como un centro para todas las comunicaciones internas en las instituciones educativas.

Al-Khabaz, un miembro del club de la escuela de desarrollo de software, le dijo al National Post que un agujero de seguridad en el software de portal permite "cualquier persona con un conocimiento básico de computadoras" para obtener acceso a toda la información de una universidad tiene un estudiante, incluyendo los sociales número de afiliación, dirección, número de teléfono y horario de clases.

Al-Khabaz dijo que se sentía moralmente obligado a reportar el problema, sin saber que sus acciones se vería negativamente interpretará:

"Vi una falla que dejó a la información personal de miles de estudiantes, incluyéndome a mí, vulnerable ... me sentí que tenía la obligación moral de poner en conocimiento de la universidad y ayudar a arreglarlo, lo cual hice. Pude fácilmente haber ocultado mi identidad detrás de un proxy. No me eligieron porque no pensé que estaba haciendo algo mal ".

De hecho, Dawson College inicialmente dio un par de palmaditas en la espalda por su inicial de código de meter.

Dawson Director del Colegio de Servicios de Información y Tecnología François Paradis se reunió con los dos el 24 de octubre, felicitarlos por su trabajo y la promesa de que él y Skytech arreglaría el problema de inmediato.

Dos días más tarde, Al-Khabaz decidió comprobar si el software de hecho había sido arreglado.

Él utilizó un escáner de vulnerabilidades Acunetix Web llamada. En cuestión de minutos, le dijo al National Post, el presidente Edouard Taza Skytech le llamó por teléfono y le acusó de lanzar un ataque cibernético:

"Me dijo que esta era la segunda vez que me había visto en sus registros, y lo que estaba haciendo era un ataque cibernético. Me disculpé, en repetidas ocasiones, y le expliqué que era una de las personas que descubrieron la vulnerabilidad principios de esa semana y fue haciendo una prueba para asegurarse de que se ha fijado. Me dijo que podía ir a la cárcel por seis a doce meses por lo que acababa de hacer y si yo no estaba de acuerdo en reunirse con él y firmar un acuerdo de confidencialidad que se iba para llamar a la Policía Montada y me han arrestado. Así que firmaron el acuerdo ".

Taza, reconociendo al mismo tiempo que se refirió a la policía y las consecuencias legales, negó haber hecho amenazas:

"Todas las empresas de software, incluso de Google o Microsoft, tienen fallos en su software ... Estos dos estudiantes descubrieron un problema de seguridad muy inteligente, lo que podría ser explotado. Actuamos inmediatamente para solucionar el problema, y fueron capaces de hacerlo antes de que nadie pudiera lo utilizan para acceder a la información privada ".

Pero si bien el informe falla inicial era bienvenido, Taza, dijo, posteriormente, utilizando el escáner de vulnerabilidad era un no-no:

"Este tipo de software no se debe utilizar sin autorización previa del administrador del sistema, ya que puede hacer que un sistema deje de funcionar. [Al-Khabaz] debería haber pensado mejor antes de usarlo sin permiso, pero es muy claro para mí que no hubo mala intención. Él simplemente cometió un error. "

El colegio considera que es mucho más grave que simplemente un error honesto. Profesores de la universidad votó 14 a uno, para expulsar a Al-Khabaz por lo que llamaron un "problema grave conducta profesional".

Al-Khabaz considera que su carrera académica "completamente arruinado".

Él dijo:

"Estaba acing todas mis clases, pero ahora tengo ceros en todos los ámbitos. No puedo entrar en cualquier otra universidad debido a estos grados, y mi registro permanente muestra que fui expulsado por conducta poco profesional. Tengo muchas ganas esta carrera , y ahora no voy a ser capaz de conseguirlo. Mi carrera académica está completamente arruinado. En las manos equivocadas, esta brecha podría haber causado un desastre. Los estudiantes podrían haber sido acosada, tuvieron sus identidades robadas, abrió sus casilleros y quién sabe qué más. Encontré un problema serio, y trató de ayudar a solucionarlo. Para que me expulsaron ".

¿Fue Al-Khabaz en el mal que han escaneado de vulnerabilidades? Incluso si lo hizo sin malicia?

Sombrero de vaquero negro. Imagen de Shutterstock Lamentablemente, la respuesta es sí. Las herramientas automatizadas pueden colgar sistemas o peor aún, como el investigador de seguridad Jeremiah Grossman señala en este artículo sobre cómo los escáneres de vulnerabilidad pueden dañar sitios.

White-hat hacker requiere autorización - de lo contrario, es ilegal.

¿El colegio exceso de celo en el castigo?

Depende. ¿Qué tan bien sus instructores cruzar la lección que el uso de tales herramientas pueden hacer daño y es ilegal salvo autorización? ¿Incluyen en sus cursos?

Si no es así, los administradores de la universidad debe asumir su parte de culpa en este incidente e incluir tal material en el plan de estudios prisa correos.

Si tutela en el uso adecuado de los escáneres de vulnerabilidad de hecho, ha sido incluida en el plan de estudios, entonces la conducta de Al-Khabaz era poco profesional.

Si era poco profesional al momento de la expulsión y de la carrera arruinando-, bueno, vaya, yo no sé nada de eso.

Los administradores pueden tener, por lo menos, permitió que el estudiante al aire su versión de los hechos - que, al parecer, no lo hicieron, negando su apelación.

Los comentaristas de la cobertura de la historia han expresado su deseo de contratar al joven. Esperemos que esto no va a ser una carrera-tapón para él.

Con suerte, su historia traerá atención a los matices del uso de estas herramientas automatizadas.

Al igual que el tío Ben le dijo a Peter Parker, un gran poder conlleva una gran responsabilidad. Esperemos sedes educativas no están eludiendo su deber de enseñar a los estudiantes lo que la responsabilidad parece.


Rusty candado
y blanco sombrero de vaquero imágenes de Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.