This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Ciência da computação primeiro estudante elogiou, em seguida, expulso por bisbilhotando

Filed Under: Data loss, Security threats, Vulnerability

Computador estudante de ciência da primeira elogiou, em seguida, expulso por bisbilhotando. Imagem da Shutterstock Um estudante de ciência da computação foi expulso de Dawson College de Montreal para cutucar o que ele chama de "codificação desleixada" em software da faculdade - desleixo que comprometiam a segurança dos dados de mais de 250.000 alunos pessoais.

De acordo com o National Post, o estudante, de 20 anos de idade, Ahmed Al-Khabaz, estava trabalhando em um aplicativo móvel que teria permitido o acesso dos estudantes mais fácil às suas contas de faculdade.

Al-Khabaz e um colega - Ovidiu Mija - descobriu a falha em software da faculdade Portal Omnivox.

Omnivox Portal, feita por Skytech Comunicações, é anunciada como um hub para todas as comunicações internas em instituições de ensino.

Al-Khabaz, um membro da escola clube de desenvolvimento de software, disse ao National Post que uma falha de segurança no software do portal permitido "qualquer pessoa com um conhecimento básico de computadores" para ter acesso a todas as informações de uma faculdade tem sobre um estudante, inclusive sociais número de inscrição, endereço residencial, número de telefone e horário de aula.

Al-Khabaz disse que se sentiu moralmente obrigado a relatar o problema, sem saber que suas ações seriam negativamente interpretado:

"Eu vi uma falha que deixou as informações pessoais de milhares de estudantes, inclusive eu, vulnerável ... eu senti que tinha a obrigação moral de trazer a atenção do colégio e ajudar a corrigi-lo, o que eu fiz. Que pude facilmente ter escondido a minha identidade por trás de um proxy. que eu não escolhi, porque eu não acho que eu estava fazendo nada de errado. "

Na verdade, Dawson College inicialmente deu a par de um tapinha nas costas de seu código inicial de enfiar o dedo.

Dawson Diretor do Colégio de Serviços de Informação e Tecnologia François Paradis se reuniu com os dois em 24 de outubro, parabenizando-os pelo seu trabalho e prometendo que ele e Skytech iria resolver o problema imediatamente.

Dois dias depois, Al-Khabaz decidiu verificar se o software tinha de fato sido fixado.

Ele usou um scanner de vulnerabilidade web chamada Acunetix. Em poucos minutos, ele disse ao National Post, Skytech presidente Edouard Taza tocou-o e acusou-o de lançar um ataque cibernético:

"Ele disse que esta foi a segunda vez que me tinha visto em seus registros, eo que eu estava fazendo era um ataque cibernético. Pedi desculpas, repetidamente, e explicou que eu era uma das pessoas que descobriram a vulnerabilidade naquela semana e foi apenas testando para ter certeza que foi corrigido. Ele me disse que eu poderia ir para a cadeia por seis a doze meses para o que eu tinha acabado de fazer e se eu não concordar em se encontrar com ele e assinar um acordo de não divulgação que ia para chamar a RCMP e me prenderam. Então eu assinei o contrato. "

Taza, apesar de reconhecer que ele mencionou a polícia e as consequências legais, negou ter feito ameaças:

"Todas as empresas de software, até mesmo o Google ou Microsoft, tem erros em seu software ... Estes dois estudantes descobriram uma falha de segurança muito inteligente, que pode ser explorada. Agimos imediatamente para corrigir o problema, e foram capazes de fazê-lo antes que alguém pudesse usá-lo para acessar informações privadas ".

Mas, enquanto o relatório de falha inicial era bem-vindo, Taza disse, posteriormente, usando o scanner de vulnerabilidade foi um não-não:

"Este tipo de software nunca deve ser usado sem autorização prévia do administrador do sistema, pois pode causar um sistema deixe de funcionar. [Al-Khabaz] deveria ter pensado melhor antes de usá-lo sem permissão, mas é muito claro para mim que não havia nenhuma intenção maliciosa. Ele simplesmente cometeu um erro. "

A faculdade considerou muito mais grave do que apenas um erro honesto. Professores da faculdade votaram, 14 para um, para expulsar a Al-Khabaz para o que eles chamavam de "problema de conduta profissional sério."

Al-Khabaz considere sua carreira acadêmica "completamente arruinada."

Ele disse:

"Eu estava acing todas as minhas aulas, mas agora eu tenho zeros através da placa. Que eu não posso entrar em qualquer outra faculdade por causa dessas qualidades, e meu registro permanente mostra que eu estava expulso por conduta não profissional. Que eu realmente quero esse grau e, agora, eu não vou ser capaz de obtê-lo. Minha carreira acadêmica está completamente arruinada. Nas mãos erradas, essa violação pode ter causado um desastre. Estudantes poderia ter sido perseguido, tiveram suas identidades roubadas, seus armários abertos e quem sabe o que mais. Encontrei um problema sério, e tentou ajudar a corrigir isso. Para que eu estava expulso ".

Foi Al-Khabaz no erro de ter digitalizado para vulnerabilidades? Mesmo se ele fez isso sem malícia?

Chapéu de cowboy branco. Imagem da Shutterstock Infelizmente, a resposta é sim. Ferramentas automatizadas pode travar sistemas ou, pior ainda, como pesquisador de segurança Jeremiah Grossman observa neste artigo sobre como scanners de vulnerabilidade pode prejudicar sites.

White-hat hackers requer autorização - caso contrário, é ilegal.

Foi o excesso de zelo na faculdade punição?

Depende. Quão bem os seus instrutores obter toda a lição de que o uso de tais ferramentas pode fazer mal e é ilegal, a menos que autorizado? Será que eles incluem em seus cursos?

Se não, então os administradores da faculdade deve ter sua parcela de culpa no incidente e incluem material na pressa pós currículo.

Se a tutela sobre o uso correto de scanners de vulnerabilidade tem de facto sido incluída no currículo, então conduta Al-Khabaz era profissional.

Se era pouco profissional, a ponto de expulsão e carreira arruinando, assim, Deus, eu não sei sobre isso.

Administradores poderia ter, pelo menos, permitiu o aluno para o ar o seu lado da história - o que, aparentemente, eles não fizeram, negando o recurso.

Comentadores sobre a cobertura da história manifestaram o desejo de contratar o jovem. Felizmente, isso não vai ser uma carreira-rolha para ele.

Felizmente, seu conto vai chamar a atenção para as nuances do uso dessas ferramentas automatizadas.

Como o tio Ben disse a Peter Parker, com grande poder vem grande responsabilidade. Vamos esperar locais educacionais não estão se esquivando seu dever de ensinar aos alunos o que essa responsabilidade parece.


Bloqueio Rusty
e chapéu branco de vaqueiro imagens da Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.