This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Информатика студент первого хвалили, а затем исключен за ковыряться

Filed Under: Data loss, Security threats, Vulnerability

Информатика студент первого хвалили, а затем исключен за ковыряться. Изображение из Shutterstock Студент компьютерных наук был исключен из колледжа Доусон в Монреале для тыкать на то, что он называет "неаккуратным кодирование" в программном обеспечении колледжа - разгильдяйство, что под угрозу безопасность персональных данных более чем 250.000 студентов.

По данным Национального сообщение, студент, 20-летний Ахмед аль-Хабаз, работали над мобильным приложением, которое позволило бы студентам более легкий доступ к их счетам колледжа.

Аль-Хабаз и его коллега - Ovidiu Mija - обнаружили ошибку в Omnivox программного обеспечения колледжа Portal.

Omnivox портала, сделанных Skytech связи, рекламируется в качестве концентратора для всех внутренних коммуникаций в образовательных учреждениях.

Аль-Хабаз, член программного обеспечения клубе развития школы, рассказал National Post, что дыра в безопасности на портале программное обеспечение позволило "любой человек с базовыми знаниями компьютера", чтобы получить доступ ко всей информации колледже на студента, в том числе социальных страховой номер, домашний адрес, номер телефона, и расписание занятий.

Аль-Хабаз сказал, что он чувствовал себя морально обязанным сообщить о проблеме, не зная, что его действия будут истолкованы негативно:

"Я видел недостаток, который оставил личную информацию тысяч студентов, включая меня, уязвимым ... Я чувствовал, что моральным долгом довести его до сведения колледж и помочь исправить ее, что я и сделал. Мог было легко спрятать свою идентичность через прокси-сервер. Я решил не потому что я не думаю, что я делаю что-то не так ".

В самом деле, Dawson College первоначально дали пару похлопывание по спине за их исходный код-тыкать.

Dawson College директор по информационным услугам и технологиям François Paradis встретился с двумя 24-го октября, поздравляя их за работу и пообещал, что он и Skytech бы решить эту проблему немедленно.

Два дня спустя, Аль-Хабаз решили проверить, является ли программное обеспечение на самом деле были исправлены.

Он использовал сканер веб-уязвимостей называется Acunetix. Через несколько минут, он сказал, National Post, Skytech президента Эдуарда Таза позвонил ему и обвинил его запуска кибер-атаки:

"Он сказал, что это был второй раз, когда они видели меня в своих журналах, и то, что я делал, было кибер-атаки. Я извинился, неоднократно, и объяснил, что я был одним из тех, кто обнаружил уязвимость в начале недели и был только тестирование, чтобы убедиться, что она была исправлена. Он сказал мне, что я могу пойти в тюрьму на шесть-двенадцать месяцев, что я только что сделал, и если я не согласен с ним встретиться и подписать соглашение о неразглашении он собирался позвонить КККП и арестовать меня. Таким образом, я подписал соглашение ».

Таза, признавая, что он упомянул о полиции и правовые последствия, отрицает создание угрозы:

"Все программное обеспечение компании, даже Google или Microsoft, есть ошибки в программном обеспечении ... Эти два студента обнаружили очень умный недостаток безопасности, которая может быть использована. Мы действовали немедленно, чтобы решить проблему, и были в состоянии сделать это, прежде чем кто-либо мог использовать его для доступа к личной информации ".

Но в то время как первоначальный доклад недостаток был прием, Таза сказал, впоследствии помощью сканера уязвимостей было нет-нет:

"Этот тип программного обеспечения не должна быть использована без предварительного разрешения системного администратора, поскольку это может привести к краху системы. [Аль-Хабаз] должно быть известно лучше, чем использовать его без разрешения, но это очень для меня ясно, что не было никакого злого умысла. Он просто сделал ошибку ".

В колледже считают его гораздо более серьезным, чем просто честная ошибка. Профессора колледжа проголосовал, 14 к одному, изгнать Аль-Хабаз за то, что они называют "серьезная профессиональная проблема поведения".

Аль-Хабаз считает своей академической карьеры "полностью разрушен".

Он сказал:

"Я был acing все мои занятия, но теперь у меня есть нули по всем направлениям. Я не могу получить в любой другой колледж, потому что из этих классов, и моя постоянная запись показывает, что я был исключен за непрофессиональное поведение. Я действительно хочу эту степень , и теперь я не смогу его получить. Моя академическая карьера полностью разрушен. в чужие руки, это нарушение могло стать причиной катастрофы. Студенты могли ножках, были украдены их личности, их шкафчики открылись и кто знает, что еще. Я нашел серьезные проблемы, и пытались помочь это исправить. Для этого я был изгнан. "

Был Аль-Хабаз в том, что сканирование на наличие уязвимостей? Даже если он сделал это без злого умысла?

Белая шляпа ковбоя. Изображение из Shutterstock К сожалению, да. Автоматизированные средства может привести к сбою системы или, еще хуже, так как исследователь безопасности Иеремия Гроссман отмечает в этой статье, по каким сканеры уязвимости может нанести вред сайтов.

Белые шляпы взлома требуется авторизация - в противном случае, это незаконно.

Был колледж переусердствовали в наказание?

Это зависит от многого. Как хорошо их преподавателей донести урок, что с помощью таких инструментов может причинить вред и является незаконной без разрешения? Они включают его в свои курсовые?

Если нет, то колледже администраторы должны нести свою долю вины в этом инциденте и включают в себя такие материалы в учебной программе, после спешки.

Если опека в надлежащее использование сканеров уязвимостей, по сути, был включен в учебную программу, то поведение Аль-Хабаз был непрофессиональным.

Было ли это непрофессионально точки высылки и губит карьеру, ну, Боже, я не знаю об этом.

Администраторы могут иметь, по крайней мере, позволили студенту, чтобы передать его сторону истории, - которые, по-видимому, они не сделали, отрицая свою привлекательность.

Commenters на репортажах выразили желание, чтобы нанять молодого человека. Будем надеяться, что этого не будет карьере пробки для него.

Будем надеяться, что его рассказ будет привлечь внимание к нюансам использования этих автоматизированных средств.

Как и дядя Бен сказал Питер Паркер, с большой силой приходит большая ответственность. Будем надеяться, что образовательные центры не уклоняться от своих обязанностей, чтобы преподавать студентам, что это ответственность выглядит.


Ржавый замок
и белая ковбойская шляпа изображений Shutterstock.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

I've been writing about technology, careers, science and health since 1995. I rose to the lofty heights of Executive Editor for eWEEK, popped out with the 2008 crash, joined the freelancer economy, and am still writing for my beloved peeps at places like Sophos's Naked Security, CIO Mag, ComputerWorld, PC Mag, IT Expert Voice, Software Quality Connection, Time, and the US and British editions of HP's Input/Output. I respond to cash and spicy sites, so don't be shy.