Информатика студент первого хвалили, а затем исключен за ковыряться

Информатика студент первого хвалили, а затем исключен за ковыряться. Изображение из Shutterstock Студент компьютерных наук был исключен из колледжа Доусон в Монреале для тыкать на то, что он называет "неаккуратным кодирование" в программном обеспечении колледжа – разгильдяйство, что под угрозу безопасность персональных данных более чем 250.000 студентов.

По данным Национального сообщение, студент, 20-летний Ахмед аль-Хабаз, работали над мобильным приложением, которое позволило бы студентам более легкий доступ к их счетам колледжа.

Аль-Хабаз и его коллега – Ovidiu Mija – обнаружили ошибку в Omnivox программного обеспечения колледжа Portal.

Omnivox портала, сделанных Skytech связи, рекламируется в качестве концентратора для всех внутренних коммуникаций в образовательных учреждениях.

Аль-Хабаз, член программного обеспечения клубе развития школы, рассказал National Post, что дыра в безопасности на портале программное обеспечение позволило "любой человек с базовыми знаниями компьютера", чтобы получить доступ ко всей информации колледже на студента, в том числе социальных страховой номер, домашний адрес, номер телефона, и расписание занятий.

Аль-Хабаз сказал, что он чувствовал себя морально обязанным сообщить о проблеме, не зная, что его действия будут истолкованы негативно:

"Я видел недостаток, который оставил личную информацию тысяч студентов, включая меня, уязвимым ... Я чувствовал, что моральным долгом довести его до сведения колледж и помочь исправить ее, что я и сделал. Мог было легко спрятать свою идентичность через прокси-сервер. Я решил не потому что я не думаю, что я делаю что-то не так ".

В самом деле, Dawson College первоначально дали пару похлопывание по спине за их исходный код-тыкать.

Dawson College директор по информационным услугам и технологиям François Paradis встретился с двумя 24-го октября, поздравляя их за работу и пообещал, что он и Skytech бы решить эту проблему немедленно.

Два дня спустя, Аль-Хабаз решили проверить, является ли программное обеспечение на самом деле были исправлены.

Он использовал сканер веб-уязвимостей называется Acunetix. Через несколько минут, он сказал, National Post, Skytech президента Эдуарда Таза позвонил ему и обвинил его запуска кибер-атаки:

"Он сказал, что это был второй раз, когда они видели меня в своих журналах, и то, что я делал, было кибер-атаки. Я извинился, неоднократно, и объяснил, что я был одним из тех, кто обнаружил уязвимость в начале недели и был только тестирование, чтобы убедиться, что она была исправлена. Он сказал мне, что я могу пойти в тюрьму на шесть-двенадцать месяцев, что я только что сделал, и если я не согласен с ним встретиться и подписать соглашение о неразглашении он собирался позвонить КККП и арестовать меня. Таким образом, я подписал соглашение ».

Таза, признавая, что он упомянул о полиции и правовые последствия, отрицает создание угрозы:

"Все программное обеспечение компании, даже Google или Microsoft, есть ошибки в программном обеспечении ... Эти два студента обнаружили очень умный недостаток безопасности, которая может быть использована. Мы действовали немедленно, чтобы решить проблему, и были в состоянии сделать это, прежде чем кто-либо мог использовать его для доступа к личной информации ".

Но в то время как первоначальный доклад недостаток был прием, Таза сказал, впоследствии помощью сканера уязвимостей было нет-нет:

"Этот тип программного обеспечения не должна быть использована без предварительного разрешения системного администратора, поскольку это может привести к краху системы. [Аль-Хабаз] должно быть известно лучше, чем использовать его без разрешения, но это очень для меня ясно, что не было никакого злого умысла. Он просто сделал ошибку ".

В колледже считают его гораздо более серьезным, чем просто честная ошибка. Профессора колледжа проголосовал, 14 к одному, изгнать Аль-Хабаз за то, что они называют "серьезная профессиональная проблема поведения".

Аль-Хабаз считает своей академической карьеры "полностью разрушен".

Он сказал:

"Я был acing все мои занятия, но теперь у меня есть нули по всем направлениям. Я не могу получить в любой другой колледж, потому что из этих классов, и моя постоянная запись показывает, что я был исключен за непрофессиональное поведение. Я действительно хочу эту степень , и теперь я не смогу его получить. Моя академическая карьера полностью разрушен. в чужие руки, это нарушение могло стать причиной катастрофы. Студенты могли ножках, были украдены их личности, их шкафчики открылись и кто знает, что еще. Я нашел серьезные проблемы, и пытались помочь это исправить. Для этого я был изгнан. "

Был Аль-Хабаз в том, что сканирование на наличие уязвимостей? Даже если он сделал это без злого умысла?

Белая шляпа ковбоя. Изображение из Shutterstock К сожалению, да. Автоматизированные средства может привести к сбою системы или, еще хуже, так как исследователь безопасности Иеремия Гроссман отмечает в этой статье, по каким сканеры уязвимости может нанести вред сайтов.

Белые шляпы взлома требуется авторизация – в противном случае, это незаконно.

Был колледж переусердствовали в наказание?

Это зависит от многого. Как хорошо их преподавателей донести урок, что с помощью таких инструментов может причинить вред и является незаконной без разрешения? Они включают его в свои курсовые?

Если нет, то колледже администраторы должны нести свою долю вины в этом инциденте и включают в себя такие материалы в учебной программе, после спешки.

Если опека в надлежащее использование сканеров уязвимостей, по сути, был включен в учебную программу, то поведение Аль-Хабаз был непрофессиональным.

Было ли это непрофессионально точки высылки и губит карьеру, ну, Боже, я не знаю об этом.

Администраторы могут иметь, по крайней мере, позволили студенту, чтобы передать его сторону истории, – которые, по-видимому, они не сделали, отрицая свою привлекательность.

Commenters на репортажах выразили желание, чтобы нанять молодого человека. Будем надеяться, что этого не будет карьере пробки для него.

Будем надеяться, что его рассказ будет привлечь внимание к нюансам использования этих автоматизированных средств.

Как и дядя Бен сказал Питер Паркер, с большой силой приходит большая ответственность. Будем надеяться, что образовательные центры не уклоняться от своих обязанностей, чтобы преподавать студентам, что это ответственность выглядит.


Ржавый замок
и белая ковбойская шляпа изображений Shutterstock.