Joven expulsado de una universidad de Montreal por descubrir importante fallo de seguridad [EN]

#1   Recuerdo hace un par de años que pasó algo similar aquí en España con Nintendo, en una de sus webs hicieron una chapuza en la que se podía acceder a los datos personales de la gente registrada, ¿qué hicieron cuando les avisó un chaval que vio el problema? Denunciarlo a la policía diciendo que había hackeado la web. Básicamente aquí ha pasado lo mismo.

#2   Pues a mi exponer el fallo publicamente antes de comunicarlo a la universidad sí me parece que merece castigo.

#5   #3 el dilema de toda la vida: cuando descubres un bug y no te hacen ni p. caso. Cuartango, Explorer, kriptopolis, debate continuo, hace 12-14 años unaaldia.hispasec.com/1999/02/cuartango-descubre-una-nueva.html Publicar en la comunidad

#6   Seguro que estaria auditando la TIC de moda ...
Marchando mas millones en licencias ...

#7   Es más fácil pasarle el marrón a un joven de 20 años.

#8   No good deed goes unpunished.

#9   ... que descubrió una falla ...

Espero que no sea una falla de esas de la cuarta acepción de la RAE...

#10   #5 Nunca supe que dilema puede existir en eso, los avisas, pasa un tiempo prudencial y si no lo arreglan lo publicas para que los clientes/usuarios sepan que corren un riesgo es lo logico,no dejarlo ahí y que solo sepan los que buscar hacer mal.

#11   A mi me paso algo muy similar en mi universidad. Decidí no contárselo a nadie (salvo a mi tía que lleva las bases de datos de otra universidad) y olvidar el tema para no meterme en líos.

Hay algunos sitios donde esto se valora, incluso se de unos tipos que pidieron permiso al rector de su universidad para intentar romper su seguridad, si no recuerdo mal el rector les dijo que adelante pero los tíos no lograron su objetivo.

En mi caso el fallo sigue estando.

#12   Leí el artículo a las 5 de la mañana en reddit, así que puede que no andara muy espabilado para entenderlo, pero me pareció entender que la expulsión de la universidad no vino por descubrir el fallo mientras programaba su aplicación, sino por, posteriormente y pasado un tiempo tras el aviso, lanzar una herramienta de testeo de vulnerabilidades sobre el sistema de la universidad para comprobar si lo habían solucionado.
Le pillaron con los logs, se ve que eso es ilegal allí (hacer esos rastreos de vulnerabilidades está penado en muchos países), y le metieron un paquete.

¿Me parece una burrada? Pues claro, y más teniendo en cuenta que en mi facultad he visto hacer auténticas burradas y se solucionaban con un toque de atención en plan "a ver, que en los logs estamos viendo que usas el servidor de la uni como cliente P2P, que no vuelva a pasar" sin sanción alguna.

Le han arruinado el futuro académico por una gilipollez. Que sí, que no debería haber hecho el rastreo de vulnerabilidades, pero no deja de ser una gilipollez.

#13   Es normal, le habrán expulsado porque con ese nombre y buscando fallos de seguridad en los sistemas era seguro que tenía que pertenecer a Al-Quaeda.

#14   Lamentable actuación por parte de esa universidad. No parece valer la pena estudiar ciencias de la computación en una universidad que actua de ese modo.

#15   con ese nombre lo raro es que no lo hayan encarcelado por terrorista...

#16   ¿Fallo que compromete los datos personales de 250k alumnos? A ver, que rulen esas fotos

Por cierto, ¿Fran Perea se ha metido a hacker?

#17   Aunque a muchos no les guste lo que voy a decir, lo mejor es vendarla, te olvidas del problema te ganas un dinero incluso un trabajo. No hablo de venderla en un foro de underground si no a una empresa de seguridad... como las que venden exploits...

#18   Clavado a Ricky Rubio.

#19   #9 "después de que descubrió"

Una vez más, no sé si será correcto, lo dudo, pero suena como Pignoise

#20   Bueno, te aseguro q la proxima vez sacara partido..Si siendo legal te castigan, pues a ser ilegal

#21   ¿ves? a ver si aprendes de Rato... (le respondió su mamá)

#22   #12 Exacto, le han metido un puro no por descubrir un fallo (como él dice), sino por ejecutar un ataque a lo bestia en busca de ese y otros fallos "a ver qué cae", sin consentimiento del objetivo.

Posiblemente expulsarle fuera excesivo... salvo que el código ético de conducta fuese parte del temario, en clase le hubiesen machacado por activa y por pasiva que esas cosas no se hacen, y aún así lo hizo.

#23   "... Taza explained that he was quite pleased with the work the two students did identifying problems, but the testing software Mr. Al-Khabaz ran to verify the system was fixed crossed a line.
“This type of software should never be used without prior permission of the system administrator, because it can cause a system to crash. He [Al-Khabaz] should have known better than to use it without permission, but it is very clear to me that there was no malicious intent. He simply made a mistake.”..."

Esta es la clave del caso ¿A qué se refiere?

#24   Lo mejor por lo que veo es denunciarlo a la policía directamente alegando que esa web está poniendo en riesgo información comprometida de usuarios, así te evitas que te denuncien ellos y de paso corrigen el fallo,

#25   Algo parecido me pasó en mis años en la uni.

Accediendo a la página de cambio de password de la página personal, donde accedíamos alumnos (para ver notas, expediente,. datos personales,...) y profesores (para introducir notas,...), vi que en un cutrismo máximo, en vez de usar sesiones, pasaba todo por GET en cada link menos el password que iba por POST. Entre otras cosas pasaba dos veces el DNI con diferente variable, una de sesión y otra que le decía en que cuenta cambiar el password. Me dio por probar con el DNI de mi novia, con su conocimiento, habiendo iniciado la sesion con mi password, y el pasword que se cambió fue el suyo.

Mande al instante un email anónimo al CAU del campus desde una cuenta nueva de email, dándoles la posible solución, y su respuesta fue una amenaza de que había usado el sitio de forma no permitida y que si sabían mi identidad tendría problemas (con dos cojones). Realmente buscando en los logs quien había usado ese truco me podían pillar con facilidad, ya que tenías que partir de un DNI con un password válido para modificar el de otro, y ese era el mio.

Tras varios emails, demostraron que no iban a hacer nada, y que además no sabían como saber que era yo. Así que pasé.

Mucho más adelante, y por "simple curiosidad" tras cambiar el password de un ex-alumno, y mucho más adelante usando esa cuenta, cambié el password de un profesor (los DNIs de los profesores aparecían en la URL de los listados de notas al imprimirlos con IE) vi que cambiaba su password, y al loguear accedías con su rol (pudiendo introducir y/o cambiar notas, y ver sus fichajes, calendarios laborales,...). Por supuestísimo no cambié nada (really), más por no tener huevos que por ética.

Una vez acabada la carrera, 3 o 4 años después renovaron el portal y con ello se fue el fallo.

#26   #23 Se refiere a lo que comento en #12. No es lo mismo encontrar una vulnerabilidad y avisar, como hizo al principio, que lanzar sin el permiso explícito de la universidad un software que ejecute miles de intentos de explotación de diversas vulnerabilidades para, de forma automatizada, identificar fallos de seguridad, que fue por lo que le metieron el paquete.

#27   Primero lo comunica, cosa que está bien, y después hace un programa para según él "testear que estuviera arreglado". El problema es que ese test estaba a la vez explotando el bug y eso es independiente de que lo hubiera descubierto él o no.

#28   #1

www.elotrolado.net/hilo_hilo-oficial-caso-quot-prueba-y-veras-quot_157

Segun tengo entendido, no solo fue por eso, si no que el usuario que descubrio el fallo queria una compensación por callarselo.

#29   A ver, es muy loable descubrir un fallo de seguridad de forma fortuita, pero otra cosa es ir lanzando ataques de prueba para ver si el sistema es seguro. Comentando la misma situación (un error de seguridad en un servidor de la universidad y como avisar que se podía entrar hasta la cocina) un compañero me dijo que cuidado con el tema y la manera en que se avisaba (justamente por el tema de matar al mensajero) y puso el siguiente ejemplo "imagina que estás en casa y de pronto entra alguien usando un manojo de llaves o mediante unas ganzúas y os dice: Hola, creo que deberías cambiar la cerradura, es muy fácil de reventar!"... Seguro que menos "bonito" le llamáis de todo...

#30   #1 #28 tiene razón. Yo recuerdo vivir aquello en directo y leí los emails que el chaval envió a Nintendo y vamos, para descojonarse. "Podemos llegar a un acuerdo ya que eso que habéis hecho es delito, you know what I mean..."

#31   Es como la peli aquella del Bruce Willis y el chaval autista que descubre una vulnerabilidad de un sistema carísimo.
Es más barato matar al chaval que rehacer el sistema.

#32   #30

Yo tambien lo vivi en directo , por eso me acuerdo

Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público.

Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.

#33   #28 #30 Bueno, más bien pedía el dinerito a cambio de no denunciarles, el error fue no denunciarles directamente, sin avisar ni nada, que fue de lo que se aprovechó Nintendo, denunciándole a él por haberles "hackeado" la web (ya se ve en el post de qué forma tan chapucera se accedía a los datos, hasta mi padre podría haber accedido a los datos) y haber borrado datos (dudo que lo hiciese, no leí de ningún caso que se le borrase la reserva).

#34   #33

Eso es cierto.

#35   Pero si en cualquier Universidad una persona con móvil Android puede spoofear sin ningún inconveniente todos los paquetes con las cookies de inicio de sesión de Facebook, Tuenti, Amazon, Google y otras webs sin mayor complicación que darle a «Start» en un programita. ¿Pensabais que cada conexión iba por separado? Pues no. Algún día llamaré a la UV de Burjassot para informar al servicio de informática.

#36   Esa manera de proceder me recuerda a los partidos políticos que tenemos aquí y perdón por el offtopic.

#37   #2 #3
A mi que lo expulsen por atacar la vulnerabilidad a sabiendas me parece correcto... que te expulsen por publicarla, no... ni siquiera aunque no se lo digas antes a la universidad, al fin y al cabo, el bug es suyo.

#11
Lo mismo me paso a mi... hace 7 años (estando en 1º de carrera) descubri un bug enorme en la generacion de contraseñas que no bastaba ser solo de 4 digitos (sino que ademas no era ni aleatoria, dependia de datos casi publicos de los alumnos, con lo que era facilmente predecible).

Con esa contraseña tenias acceso total a lo que un alumno puede hacer en la universidad (matricularse, alterar asignaturas, desmatricularse, solicitar papeleo, acceder a todas las plataformas docentes,...).

Pues lo reporte a los servicios informaticos (en mas de una ocasion, e incluso les sugeri ¡con codigo y todo! como arreglarlo) y a mis profesores de carrera (que se llevaron las manos a la cabeza de lo vergonzoso que era)... pues ni caso, oye, siete años despues (que me pilla haciendo el doctorado)... el bug, cada vez mas conocido, parece que sigue ahi.

Creo que es casi un milagro que la gente no se ponga a usarlo... porque a muchos les vendria de perlas para poder pillar el grupo que quieren en las asignaturas con pocas plazas, o descargarse las practicas de otros alumnos para no tener que hacer las suyas.

Ademas cada dia que pasa le añaden mas funcionalidades al portal, por lo que cada vez es incluso mas grave.

Yo creo que hasta que alguien no lo use, lo pillen, y se monte un escandalo, no lo arreglan.

#38   #37 Empieza a ponerte matrículas desde las cuentas de los profesores que la tengan predeterminada, verás qué rápido lo solucionan

#39   #38 Funciona solo para las cuentas de los alumnos (que yo sepa)...

#40   #3 Con hacer publico el fallo se hace lo contrario de lo que se esta buscando me parece. Si bien obliga a los responsables a corregirlo, hasta que eso suceda se esta poniendo en riesgo la información que se intenta proteger.

#41   #40 Si has avisado a los responsables y no lo corrigen, es bastante probable que otro con no tan buenas intenciones también encuentre el fallo. Publicándolo les metes presión. Además los otros usuarios son conscientes de que usan un sistema inseguro y pueden tomar las acciones que crean oportunas para protegerse.

#42   #23 lo que he pensado cuando lo he leído... es que si eso es preocupante para un administrador de sistemas... o eso podría alterar o suspender el funcionamiento del sistema, es que al que habría que expulsar es al administrador de sistemas...

#43   #35 en la mía al menos no es tan sencillo... con Eduroam al menos si van por separado...

#44   #43 Eso pensaba también pero lo he probado en Eduroam y funciona perfectamente. Desde que comprobé eso no vuelvo a iniciar sesión en ningún WiFi abierto/que no conozca.

#45   #44 pues no se, pero es completamente evitable... aunque depende de como esté montada la red de la universidad claro....

#46   #41 A mi me parece que haciendolo publico le estas falicitando las cosas a cualquiera que tenga la voluntad de hacer daño pero muchas veces no tiene el conocimiento para hacerlo. Pon un cartel en la puerta de tu casa que diga cerradura rota, te puedes llegar a sorprender la cantidad de intentos casuales que pueden haber, de la gente que pasa la zona para abrir la puerta.