库克县一所高中的一名学生成功侵入了伊利诺伊州最大学区之一的物联网(IoT)设备,给所有人带来了惊喜。
明(又名@WhiteHoodHacker这个名字很像传说中的反英雄的家乡,灰威廉姆斯给整个214镇高中区打了一场黑车。
如果你不知道的话,我告诉你,rickrolling是一个网络梗,是一种诱饵和交换恶作剧,人们期待的是一件事(比如点击一个链接),结果却看到了里克·阿斯特利(Rick Astley) 1987年的歌曲《Never Gonna Give you Up》的片段。
明在信中写道:“这个故事不是那种典型的学生偷偷把里克·阿斯特利塞进演讲、才展或Zoom电话里的故事。他的个人博客“我通过劫持每个学校的网络显示器,以完美同步的方式播放《永不放弃你》。无论是大厅里的电视、教室里的投影仪,还是显示午餐菜单的大屏幕,只要它是联网的,我就黑了!”
在帖子中,明进一步透露,一切都始于大一,他承认那是“我剧本儿童阶段的开始”。在朋友们的帮助下,他扫描并发现了内部地区网络中超过800万个ip地址。有了这么多ip,他一定会找到被泄露的设备——他确实找到了。
监控摄像头并不是唯一暴露在学生网络中的设备。明还能够完全接入该地区的互联网协议电视(IPTV)系统,这是一个通过基于ip的网络传送多媒体内容的系统。然而,直到三年后,他才成功完成了他计划的学校恶作剧。
由于学校为应对新冠肺炎疫情而不得不调整课程安排,明和他的船员们得以在避免扰乱课堂的同时完成了他们的计划!重要的测试。明还说,如果他们发现正在进行测试,他们准备中止手术。
一旦明完成了他的恶作剧,他就向该地区的技术主管发送了一份测试报告。
“在通过匿名电子邮件账户发送报告几天后,我们收到了D214的技术总监的电子邮件回复,”Minh在他的博客中继续说道,“该总监表示,由于我们的指导方针和文件,该地区将不会遵守纪律。事实上,他感谢我们的发现,并希望我们向技术团队汇报!后来,他透露,我们的报告给督学们留下了深刻的印象!”
当有人站出来向他们展示自己的技术漏洞时,这并不是一个典型的组织反应。网络安全和科技行业的许多人都知道有人——或者他们自己也经历过——被团体或个人伤害只是让他们知道他们的系统出了什么问题以及他们能做得更好。让我们不要忘记两个物理渗透测试而被捕入狱做了他们被雇来做的工作。
当然,即使有bug赏金程序的支持,这种情况也可能发生。以……为例无人机制造商大疆的案例该公司提供了一个漏洞悬赏计划,但随后决定修改其范围条款,并攻击发现其产品重大漏洞的安全研究人员。
因此,看到明的同僚们表达了对D214政府的不信任也就不足为奇了,尽管后者愿意与他和他的团队合作,纠正和审计问题。
“我们决定,在Zoom会议上,我将公开自己的身份,在其他人保持匿名的情况下展示我们的简报幻灯片,”Minh继续说,“我从一开始就计划宣布我的参与,因为我想发表这篇博客文章。(反正我也差不多是头号嫌疑犯。)但为了以防万一,我安排了汇报后我毕业。”
最后,每件事都“非常顺利”。我只想说,明和他的团队是幸运的,他们属于一个足够客观的地区,能够看穿恶作剧,并专注于潜在的技术漏洞,正是这些漏洞让恶作剧成为可能。
该地区还显示出了一种立场,这可能不仅为明和他的团队打开了巨大的网络安全机会,也为那些渴望以漏洞披露的名义(当然,不包括恶作剧)做那些事情的人打开了巨大的网络安全机会。这是行业所欢迎的,也是迫切需要的。
“这是我高中时期最难忘的经历之一,我感谢所有支持过我的人,”明总结道。
让我们第一个说,这位美丽的女士并不是唯一跳着快乐舞蹈的人。
- - - - - -
*图像头被汤姆Tran
评论