Czy nauczyciel miał rację, robiąc to?

Tak i nie. Można by pokusić się o stwierdzenie, że przyznanie studentowi praw administracyjnych jest wysoce problematyczne, a pozostawienie go bez opieki jeszcze bardziej. I do pewnego stopnia nawet się z tym zgadzam. Być może dodałeś nowego użytkownika administracyjnego, zmieniłeś poświadczenia administratora, zainstalowałeś rootkita lub więcej.

Ale ...

Złośliwe działanie nie byłoby dla ciebie bez konsekwencji. Jest bardzo prawdopodobne, że nauczyciel przypomniał sobie o przyznaniu ci konkretnych uprawnień administracyjnych io której godzinie. Gdyby w tym bardzo specyficznym oknie czasowym coś się stało z tym komputerem, szkoła może łatwo zidentyfikować Cię jako złośliwego aktora.

Jakie mogą to być konsekwencje? To zależy całkowicie od tego, co zrobiłeś. Zmiana danych uwierzytelniających administratora lokalnego może być uznana za zwykły żart i prawdopodobnie może zostać cofnięta przez administratora domeny. Szkody nie byłyby zbyt duże, ale możesz zostać zatrzymany.

Jeśli na przykład instalujesz rootkita, szkoła może twierdzić, że działałeś złośliwie z zamiarem obejścia ich zabezpieczeń i do uszkodzenia ich systemów. Argumentowanie przeciwko temu, po zainstalowaniu w ich systemie szkodliwego oprogramowania, będzie bardzo trudne. Można to uznać za umyślne uszkodzenie mienia szkoły i zostać wydalonym ze szkoły.

Gdybyś miał działać jeszcze bardziej destrukcyjnie, uruchamiając złośliwe oprogramowanie zaprojektowane do uszkodzenia sprzętu (np. Hipotetycznie przez przetaktowanie 12 GHz i wyłączając wszelkie samozachowawcze środki bezpieczeństwa), to szkoła może nawet pozwać cię o odszkodowanie, oprócz wydalenia cię.

Czy to nie oznacza, że ​​nauczyciel jest winny za zapewnienie mi admin prawa?

Nie. Nauczyciel nadał Ci uprawnienia administracyjne do wykonania bardzo konkretnego zadania. To nie daje Ci prawa do wykonania żadnego zadania, nawet jeśli technicznie masz taką możliwość.

Gdyby mój przyjaciel dał mi klucz do jego domu, abym pilnował jego psa, nie upoważnia mnie to do zabierania czegokolwiek z jego domu ani do instalowania wszędzie kamer - nawet jeśli technicznie byłbym do tego zdolny.

Czy nie można tego uznać za test penetracyjny?

„Właśnie testowałem bezpieczeństwo systemów komputerowych mojej szkoły”.

Nie, to nie jest test penetracyjny. Test penetracyjny wymaga od podmiotu będącego właścicielem systemu wyraźnej zgody na test penetracyjny. Nauczyciel zapewniający dostęp administracyjny do wykonania określonego zadania nie jest jednoznaczną zgodą na test penetracyjny.

Co nauczyciel mógł zrobić inaczej?

W zależności od długości zadania miałeś wykonać, nauczyciel mógł zostać z tobą i odebrać ci dostęp administracyjny po zakończeniu.

Biorąc pod uwagę powyższe, nauczyciel miał uzasadnione oczekiwanie, że nie będziesz działać złośliwie, który wydaje się być źle umieszczony.

Nauczyciel zalogował mnie jako administrator w celu wykonania krótkiego zadania, czy cały system jest teraz zagrożony?

Nie.

ale udało mi się zresetować hasło administratora za pomocą lusrmgr.

Teraz, gratulacje, dokonałeś przestępczej działalności.

Czy nauczyciel miał rację, robiąc to (czy jest to problem krytyczny)?

Nie określiłeś zadania, które miałeś wykonać, więc nikt nie może powiedzieć ty to. Jeśli szukasz potwierdzenia lub usprawiedliwienia dla swojego zachowania, to nie, postanowiłeś zdradzić zaufanie tego nauczyciela. W normalnych okolicznościach zaufanie do ucznia powinno być możliwe, a Ty udowodnisz, że nie można Ci ufać.

Jeśli nie miał racji, jaka byłaby lepsza opcja?

Zawsze lepiej nie dawać dostępu, jeśli nie jest to konieczne, ale gdy jest to konieczne, należy to dać ktoś, komu można zaufać. Ten nauczyciel najwyraźniej ci ufał. Zdradziłeś to zaufanie i tu się mylisz. Jeśli muszę naprawić błąd w oprogramowaniu mojej firmy i potrzebuję w tym celu dostępu do bazy danych, otrzymam go w dobrej wierze. Jeśli zdecyduję się zniszczyć bazę danych lub po prostu zmienić hasło, to ja się pomyliłem, a nie osoba, która udzieliła mi dostępu.

Nie to, żebym nazwał to, co zrobiłeś hakowaniem, ale chcę zapożyczyć kilka terminów ze sceny hakowania. Są kapelusze białe, szare i czarne. Hakerzy z białego kapelusza są testerami penetracji, świadczą usługi firmie, za którą płacą im. Ich zadaniem jest próba włamania się do systemu, a oni rejestrują wszelkie znalezione ścieżki, pracują z zamiarem poprawy bezpieczeństwa systemu. Nie jesteś hakerem z białym kapeluszem.
Hakerzy w szarych kapeluszach robią coś podobnego, ale bez wiedzy firmy. Będą samodzielnie wykrywać exploity i naruszenia bezpieczeństwa, korzystając z interfejsu zwykłego użytkownika. Często zgłaszają wszystko, co znajdą, odpowiednim firmom, czasami grożą upublicznieniem swoich ustaleń. Nadal chcą chronić użytkowników, ale nie robią tego za zgodą firmy. Nie jesteś hakerem w szarym kapeluszu.
Hakerzy z czarnymi kapeluszami to przestępcy, włamują się do systemów w złym zamiarze, próbują ukraść dane lub uważają, że niszczenie systemu firmy jest zabawne. Ci ludzie nie dbają o użytkowników, nie dbają o firmę, dbają o siebie. Gdyby to, co zrobiłeś, można było nazwać hakowaniem, byłbyś hakerem czarnego kapelusza.

Polecam zastanowić się, co dokładnie chciałeś osiągnąć. Czy chciałeś przetestować bezpieczeństwo szkoły? Czy chciałeś ujawnić praktyki bezpieczeństwa tego nauczyciela? W takim przypadku nadal jesteś w błędzie ze względu na swoje podejście, ale może się okazać, że interesujące jest rozpoczęcie czytania o testach penetracyjnych jako kariery, najwyraźniej dajesz radę. Jeśli twój zamiar był złośliwy, naprawdę nie wiem, co ci powiedzieć, z wyjątkiem dorosłości, to, co zrobiłeś, było złe i żadna ilość mentalnej gimnastyki nie uczyni nauczyciela złym facetem. Podjąłeś działanie, które jest niedozwolone, nadużyłeś zaufania pokładanego w tobie i jesteś osobą w tarapatach, jeśli ktoś się o tym dowie.

Jest to połączenie wielu czynników, z których dwa główne to zaufanie i odpowiedzialność.

1. Nauczyciel okazał cenne zaufanie do Ciebie jako partnera podczas wykonywania tej pracy. To nic wyjątkowego. Powiedzmy, że pracownicy firmy konsultingowej (A) mogą otrzymać uprawnienia administratora na serwerze (serwerach) należącym do innej firmy (B), jeśli wymaga tego sytuacja biznesowa (nawet dostęp do informacji niejawnych, jak miał to Edward Snowden). Jednak zazwyczaj firmy formalizują takie relacje zaufania z NDA i wszystkimi innymi prawnikami, aby podzielić się odpowiedzialnością w przypadku złośliwego działania.
2. Twoim zamierzonym obowiązkiem było wykonanie pracy i nic więcej. Wyjście poza zakres prowadzi nas do problemów etycznych. Zmienianie haseł, a nawet podglądanie struktury pliku - w tej sytuacji chodzi o etykę. „Obwiniaj mnie raz - wstydź się”.

I cofając się do pytania tytułowego: tak, system powinien zostać uznany za skompromitowany, nawet jeśli niczego nie modyfikowałeś.

Co nauczyciel mógł zrobić inaczej?

Oczywistą odpowiedzią jest to, że nauczyciel powinien był użyć podwyższonych uprawnień / zarządzania dostępem użytkowników, aby uruchamiać tylko to, co było potrzebne do uruchomienia z podwyższonym poziomem uprawnień uprawnienia, zamiast logować się na konto administratora. Nie jest to niezawodne *, ale wykonane poprawnie ograniczyłoby ilość szkód, które możesz zrobić.

To także dobra praktyka, którą każdy powinien robić. Przy nowoczesnych systemach operacyjnych nie ma powodu, aby kiedykolwiek logować się za pomocą konta administratora.

* Niezawodne: jeśli masz kogoś do uruchomienia wiersza poleceń z podwyższonymi uprawnieniami, możesz wyrządzić wiele szkód. Więc nadal musisz zastosować krytyczne myślenie do tego, co robisz, zamiast automatycznie podnosić poziom.

Naprawdę powinieneś podzielić swoje pytanie na dwie części:

Pracowałem dzisiaj z naszym nauczycielem, który zalogował mnie do komputera jako administrator. Mieliśmy zadanie wymagające uprawnień administratora. [usunięto]

1. Czy nauczyciel miał rację (czy jest to krytyczny problem)?
2. Jeśli nie miał racji, co mogłoby być lepszą opcją?

Masz już odpowiedzi na pytanie, co robić (dwie możliwości: albo zaufał ci i pozwolił ci uruchomić odpowiednie polecenia, i znowu zaufał ci, że się wylogujesz; albo patrzeć, jak robisz to (może nie dlatego, że ci nie ufał, ale dlatego, że nie byłeś wystarczająco doświadczony).

Co prowadzi nas do ...

Kilka sekund później był rozmawiam z innymi uczniami w naszej klasie, ale udało mi się zresetować hasło administratora za pomocą lusrmgr.

Przepraszamy za sformułowanie, ale to jest chujowe posunięcie. Właśnie pokazałeś, że nie jesteś wystarczająco dojrzały, aby powierzyć ci coś poważnego.

Zaufał ci, próbowałeś być „mądry”, a teraz skończyłeś.

Oszczędź sobie wstydu i po prostu przeproś. Proszę, nie podawaj na stół powodów, takich jak „ testy penetracyjne ”(z wyjątkiem sytuacji, gdy zostałeś do tego zatrudniony, ale fakt, że zadajesz pytanie, pokazuje, że wybór był zły))