Zurück

Sicherheitslücke im Schulnetz entdeckt

Umfrage ·

    • Leute, hab gerade ne Sicherheitslücke in unserem Schulnetz gefunden und konnte mir somit Admin Zugang auf meinem Schul PC zu sämtlichen Tools der Lehrer verschaffen (also ich nehme an, dass es sämtliche sind, zb. auf unsere überwachungssoftware bin ich raufgekommen)... Soll ich meine Lehrer darüber informieren, oder soll ichs einfach so stehen lassen?

    Lehrer informieren
    29 %
    So stehen lassen
    71 %
    24 Stimmen · Endergebnis

    Kommentare (71)

    • Was soll die Frage überhaupt? Bist du dumm? Melde den Müll sofort, sonst fliegst du hoch. Wenn ein anderer Vollpfosten die Lücke auch findet und was anstellt, bist du der Erste auf der Liste, weil du der Letzte warst, der drauf war. Sei kein Depp, sei derjenige, der das fixen lässt. Fertig.

    Hm, aber die finden nd raus, dass ich drauf war (also würden sie nachschauen vielleicht schon mit mühe, aber davon geh ich nd aus)

    Was für ein dämliches Gelaber. Die finden dich immer, Logfiles sind kein Witz, du Amateur. Ob die dich finden oder nicht, ist *scheißegal*, merk dir das. Es geht darum, dass die Sicherheitslücke *dicht* gemacht wird. Meld es sofort, bevor ein anderer Trottel die Kacke richtig hochgehen lässt und *du* bist der Depp, der wusste, was los ist. Keinen Millimeter mehr nachdenken, handeln!

    Warum du es melden solltest

    Rechtlich: Auch wenn du „nur geguckt“ hast, unbefugter Admin-Zugriff kann als Straftat gelten (in DE z. B. §202a StGB). Je länger du es behältst oder nutzt, desto schlechter sieht es für dich aus.

    Für andere: Wenn du reingekommen bist, können es auch andere – evtl. mit deutlich schlechteren Absichten (Noten, Daten, Überwachung).

    Für dich: Frühzeitiges, ehrliches Melden wird fast immer als verantwortungsbewusst gesehen, nicht als Angriff.

    Wie du es klug und sicher meldest

    Nichts weiter benutzen. Keine Daten kopieren, nichts ändern, nichts „testen“.

    Belege minimal halten. Nur so viel, dass klar ist dass es geht, nicht aus Neugier tiefer rein.

    Richtiger Ansprechpartner:

    Schul-IT / Systemadministrator

    oder Vertrauenslehrer + Bitte, das an die IT weiterzugeben

    Sachlich formulieren:

    „Ich bin unbeabsichtigt auf Funktionen gestoßen, für die ich keine Berechtigung habe.“

    „Ich habe den Zugriff nicht weiter genutzt und melde das aus Sicherheitsgründen.“

    Keine Details vor der ganzen Klasse, kein Prahlen, kein Screenshot-Sharing.

    Falls du Angst vor Ärger hast

    Bitte um ein Gespräch unter vier Augen.

    Du kannst auch vorschlagen, es ohne Nennung deines Namens an die IT weiterzugeben (geht oft).

    Was du nicht tun solltest

    „Stehen lassen und schweigen“ ❌

    Lehrer-Tools nutzen, auch „nur zum Gucken“ ❌

    Anderen davon erzählen ❌

    Katzenvieh

    Richte Chaos an

    hell nah

    Necrowmancer

    Warum du es melden solltest

    Rechtlich: Auch wenn du „nur geguckt“ hast, unbefugter Admin-Zugriff kann als Straftat gelten (in DE z. B. §202a StGB). Je länger du es behältst oder nutzt, desto schlechter sieht es für dich aus.

    Für andere: Wenn du reingekommen bist, können es auch andere – evtl. mit deutlich schlechteren Absichten (Noten, Daten, Überwachung).

    Für dich: Frühzeitiges, ehrliches Melden wird fast immer als verantwortungsbewusst gesehen, nicht als Angriff.

    Wie du es klug und sicher meldest

    Nichts weiter benutzen. Keine Daten kopieren, nichts ändern, nichts „testen“.

    Belege minimal halten. Nur so viel, dass klar ist dass es geht, nicht aus Neugier tiefer rein.

    Richtiger Ansprechpartner:

    Schul-IT / Systemadministrator

    oder Vertrauenslehrer + Bitte, das an die IT weiterzugeben

    Sachlich formulieren:

    „Ich bin unbeabsichtigt auf Funktionen gestoßen, für die ich keine Berechtigung habe.“

    „Ich habe den Zugriff nicht weiter genutzt und melde das aus Sicherheitsgründen.“

    Keine Details vor der ganzen Klasse, kein Prahlen, kein Screenshot-Sharing.

    Falls du Angst vor Ärger hast

    Bitte um ein Gespräch unter vier Augen.

    Du kannst auch vorschlagen, es ohne Nennung deines Namens an die IT weiterzugeben (geht oft).

    Was du nicht tun solltest

    „Stehen lassen und schweigen“ ❌

    Lehrer-Tools nutzen, auch „nur zum Gucken“ ❌

    Anderen davon erzählen ❌

    Es war nicht mal ein "richtiger" angriff 😭😭😭

    ja schon, aber ich meine nur

    ich weiss nicht, das wär ja dann illegal

    Das stimmt schon

    Die hatten ganz einfach gesagt SSH ports zum Schulserver praktisch offen und dann auf dem Server in ner excel liste die Admin Passwörter. Ich weiss nicht, was die für "kompetente" leute angestellt haben, aber man kann sich das auch anschauen, ohne dass man viel IT-Verständnis haben muss. Einmal Nmap drüber, und ich habs gefunden.

    Also mit Nmap die offenen ports und dann konnte ich mich im internen schulnetz auf den server verbinden

    Server natürlich auch praktisch ungesichert

    Kommentar gelöscht von Outfluencer
    Outfluencer

    Ey Sniffa

    ja?

    Bananenbrot11#161#Kommunismus

    Du bist ja so tuff tm🥺 ich will auch so hacken können

    Das kannst du lernen. Fang am besten damit an, zu lernen, was wirklich "hacken" ist. 🗿

    (hab mit gemini meine email weg gemacht)

    Saruman

    Das kannst du lernen. Fang am besten damit an, zu lernen, was wirklich "hacken" ist. 🗿

    Tschuldigung sensei It gott😣

    Bananenbrot11#161#Kommunismus

    Tschuldigung sensei It gott😣

    er klingt immer mehr wie oogway

    Necrowmancer

    Warum du es melden solltest

    Rechtlich: Auch wenn du „nur geguckt“ hast, unbefugter Admin-Zugriff kann als Straftat gelten (in DE z. B. §202a StGB). Je länger du es behältst oder nutzt, desto schlechter sieht es für dich aus.

    Für andere: Wenn du reingekommen bist, können es auch andere – evtl. mit deutlich schlechteren Absichten (Noten, Daten, Überwachung).

    Für dich: Frühzeitiges, ehrliches Melden wird fast immer als verantwortungsbewusst gesehen, nicht als Angriff.

    Wie du es klug und sicher meldest

    Nichts weiter benutzen. Keine Daten kopieren, nichts ändern, nichts „testen“.

    Belege minimal halten. Nur so viel, dass klar ist dass es geht, nicht aus Neugier tiefer rein.

    Richtiger Ansprechpartner:

    Schul-IT / Systemadministrator

    oder Vertrauenslehrer + Bitte, das an die IT weiterzugeben

    Sachlich formulieren:

    „Ich bin unbeabsichtigt auf Funktionen gestoßen, für die ich keine Berechtigung habe.“

    „Ich habe den Zugriff nicht weiter genutzt und melde das aus Sicherheitsgründen.“

    Keine Details vor der ganzen Klasse, kein Prahlen, kein Screenshot-Sharing.

    Falls du Angst vor Ärger hast

    Bitte um ein Gespräch unter vier Augen.

    Du kannst auch vorschlagen, es ohne Nennung deines Namens an die IT weiterzugeben (geht oft).

    Was du nicht tun solltest

    „Stehen lassen und schweigen“ ❌

    Lehrer-Tools nutzen, auch „nur zum Gucken“ ❌

    Anderen davon erzählen ❌

    ChatGPT liegt bei rechtlichen Fragen selten richtig. Der wollte mir z.B. mal weiß machen, dass man kein fremdes Eigentum fotografieren darf, also vertrau dem dabei lieber nicht.

    why bin ich eig nd sensei It gott? :( kann doch laut SnifferLP so gut coden

    Bananenbrot11#161#Kommunismus

    Wenn der satz fällt hör ich auf zu provozieren💀 OQGAHQGQ

    XD

    Outfluencer

    why bin ich eig nd sensei It gott? :( kann doch laut SnifferLP so gut coden

    Du kannst gut coden

    Outi, WANN GENAU bekomm ich eigentlich zugang zur domain? Wir können anfangen, das netzwerk aufbauen, der server steht, die OPNsense auch, ich bräuchte daher langsam zugang

    Saruman

    Outi, WANN GENAU bekomm ich eigentlich zugang zur domain? Wir können anfangen, das netzwerk aufbauen, der server steht, die OPNsense auch, ich bräuchte daher langsam zugang

    morgen wahrscheinlich

    𝕊ℂℍ𝕃𝔼ℍ

    Was denn für überwachungssoftware?

    Halt das wir gut arbeiten *hust*

    Outfluencer

    morgen wahrscheinlich

    gut

    Necrowmancer

    Warum du es melden solltest

    Rechtlich: Auch wenn du „nur geguckt“ hast, unbefugter Admin-Zugriff kann als Straftat gelten (in DE z. B. §202a StGB). Je länger du es behältst oder nutzt, desto schlechter sieht es für dich aus.

    Für andere: Wenn du reingekommen bist, können es auch andere – evtl. mit deutlich schlechteren Absichten (Noten, Daten, Überwachung).

    Für dich: Frühzeitiges, ehrliches Melden wird fast immer als verantwortungsbewusst gesehen, nicht als Angriff.

    Wie du es klug und sicher meldest

    Nichts weiter benutzen. Keine Daten kopieren, nichts ändern, nichts „testen“.

    Belege minimal halten. Nur so viel, dass klar ist dass es geht, nicht aus Neugier tiefer rein.

    Richtiger Ansprechpartner:

    Schul-IT / Systemadministrator

    oder Vertrauenslehrer + Bitte, das an die IT weiterzugeben

    Sachlich formulieren:

    „Ich bin unbeabsichtigt auf Funktionen gestoßen, für die ich keine Berechtigung habe.“

    „Ich habe den Zugriff nicht weiter genutzt und melde das aus Sicherheitsgründen.“

    Keine Details vor der ganzen Klasse, kein Prahlen, kein Screenshot-Sharing.

    Falls du Angst vor Ärger hast

    Bitte um ein Gespräch unter vier Augen.

    Du kannst auch vorschlagen, es ohne Nennung deines Namens an die IT weiterzugeben (geht oft).

    Was du nicht tun solltest

    „Stehen lassen und schweigen“ ❌

    Lehrer-Tools nutzen, auch „nur zum Gucken“ ❌

    Anderen davon erzählen ❌

    Chat GPT

    Saruman

    Hm, aber die finden nd raus, dass ich drauf war (also würden sie nachschauen vielleicht schon mit mühe, aber davon geh ich nd aus)

    Sag mal was es für eine Lücke ist

    Kommentar gelöscht von ㅤㅤㅤㅤㅤㅤㅤㅤAnonym
    Anonym der 10 000

    Und erklär mir, wie man es macht

    Schritt 1: Nmap "lernen", dich mit netzwerken auseinandersetzen, dich mit SSH und server geschichten auseinandersetzen. Schritt 2: Nmap downloaden, mal zuhause extra ne lücke öffnen in deinem Netzwerk (das du eventuell noch einrichten musst) und schauen, wie du die auf Nmap findest und sie dann möglicherweise öffnest. Schritt 3: Nmap bei der schule testen, ähnlich vorgehen. Schritt 4: Hoffen, dass deine Schule ne beschissene IT abteilung hat

    Portscans auf fremde Systeme sind rechtlich problematisch und eventuell strafbar

    Es ist rechtlich legal: https://link.springer.com/article/10.1365/s43439-021-00034-7 Portscans ansich sind erlaubt, wenn ich das aus dieser Seite richtig rausgelesen habe. Ich habe keine Änderungen vorgenommen, nichts böses gemacht, nix sabotiert, sondern nur festgestellt, dass es ne sicherheitslücke ist Und ausserdem habe ich vorher sowieso mit meinem lehrer gemailt, und er fands gut, dass ich mich gemolden habe. Aber ich würde auch sagen, im zweifelsfall lieber in der lehrerschaft nachfragen, und dann mit dem Ok des lehrers diese "Experimente" durchführen.

    Aber korrigiert mich, wenn ich falsch liege

    Outfluencer

    Nutz es hardcore aus

    Sehr schlau. Dann wird seine IP getrackt und er bekommt Ärger

    Melde es einfach einem Lehrer oder sag es deinem Klassenlehrer, damit er oder sie es anonym weitergeben kann

    Hab schon mit dem ICT lehrer geschrieben

    Bananenbrot11#161#Kommunismus

    Tschuldigung sensei It gott😣

    Ahhahah rede mal

    68 weg von 67

    Kissenelefant

    Sehr schlau. Dann wird seine IP getrackt und er bekommt Ärger

    Ich weiss nd ob irgendwelche Lehrer schlau genug dafür sind

    Dürre Amsel