Promotion – Comment Safe est SafeConnect? – La nouvelle école est une presse libre

By | 29 mars 2012

La première partie de la sécurité de l'information en deux parties de la nouvelle école. Cliquez ici pour la deuxième partie.

Au printemps 2011, Jane Crile, ancienne élève de la New School, est actuellement professeure suppléante de culture, de morale et de moralité, enseignée par la professeure Michelle Bogre Lang, enseignante suppléante au Winston Prep. Bogre a dirigé une discussion sur le droit d'auteur, en particulier les petits caractères, que les gens ne lisent souvent pas lorsqu'ils acceptent des conditions contractuelles pour de nombreux logiciels.

Crile a rappelé qu'au cours de la discussion en classe, une personne avait évoqué SafeConnect, un logiciel permettant de télécharger les nouveaux étudiants sur le réseau Internet sans fil de l'université.

"Seulement les gens qui parlent de ça", dit Crile, "il devint clair que c'était un peu [messed] up ".

SafeConnect est un produit de contrôle d'accès au réseau mis en œuvre par The New School en 2010 à Lakeland, en Floride, Impulse Point. Crile l'a fait sans télécharger le logiciel qui l'empêchait d'accéder au réseau Internet sans fil de la New School.

"Si je fais beaucoup de travail, je ne voulais généralement pas le faire à l'école", a déclaré Crile. – Je vais [NYU’s] Bobst [Library]et si je devais imprimer ou faire des choses au hasard, j'irais au laboratoire informatique », a-t-il déclaré.

La vie privée de Crile vaut le dérangement. Il a écrit sa première réaction en écoutant les compétences du programme.

"Il était vraiment un grand frère", a-t-il déclaré. "Je comprends pourquoi l'école a besoin d'utiliser ce logiciel, mais ne me permet pas de faire confiance à la nouvelle école."

****

SafeConnect fonctionne en tant que contrôleur d'accès sur le réseau de l'université. Tout utilisateur qui tente d'accéder au nouveau réseau de l'école doit d'abord effectuer un contrôle de sécurité – une page de connexion qui lui demande un nouvel identifiant d'école. Les contrôleurs d'accès au réseau permettent à un grand nombre de réseaux de servir de nombreux utilisateurs et périphériques afin de définir des règles définissant les personnes pouvant se connecter et se déconnecter. Avant que SafeConnect devienne vert sur la super autoroute de l'information, le programme vérifie si votre appareil a installé le logiciel antivirus actuel ou des correctifs de sécurité avancés.

En vertu de la loi sur l’aide à la communication de 2004, toutes les universités américaines sont tenues de gérer leur propre réseau Internet. En plus de ces directives, la loi de 2008 sur l’enseignement supérieur a imposé à toutes les écoles «d'interdire la distribution non autorisée de droits de propriété intellectuelle pour le téléchargement ou le partage illicites de droits de propriété intellectuelle», les bourses fédérales Pell pour étudiants et autres ressources financières fédérales. participation à des programmes de soutien. En 2004, afin de répondre à ces exigences, la nouvelle école a appliqué le système de gestion d'accès réseau de Cisco Systems, Cisco Clean Access, pour vérifier les autorisations nécessaires.

En 2009, avec la prolifération de périphériques sans fil demandant un accès au réseau, le service informatique de la nouvelle école a considérablement repensé les capacités de mise en réseau sans fil de l'Université. En plus de fournir plus de bande passante à l'université, le renouvellement est conçu pour permettre aux étudiants d'échanger des espaces au sein du réseau sans avoir à les réauthentifier.

Au cours du processus, selon un mémorandum du département informatique de l'université datant de septembre 2010, Cisco Networks a modifié son modèle de licence pour un changement qui aurait coûté davantage à TNS pour continuer à utiliser le produit. Après avoir examiné de nombreuses solutions de rechange de Cisco, l’Université s’est établie sur Impulse Point SafeConnect.

"L'introduction de SafeConnect coûterait beaucoup moins que le coût de la poursuite de la mise en oeuvre de Cisco Clean Access", a écrit David Curry, directeur de la sécurité de l'information à la nouvelle école, à l'adresse suivante: Presse gratuite. "Avant de procéder à la commutation, nous avions soigneusement évalué les produits de contrôle d'accès au réseau et conclu que SafeConnect offrait à The New School la meilleure combinaison de sécurité, flexibilité, évolutivité et prix."

Tout le monde ne partageait pas la confiance du service informatique. Ted Byfield, professeur en design et technologie de la communication à Parsons, a rédigé un rapport en 2009 sur les dimensions techniques de SafeConnect et décrit un certain nombre d'aspects de la mise en œuvre, de la conception et des capacités potentielles "incompatibles". [TNS]Histoire, valeurs et mission. "

Selon Byfield, "étant donné [TNS]mission progressive, il est tout à fait raisonnable de supposer que cette politique contredit directement les convictions de nombreuses personnes impliquées, peut être contraire aux politiques et pratiques des organisations auxquelles elles se rapportent et / ou enfreindre les lois auxquelles elle appartient. bien sûr ".

Dans le même temps, des étudiants et des enseignants d’autres institutions acceptant SafeConnect ont également suspecté le logiciel. En Caroline du Sud, au Presbyterian College, une étudiante, Kristen Hallman, a lancé une pétition demandant à ses camarades de "protéger leurs droits et de protester contre les logiciels espions SafeConnect.

St. John Johnson, actuellement Yahoo! En 2008, Johnson a poursuivi ses activités informatiques dans le domaine des technologies de l'information, en certifiant la sécurité des réseaux lorsque le Sacred Heart University de Fairfield, dans le Connecticut, a adopté le logiciel Impulse Point.

"J'ai toujours été un mordu de l'informatique", a déclaré Johnson à * Free Press. * "Après avoir introduit ce nouveau message, j'étais curieux de connaître le nouveau logiciel et j'ai commencé à le télécharger."

Johnson a créé une "machine virtuelle" sur son ordinateur pour exécuter le logiciel tout en le "récupérant" pour penser qu'il fonctionne sur un périphérique réel. Lors de la surveillance des fonctionnalités de SafeConnect dans un environnement sécurisé, Johnson s'est rendu compte que le programme tentait de communiquer avec un tiers inconnu.

"Il a envoyé des paquets réseau pour" approuver ", a déclaré Johnson. – Je n'étais pas tout à fait sûr [but] Je sentais que c'était une énorme violation de ma vie privée.

La solution de Johnson consistait donc à programmer un "contournement" autour de SafeConnect, qu'il envoyait en ligne pour le télécharger librement depuis son site Web personnel. L'astuce consistait simplement à dire à SafeConnect que votre ordinateur n'est pas votre ordinateur; Après quelques recherches, Johnson a découvert que le système ne fonctionnait que sur trois systèmes d'exploitation: Windows, Mac et Linux.

"Cela signifie qu'ils n'ont pas pris en charge d'autres outils", a-t-il déclaré. "Alors j'ai réfléchi: quel est l'outil existant dans l'environnement universitaire, l'accès Internet nécessaire, le logiciel ne peut pas être téléchargé et il n'y avait aucun moyen d'entrer les données de connexion?" Pour les 18-24 ans, l'outil de recherche est la Xbox.

L'ingénieur réseau principal de la Sacred Heart University a finalement tenté de retirer Johnson du téléchargement, ce qui témoignait d'un conflit d'intérêts en tant que personnel étudiant de Johnson au service informatique de l'université. Johnson a accepté et a immédiatement suivi; toutefois, il n’a toujours pas été fiable pour un programme aux capacités potentiellement étendues.

« Je comprends [the school’s] s’inquiète de la protection de leur réseau, mais ce n’est pas le moyen de le faire », a-t-il déclaré. "Et si vous commencez à signaler l'utilisation du navigateur, le contenu du fichier, le chat, etc.?" Je peux facilement vérifier chacune d’elles: protection contre les sites Web malveillants, recherche de virus courants et identification des vers de conversation. "

****

À l'été 2011, l'introduction de la nouvelle école SafeConnect s'est traduite par des contradictions et des récidives au sein de la communauté universitaire. En réponse aux préoccupations croissantes de la faculté, la faculté de la faculté a mis en place un "comité d'infrastructure" pour travailler avec le service informatique de l'école et a tenté de concilier la confidentialité des étudiants et des facultés avec le respect des directives fédérales.

Mais dans tout le pays, l'étudiant au doctorat du Nouveau-Mexique a également traité de la qualité du logiciel SafeConnect. Jeffery Knockel, Ph.D., professeur d'informatique à l'Université du Nouveau-Mexique, Ph.D. Le conseiller de Jedidiah Crandall a mis au point une "exploitation exploitable" de la clé politique du SafeConnect, qui, bien que de préférence bienveillante, a démontré la vulnérabilité de l'architecture du programme.

Crandall a demandé à * Free Press * de ne pas divulguer les détails de l'exploitation pour protéger toute personne ayant installé une version plus ancienne de la victime sur son ordinateur. Alors que les dernières versions recevaient des mises à jour sur ce problème, Crandall a écrit par courrier électronique que Knockel et lui "continuaient à être fondamentalement opposés aux utilisateurs devant utiliser un logiciel d'administration pour se connecter à un réseau universitaire".

L'automne dernier, Cindy Cohn et Seth Schoen de l'Electronic Frontier Foundation, un groupe de défense des droits numériques à but non lucratif, ont découvert la même vulnérabilité SafeConnect. Cohn et Schoen ont signalé à Impulse Point, qui avait répondu, que la société était consciente du problème de vulnérabilité et que leurs clients avaient déjà reçu des versions mises à jour du logiciel.

"Nous ne sommes pas inquiets pour les anciennes versions car le problème a été résolu", a déclaré Anne Torgler, directrice marketing de SafeConnect.

Impulse Point a affirmé que les étudiants diplômés des universités qui ont implémenté SafeConnect et qu’ils ne pouvaient donc pas télécharger le correctif, car ils étaient tenus de se connecter au réseau de l’école, seraient conscients de cette vulnérabilité. Cependant, la société n'a pas mentionné comment je pouvais avoir d'anciens étudiants.

"Le logiciel SafeConnect se met automatiquement à jour", a déclaré David Curry, directeur de la sécurité de l'information à la nouvelle école. "Tous les utilisateurs ont obtenu la version corrigée la prochaine fois qu'ils ont rejoint le réseau et aucune notification n'a été nécessaire", a ajouté Curry.

Cependant, Byfield a écrit un courrier électronique au Presse gratuite il a dit qu'il doutait qu'il puisse contacter un utilisateur ayant déjà téléchargé le logiciel vulnérable. "A mon avis", a écrit Byfield, "c'est incroyablement négligent.

Simone Egipciaco et Joey Mulkerin signifient

Katie Bamberger et Kayla Monetta rapport supplémentaire.


Promotion – Comment Safe est SafeConnect? – La nouvelle école est une presse libre
4.8 (97%) 127 votes
 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *