Un'acrobazia come questa, nella maggior parte degli ambienti, sarebbe un freno per le risorse umane. Il motivo è molto semplice: sapevi cosa stavi facendo e nessuna tua responsabilità eseguire il test.

Se ti è capitato di incontrare il problema in a "Le condivisioni sono state visualizzate in Windows Explorer" probabilmente sarebbe stato ok. Ma un professionista della sicurezza deve sapere che eseguire uno scanner di rete su una rete, dove questo non è stato concordato dall'amministratore della rete, è sicuramente nella categoria "non carino" per "ostile". Può anche causare costi reali, ad es. quando si attiva un falso allarme. Una volta ho sprecato alcune ore cercando di trovare la fonte di una scansione che qualche punk di un altro dipartimento ha eseguito senza il nostro permesso (o chiunque altro sulla rete interna).

A seconda delle circostanze, si potrebbe anche immaginare che la rete non sia visibile finché non si è all'interno dell'area aziendale. Una volta ho lavorato su un sito abbastanza grande da non vedere un segnale wifi dall'esterno (senza misure molto speciali). In quel caso ci sarebbe persino una violazione della fiducia. (So ​​che non è ancora una buona idea eseguire un wifi aperto, sai, i ragazzi IT lo sanno, ma non so se la direzione e le risorse umane lo sanno o vogliono sentire).

Immagina di averti invitato a casa mia per un bar in giardino e tu sei arrivato e, mentre eravamo in cucina, hai detto

Mi sono fermato ieri mentre eri al lavoro. Quella staccionata non tiene fuori nessuno. Ho notato che la tua altalena non è ancorata correttamente al terreno, cosa che potrebbe non essere sicura se i bambini più grandi dondolassero molto forte. Inoltre, la spaziatura sui binari del tuo mazzo è troppo ampia, in questi giorni il codice specifica X pollici e tu hai Y.

Io sarei lì a bocca aperta a fissare la tua maleducazione. Nessuno te l'ha chiesto, non hai controllato se andava bene, ti sei appena intromesso e ora stai criticando. Certo, la sicurezza dei bambini sulle altalene e sul ponte posteriore è davvero importante. Ma lo sono anche le regole della società educata. Un ospite migliore non invaderebbe il cortile senza il consenso e non sputerebbe un rapporto di ispezione all'inizio di una conversazione. Invece quell'ospite aspetterebbe fino a raggiungere il cortile sul retro con un bicchiere di limonata e poi direbbe

Ooooh, uno swing. Ne so un po 'di questi. È ancorato correttamente? Posso controllare?

e

Sai che oggigiorno i binari del ponte dovrebbero essere Y pollici ... Sembra che il tuo potrebbe essere più vecchio .. . Posso prendere il mio metro e confermare se ti piace?

Ora stai dimostrando la tua profonda conoscenza della sicurezza in giardino e che possiedi strumenti, ma non stai ferendo nessuno.

Il punto di questa metafora / analogia non è quello di corrispondere perfettamente all'atto di controllare un wifi aperto e scoprire alcuni nomi di macchine. Serve per mostrarti la risposta emotiva che questo comportamento può suscitare. Ti hanno invitato nei loro uffici per un colloquio. Hai fatto qualcosa che è fuori dalla norma di un colloquio, senza permesso o invito, quando non erano lì a vederti fare. E hai criticato le loro operazioni nello stesso paragrafo in cui hai detto loro quello che avevi fatto. Almeno uno di loro è rimasto scioccato e sconvolto. L'esperimento mentale sopra ha lo scopo di condurti alla comprensione di quei sentimenti di essere scioccato e turbato.

Per lasciarsi alle spalle la metafora / analogia, come avresti potuto gestirla meglio? Invece di spifferare i tuoi risultati all'inizio dell'intervista, avresti potuto aspettare fino a discutere dell'aspetto della sicurezza e poi dire "molte buone aziende non hanno idea che le loro reti siano vulnerabili ad alcuni dei nuovi attacchi. Potrei eseguire un 5 minuti esegui la scansione sul Wi-Fi ospite, se lo desideri. " Ovviamente potresti fare questa offerta con fiducia perché l'hai già fatto nella hall :-). Ora stai mostrando le tue capacità e i tuoi strumenti, nel giusto contesto e con il permesso. Hai persino impostato loro un salva faccia che non significa che siano idioti se trovi qualcosa. Quando lo trovi, puoi dire loro che sai come cambiare le cose in modo che la vulnerabilità venga chiusa. Ora vogliono assumerti invece di essere offeso.

Ho detto loro che si tratta di un problema serio e che non dovevo aspettare fino a quando io o qualcun altro non saremo stati assunti.

Avevo ragione a dire loro che l'ho fatto?

Tenere una conferenza a un intervistatore è raramente un buon modo per trovare un lavoro.

Ho perso le mie possibilità con loro?

Non c'è modo per conoscere la risposta a meno che tu non riceva loro notizie direttamente.

Dovrei farlo di nuovo con altre opportunità di lavoro (se qualcosa è stato scoperto per caso)?

Attendi fino a quando la tua valutazione non viene specificamente richiesta o fino a quando non sarai assunto.

Eseguire una scansione sulla loro rete è stato molto sconsiderato e in alcune località avrebbe potuto farti accusare di un crimine.

Potresti voler leggere il caso di Randall Schwarz, un noto autore di tecnologia. Negli anni '90 era un amministratore di sistema a contratto per il gruppo di super computer presso Intel. Era preoccupato per la sicurezza nel gruppo, quindi ha eseguito un cracker di password su alcuni account dei suoi colleghi. Sebbene fosse un appaltatore Intel, i test di sicurezza e di penetrazione non erano ufficialmente nelle sue funzioni e finì per essere condannato per due crimini per le sue attività. Molti pensavano che le condanne fossero un'ingiustizia e nel 2007 le condanne furono sigillate. Indipendentemente da ciò, ti mostra il tipo di acque profonde in cui puoi finire, quando decidi di aiutare con le vulnerabilità della sicurezza, senza che ti venga effettivamente chiesto di farlo.

Farò da contraltare alla maggior parte delle risposte qui. Le altre risposte sono corrette, da un punto di vista strettamente aziendale, hai torto. Tuttavia, penso che tu abbia fatto quello che hai fatto perché sei sicuro delle tue capacità e vai alla ricerca di problemi da risolvere, che sono grandi caratteristiche da avere, ma non si adatteranno a tutte le culture aziendali.

Lì ci saranno posti che andranno bene con questo, ma una tale vena di indipendenza è ottima anche per l'imprenditorialità. Potresti essere adatto ad avviare la tua attività.

Quindi, direi che hai 3 opzioni: 1. Cerca di conformarti maggiormente alla cultura aziendale, 2. Non conformarti, ma rischi di non ottenerne lavori, 3. Segui il percorso delle piccole imprese.

Risposta breve:

Non testare | accedere | hackerare nulla senza un'autorizzazione esplicita .

Ho ucciso le mie possibilità con loro?

Sicuramente.

Ps: Downvote quanto vuoi, ma l'OP ha infranto una delle prime regole in IT / Pentesting e questo è l'unico obiettivo della mia risposta.

Mentre aspettavo nella hall ho trovato una rete wifi aperta chiamata XYZ. Mi sono connesso ad esso e sono stato accolto da una pagina web che richiedeva un nome utente e una password. Ho eseguito una scansione dei dispositivi collegati utilizzando Fing (un'app su Android) e ho scoperto che ci sono alcuni laptop con i nomi XYZ-HR-1 e XYZ-FN-1.

Penso quello che hai fatto andava bene. Era una rete aperta e ci sei entrato e ti sei guardato intorno. Finché ciò che hai fatto rientrava nell'ambito di ciò a cui era destinata la rete. La ricerca di dispositivi potrebbe essere stata illegale in alcuni luoghi.

Come candidato che si prepara per un colloquio di lavoro. Sta a te ricercare l'azienda, la cultura e il background. Raccogli le conoscenze che puoi utilizzare durante l'intervista per spiegare perché dovrebbero assumerti.

Hai raccolto le conoscenze ma non le hai usate saggiamente.

Avevo ragione dire loro che l'ho fatto?

In casi come questo. Usa ciò che hai imparato per porre domande convincenti e fornire risposte convincenti, ma non puntare il dito, fare accuse o criticare qualsiasi cosa correlata all'azienda o alle persone.

• Puoi parlare dei rischi di una rete aperta senza menzionarne la rete.
• Puoi parlare dei rischi di avere dispositivi su quella rete.
• Puoi condividere come risolveresti il problema.
• Puoi condividere la tua idea di una rete migliore.

Usi ciò che sai perché ti rende pertinente alle loro sfide attuali, ma lo fai in modo simpatico, amichevole e professionale.

Ora, chiediti se vuoi ancora il lavoro basato su ciò che hai scoperto. Poni domande che rivelino la natura della cultura dell'azienda.

• Chiedi, come gestisci la scoperta di una falla nella sicurezza?
• Chiedi, quali libertà avrò per implementare i cambiamenti?
• Chiedi chi ha implementato il tuo attuale sistema IT. Segnalerò a quella persona?
• Chiedi, come misuri il successo dei miei sforzi IT?

Hai scoperto che ci sono già problemi in azienda. Scava più a fondo per vedere se è ancora quello che fa per te.

Che tu ottenga o meno il lavoro e che questo abbia aiutato o ostacolato le tue possibilità, quello che hai fatto è stato poco professionale e forse illegale. Se avessi guardato il loro sito web pubblico o avessero avuto una rete totalmente aperta (nessuna password), saresti stato su un terreno più solido.

Non eri stato assunto in quel momento e ti trovavi in effetto attaccando la loro rete alla ricerca di vulnerabilità. In qualità di professionista dovresti sapere di non farlo senza previo accordo e indagine sulle possibili conseguenze.

C'è una domanda in qualche modo correlata allo stack di sicurezza: chiedere se un'azienda pentest dovrebbe firmare un contratto che promette di non avere conseguenze negative del test e di coprire eventuali danni subiti. La risposta accettata dice "Ho rovesciato i sistemi con un port scan". È impossibile sapere cosa farà il codice di qualcun altro, e quindi quali potrebbero essere le conseguenze negative dell'interazione con esso. Metti a rischio la loro organizzazione, senza preavviso, accordo o giustificazione.

Usare il loro sistema nel modo in cui dovrebbe essere utilizzato e vedere cosa succede è giustificabile, l'uso non standard non lo è. Ciò include il tentativo di indovinare un nome utente / password: l'uso standard è AVERE un nome utente e una password, non cercare di trovarne uno.

Ci sono alcune risposte davvero buone che spiegano perché questa era la cosa sbagliata da fare dal punto di vista di Infosec, e alcune un po 'più generalizzate sull'etica di eseguire una scansione senza autorizzazione, ma cercherò di affrontare il problema "giusto modo "per affrontare situazioni come questa, in base a come avrei considerato di affrontarlo in un'intervista se mi fossi trovato in una situazione simile.

Avevo ragione a dire loro che l'ho fatto? Ho ucciso le mie possibilità con loro? Dovrei farlo di nuovo con altre opportunità di lavoro (se qualcosa è stato scoperto per caso)? Come posso ottenere un vantaggio nell'intervista con questo tipo di informazioni?

Ci sono un paio di cose che stanno succedendo qui, in particolare quando si tratta di ottenere un vantaggio.

Per prima cosa, hai un imperativo etico per discutere questioni di sicurezza che hai notato (e penso che l'etica sia già stata generalmente affrontata da altri).

Per il secondo, stai pestando i piedi quando si fa notare qualcosa di sbagliato.

In terzo luogo, è possibile che tu stia spaventando le persone.

Infine, questo creerà un'impressione negativa di te come candidato a causa dell'interazione correlata, anche se hai ragione.

Il cambiamento dovrebbe sempre provenire da un luogo di conoscenza e non sai tutto del contesto circostante in un intervista

Ad esempio, nelle interviste allo sviluppo di software, ho sostenuto che dovremmo usare il linguaggio xyz.

Da un punto di vista tecnico, ovviamente, c'è spazio per miglioramenti e uno di questi miglioramenti potrebbe essere un cambio di lingua. Potrei argomentare sul valore del passaggio a determinate lingue tutto il giorno. Ma argomentarlo come candidato al lavoro fa sembrare il candidato molto ingenuo riguardo alle preoccupazioni circostanti che potrebbero aver portato alla lingua che stiamo utilizzando, per non parlare degli ostacoli tecnici al passaggio a una lingua diversa ora, e si presenta anche come presuntuoso e forse indicativo di un pensiero superficiale .

Non sai perché il WIFI è stato impostato in questo modo, quindi non presumere che sia senza intenzione.

Fare domande va bene. Apprezzo molto le domande durante le interviste. Notare le cose è fantastico . Puoi utilizzare quello se viene visualizzata un'apertura correlata:

"Ho notato che avevi un SSID WIFI aperto, quindi ho pensato che forse fosse inteso come una rete ospite e potrei controllare la posta su di esso e connesso brevemente. Non appena l'ho visto ho visto la pagina della password e ho capito che doveva essere intesa come una rete interna, quindi mi sono disconnesso, ma non ho potuto fare a meno di notare che non sembrava sicuro. Come qualcuno a cui importa un molto sulla sicurezza delle informazioni, ero curioso se sapessi perché è impostato in questo modo? "

Scavare più a fondo senza invito è molto non eccezionale. Penso che sia stato trattato sufficientemente in altre risposte, ma per fare eco alla risposta di Kate Gregory, nel migliore dei casi risulterà "inquietante". Le persone possono sostenere la sua analogia tutto ciò che vogliono (tecnicismi a parte, penso che ne abbia catturato il cuore), ma è abbastanza vicino a come si sentirà la maggior parte dei laici, specialmente quando inizi a snocciolare le macchine che hai visto. Quella prima risposta di avversione psicologica ti farà affondare, non importa quanto tu sia "giusto".

Al massimo, se un'apertura correlata si verifica naturalmente (cioè solo se la conversazione continua effettivamente quando apri la prima parte) potresti chiedere se hanno preso in considerazione l'esecuzione di alcune scansioni per verificare se qualcuno è a rischio tramite quel WIFI e quali sono i loro strumenti di test di vulnerabilità preferiti. Ciò offre una finestra chiara (e l'opportunità per loro di porre domande correlate sulle tue preferenze) sulle tue abilità correlate ... ma non spingerla. Non sei il capo dell'IT, sei qui per un colloquio e, sebbene potresti non essere d'accordo con quello che stanno facendo, non è nemmeno il tuo posto per discutere per qualcosa di diverso a meno che non sia invitato , perché potresti semplicemente con la stessa facilità ti prendi in giro nel loro contesto specifico.

Se ti viene chiesto "Oh, è interessante, cosa faresti", quella sarebbe la tua apertura per discutere le scansioni che potresti eseguire per mostrare le vulnerabilità e come avresti quindi avanzato una proposta per una modifica al WIFI, supponendo che non ci fossero esternalità di cui non eri a conoscenza come qualcuno non facente parte dell'azienda relative alla particolare installazione che ha richiesto che fosse impostato in questo modo: e se quindi, come potresti mitigarli tramite VLAN, firewall interno, ecc., ma richiederebbe davvero di conoscere più dettagli . Essere aperti su ciò che non sai in termini di contesto è incoraggiante: con i dettagli su ciò che dovresti imparare sull'ambiente può aiutarti a mostrare i gradi delle tue abilità e conoscenze correlate e la tua flessibilità esigente per tenere conto di situazioni diverse .

Non insultare le persone (nemmeno inavvertitamente o meno)

Questo va di pari passo con il precedente, ma ci tengo molto a concentrarmi su questo per un momento: partire da una presunzione di intelligenza negli altri. È lusinghiero. L'opposto è offensivo. Se qualcosa non appare "intelligente" da una prospettiva esterna, inizia dal presupposto che ci sono altre ragioni con un fondamento di intelligenza e abilità da parte di coloro che sono coinvolti . Anche se non ti infili orribilmente il piede in bocca per aver trascurato qualcosa come una possibilità, alla fine avere ragione non avrà importanza dopo aver appena finito di cestinare qualcuno a cui stai chiedendo di assumerti.

Non perdere di vista l'obiettivo

Se vuoi assistere al cambiamento, sii un difensore di te stesso e delle tue opinioni, prospettive e abilità generalizzate (e come allinearsi con i tuoi intervistatori / l'azienda, il che richiederà di convincerli a parlare di questo: quindi chiedi!), non per la modifica specifica che desideri implementare quando è solo un singolo dettaglio.

Se vedere una probabile mancanza di sicurezza ti eccita, bene. Ma non puoi concentrarti così tanto su quel problema specifico da far deragliare l'intervista in un modo che ti fa sembrare più debole come candidato generale. Questo non risolverà il problema. Essere assunto potrebbe. Quindi concentra nuovamente la tua cura e intensità correlate nel difendere te stesso, piuttosto che un avanti e indietro relativamente meno significativo su un singolo dettaglio di sicurezza. Avrai tutto il tempo per difendere questo problema specifico una volta che sarai assunto.

Ascolta le persone (e, si spera, crea aperture naturali)

Non solo non conosci il contesto tecnico e vincoli circostanti che portano a una situazione come questa rete Wi-Fi aperta, ma ancora più importante non conosci le persone con cui stai parlando, le loro personalità, il loro coinvolgimento e le opinioni su questo e problemi simili.

Una cosa è offrire la tua esperienza e fornire esempi, un'altra è spingere. La fiducia in te stesso e nelle tue capacità è buona (è fantastico), ma invadenza è raramente qualcosa che un intervistatore cerca, secondo la mia esperienza.

Quindi ricorda che queste persone sono estranei di cui hai avuto poco tempo per conoscere in un modo molto ristretto e molto limitato. Non esagerare con loro: scopri invece cosa pensano.

Invece di soffocare su di loro qual è la tua opinione su un dato argomento tecnico (che può facilmente sembrare negativo per qualcuno meno tecnico e può facilmente farti entrare nelle mine con qualcuno più tecnico), chiedi loro cosa fanno attualmente in relazione a quell'argomento e, se necessario, chiedi qual è l'opinione dell'individuo. Mostra la raffinatezza della conoscenza per sapere cosa chiedere senza spingere le tue opinioni e pensieri su di loro e ti dà un po 'di spazio per sentirli.

In definitiva, questo fornisce le migliori aperture, perché puoi fare qualcosa come menzionare cose come il WIFI che è difficile in ambienti di utilizzo misto (supponendo che l'argomento venga fuori) e poi chiedere cosa fanno come azienda e quali sono le preferenze personali dell'intervistatore in relazione a questo. Questo forse fornisce possibili aperture per la precedente affermazione ipotetica che ho offerto, ma ti avverte anche se forse potrebbe essere meglio non dire nulla.

Ancora più delle semplici aperture, questo aiuta anche a esporre le dinamiche tra i diversi intervistatori. Quando hai più persone che ti intervistano, sei al centro dell'attenzione ed è difficile valutare se tutto sta andando bene. Fare domande e poi chiedere opinioni ti dà spazio (con discrezione, dato che la tua attenzione dovrebbe essere su chi sta parlando mentre sta parlando ) guarda cosa sta succedendo. Avrai l'opportunità di cambiare (o anche dirigere) l'attenzione tra persone diverse, o almeno guardarti intorno per valutare il consenso / ecc. Sulle risposte che ti vengono fornite. Questo dipenderà, per gradi, da come è "su rotaie" il formato dell'intervista.

Lascia spazio alla conversazione per respirare

Sì, sei qui per difenderti, ma il solo fatto di gridare quanto sei bravo non lo fa necessariamente efficacemente . Il tuo curriculum dovrebbe già parlare da solo in termini tecnici ed esperienziali, ciò per cui sei veramente qui è parlare per te stesso come qualcuno con cui lavorare, come collega e collega.

Ed ecco la chiave per questo : come si dice per iscritto, "mostra, non limitarti a dire".

Se ti chiedono la tua opinione o la tua posizione su qualcosa, dagliela, certamente. Ma quando non viene chiesto, CHIEDI invece il loro come apertura. Lascia che ciò riconduca naturalmente a loro che chiedono la tua opinione (o meno). Dimostrerai la stessa conoscenza correlata nel chiedere su argomenti quanto cercheresti di parlare con te stesso, ma, cosa più importante, risulta meno pretenzioso e ti dà spazio per assomigliare di più a qualcuno con cui sarebbe meglio lavorare su questioni correlate piuttosto di qualcuno che sta solo cercando di spingere tutti gli altri pensando di sapere già tutto ciò che deve essere conosciuto.

Nella maggior parte delle interviste di persona vengono introdotti elementi tecnici, ma idealmente servono solo a controllare se sei o meno all'altezza del tuo curriculum, e in realtà l'obiettivo finale di un'intervista in quella fase è capire se tu " essere qualcuno con cui vogliono lavorare. Abbiamo ignorato persone altrimenti tecnicamente competenti a causa del modo in cui hanno agito durante il colloquio e di come si sono avvicinate (o addirittura no) all'interazione correlata. Perché un lavoro non è solo conoscenza della carta e competenza tecnica di base. Chiunque può eseguire uno scanner a penna. Non tutti possono discernere quando è il momento giusto per farlo e come utilizzare efficacemente i risultati se lo fanno, e non calpestare tutti i piedi di tutti nel processo in modo così orribile che a nessuno importa più e tutti semplicemente vuole che il progetto venga annullato e che si lavori su qualcos'altro.

In alcuni ambienti, essere in grado di negoziare efficacemente attraverso la difesa del progetto e i relativi cicli di vita politica interna è altrettanto cruciale quanto avere le relative conoscenze tecniche. Quindi mostra la tua competenza in come interagisci con i tuoi intervistatori, fatti notare per essere qualcuno con cui è facile lavorare e con cui comunicare, che è sicuro di sé nel migliore dei modi , quello in cui non hanno solo bisogno di blaterare continuamente su se stessi. E qualcuno che discernesse che sa quando spingere qualcosa, quando non farlo e quanto.

La cosa più difficile da riconquistare è la fiducia

Ti trovi in ​​una situazione di colloquio: ti è stato concesso un livello base di fiducia nell'essere invitato a un colloquio, ma sei ancora una quantità relativamente sconosciuta, quindi è molto provvisorio. Tutto ciò che mette in discussione la fiducia che ti è già stata data è assolutamente velenoso per le tue possibilità di candidato. Dovresti sempre presumere che ci siano altri candidati (ad esempio, nel mio caso, facciamo cose come fallire e rielaborare ricerche che non producono abbastanza candidati all'intervista per formare un pool di confronto adeguato). Dovresti sempre presumere che siano ugualmente qualificati in termini di qualifiche tecniche.

Non intraprendere azioni durante un colloquio che potrebbero portare i presenti a mettere in dubbio se sei affidabile. Azioni che sono normalmente associate a un livello di fiducia più alto di quello che hai chiaramente - direi anche esplicitamente - sono state concesse (non chiedi a qualcuno di cui non ti fidi di eseguire una scansione di sicurezza e per impostazione predefinita inizi con diffidare di qualcuno che esegue a caso una scansione di penetrazione contro di te senza il tuo esplicito invito e permesso) rientra in questo. Non è che tu sia diffidente , è che non ti sono ancora stati garantiti i livelli di fiducia associati ad azioni di quella natura. Devi guadagnartelo e intraprendere azioni associate a livelli più elevati di fiducia prima di farlo è spesso visto immediatamente come un superamento dei tuoi limiti, in modi che mettono in discussione anche le tue capacità decisionali, e in un primo momento situazione di impressione che non puoi permetterti.

Anche se riesci a riguadagnare il livello base di fiducia con cui stai intervistando, averlo mai messo in discussione può metterti rapidamente in pericolo rispetto ad altri candidati. È raro che si parli direttamente, perché eseguiamo cose come controlli dei precedenti per cercare di accertare se abbiamo ragione nel fidarci di qualcuno, ma il senso della fiducia individuale e diretta è fondamentale per non tradire durante un processo di intervista, perché incombe facilmente su tutte le altre impressioni di personalità e abilità se qualcuno a un certo punto diventa "a disagio" con te per un'azione che intraprendi. In definitiva, accertare se ci si può fidare di te è davvero un elemento centrale di un'intervista, quando ci pensi davvero.

Tutte le risposte sono corrette IMHO, sia quelle che incoraggiano il comportamento che quelle che lo scoraggiano, ma manca qualcosa di importante per me: il fatto che il colloquio sia stato con persone diverse, che hanno obiettivi diversi.

Il capo IT vuole qualcuno in grado di pensare fuori dagli schemi, qualcuno in grado di prendere iniziative e di identificare facilmente eventuali carenze che potrebbero esserci. Ovviamente è interessato a un profilo del genere.

Il capo delle risorse umane vuole proteggere l'azienda dai dipendenti. Questo è il lavoro. Identificare eventuali danni che un dipendente potrebbe arrecare e proteggere l'azienda da essi. La maggior parte delle volte, è più a livello legale o relazionale, ma se le risorse umane ritiene che ci sia un potenziale dipendente che potrebbe essere abbastanza intelligente da aggirare i titoli standard, al di fuori di un audit controllato dall'ottone, allora farà quello per cui è pagato fare: proteggere l'azienda dal (non ancora) dipendente.

Da qui la diversità delle risposte. Se avessi parlato solo con il capo IT, allora (nonostante le questioni legali) il tuo comportamento sarebbe stato intelligente. È quello di cui ha bisogno. Ma poiché le risorse umane erano presenti, avresti dovuto tenere in considerazione il suo ruolo: preservare l'ordine naturale e la gerarchia della società.

Tieni presente che la maggior parte delle aziende sarà più che disposta a perdere un po 'di efficienza per ottenere un maggiore controllo sui propri dipendenti. Se stai cercando un lavoro in ambito aziendale, devi almeno fingere di rispettare le regole di fronte a chi è pagato per farle rispettare. E cerca di rispettarli effettivamente finché non ti impedisce di fare il tuo lavoro. E la prima regola è: non sembrare incontrollabile. Nel mondo aziendale, i manager detengono il potere e vedono la gestione come la scienza del controllo (se è giusto o buono è un altro dibattito che non aprirò).

La trappola è che dovevi formattare il tuo discorso a due pubblici diversi con esigenze e aspettative opposte. Prova a pensare a entrambi la prossima volta.

Se avessi voce in capitolo in questo processo di assunzione, questo sarebbe un segno contro di te. Non perché hai infranto qualche regola, ma perché stai dicendo alle persone che dovrebbero fare qualcosa senza comprendere le loro esigenze.

La sicurezza IT è un esercizio di gestione del rischio. La maggior parte delle volte le pratiche di sicurezza IT non sono regole assolute. È necessario valutare i rischi di una particolare pratica rispetto ai costi per l'efficienza aziendale e quindi prendere una decisione.

Non conosco i rischi associati alla vulnerabilità che hai trovato. Potrebbe essere qualcosa che un'azienda non dovrebbe mai fare. Tuttavia, prima di dire a qualsiasi manager aziendale che non dovrebbe fare qualcosa, dovresti creare una certa fiducia nella tua opinione imparando le circostanze in cui esiste la vulnerabilità.

Quando si tratta di informazioni o idee che possediamo, sebbene per alcuni possa sembrare controintuitivo, non è ottimale dire tutto a tutti. Mi ci è voluto più tempo di quanto vorrei ammettere per interiorizzare completamente che non potevo dire nulla e tenerlo per me.

Le risorse umane non prenderanno mai qualcosa di simile in un modo diverso da quello che descrivi. Chiunque non capisca NetSec probabilmente considererà te e il tuo commento con estremo sospetto. Le interazioni sia pubbliche che dal palco e dallo schermo dovrebbero illustrare la verità di questo, c'è un'intera categoria di tropi legati a "specialisti ben intenzionati che cercano di avvisare le persone che non capiscono il potenziale pericolo" che finiscono per essere punite dai pagani non lavati hanno tentato di aiutare.

Tienilo per te.

Detto questo, potresti aver potenzialmente sollevato qualcosa di tangenzialmente correlato e indirizzato la conversazione verso un punto in cui una versione altamente modificata dei tuoi commenti potrebbe essere percepita come più organica.

Storia vera: Una volta ho lavorato in un luogo in cui un ragazzo ha trovato una vulnerabilità nel blog intranet dell'azienda. Mentre era a casa, ha postato sul blog dall'esterno della rete sfruttando la vulnerabilità. Poi, quando è arrivato il giorno successivo, ha inviato la sua brillante scoperta e la prova che era possibile IT. Gli è stato immediatamente dato lo status di eroe e un enorme bonus, aumento e promozione. Sto scherzando, è stato immediatamente licenziato.

Puoi ignorare ogni parola di questa risposta se vuoi ricordare questa frase di cinque parole: "Avere ragione raramente cambia qualcosa."

Proverò ad aggiungere un'altra prospettiva.

Avevo ragione a dire loro che l'ho fatto?

Ci sono paesi in cui l'adesione e la scansione della rete sono inizialmente illegali . Immagina di aver trovato una porta LAN nella sede e di aver utilizzato un cavo Ethernet per collegarti alla loro rete.

È possibile che le risorse umane lo sappiano poiché sono più consapevoli delle leggi coinvolte.

È responsabilità delle risorse umane gestire tali responsabilità legali per l'azienda. È possibile che sia per questo che sembravano poco entusiasti di questo.

Dal punto di vista di qualcuno che gestisce la sicurezza delle informazioni: quello che hai fatto non è stato intelligente.

Era per dimostrare che sei un esperto di sicurezza? In tal caso, se dimostri che puoi

• connetterti a una rete Wi-Fi aperta
• che alcune delle loro macchine erano su quella rete

Se lo contrassegni come un problema di sicurezza, scusa, non sai molto di sicurezza. Neanche questo manager IT. Probabilmente un giorno esploderà.

Quindi quella mossa non è stata buona.

Forse era per mostrare proattività? Bene, in questo caso non dovresti davvero lavorare in sicurezza perché danneggerai la tua azienda facendo queste cose. Esistono regole di coinvolgimento nella sicurezza e ci si aspetta che un dipendente le segua. Non sei un hacker, non sei un cacciatore di taglie. Non devi fare queste cose.

Comunque la guardi, è stata una mossa stupida se volevi essere assunto.

Quindi, vediamo. Dal mio punto di vista tu:

1. Hai scoperto una rete aperta; (OK)
2. Collegato ad esso; (OK)
3. Scoperto che necessitava di userid / password; (OK)
4. Dispositivi interrogati intorno a te in un apparente tentativo di hacking; (NON OK)
5. Ne ho vantato (STUPIDO!)

Ora, copriamo le tue domande individualmente:

1. Ho fatto bene a dire loro che l'ho fatto? Non se avessi voglia di lavorare per quella compagnia. Tieni inoltre presente che la maggior parte delle aziende per cui ho lavorato visualizza un avviso quando ti connetti o accedi che dice qualcosa come "L'accesso non autorizzato non è consentito. Contatteremo le autorità e ti perseguiremo se lo proverai". Nota anche che l'ignoranza non è una scusa.

2. Ho ucciso le mie possibilità con loro? Se fossi il responsabile delle assunzioni non ti toccherei con un palo di 10 piedi. Sei un hacker riconosciuto, ne sei orgoglioso e un incidente di sicurezza in attesa di accadere.

3. Dovrei farlo di nuovo con altre opportunità di lavoro (se qualcosa viene scoperto per caso) ? Dipende. Vuoi trovare un lavoro o vuoi metterti in mostra? Nel primo caso, non farlo mai più. In quest'ultimo caso ... beh, è ​​la tua vita, amico ...

4. Come posso ottenere un vantaggio nell'intervista con questo tipo di informazioni? Non puoi. Tutto quello che puoi fare è rendere le persone nervose e le persone che sono nervose per quello che hai fatto, che puoi o potresti fare non ti assumeranno. Guarda le notizie: ogni poche settimane un'altra azienda viene hackerata, carte di credito e altre informazioni personali vengono rubate e sembrano idioti, e i loro clienti potrebbero voltarsi e denunciarli. Come persona che lavora nel reparto IT di un importante rivenditore, posso dirti che questa è una delle cose che preoccupa le persone come me. Se pensiamo che anche tu potresti essere un problema, non verrai assunto. Fine della storia.

Buona fortuna.

Per quanto riguarda le tue possibilità, dipende fortemente dai poteri del responsabile IT e del responsabile delle risorse umane. Dipende anche da come l'hai presentato. Se era "Ho visto diversi computer con XYZ, qualsiasi nome connesso a una rete non protetta", era più un insulto per chi ha permesso ai proprietari di connettersi alla rete. Se fosse "Ho visto il tuo computer, signor Averagejoe, connesso alla rete non protetta" è stato un insulto diretto al signor. Averagejoe.

Se stai per diventare un ragazzo della sicurezza, una paranoia non è obbligatoria, ma aiuta. Il tuo controllo su chi c'è con te (nella rete aperta) mostra chiaramente il tuo atteggiamento nei confronti della tua possibile posizione. Ecco perché il responsabile IT è rimasto colpito.

D'altro canto, la tua presentazione dei tuoi risultati è stata piuttosto scortese. Ecco perché il responsabile delle risorse umane ti sostiene e ti oppone.

Forse hai versato olio in una lotta aperta tra i ragazzi dell'IT che spingono i problemi di sicurezza a fermarsi e gli altri con l'atteggiamento "Che diavolo stanno parlando quelli strani di?" Qualcosa come il discorso di Moss sulla non disabilitazione del firewall in IT Crowd S2E1.

La prossima volta, fai questo controllo preferibilmente quando richiesto durante l'intervista. Se non puoi resistere, attendi i risultati al momento in cui i trasgressori sono fuori portata vocale e stai discutendo solo del personale IT.

Questo danneggerà le tue possibilità perché hai dimostrato di non aver compreso il concetto di area di responsabilità Tu:

• hai fallito per spiegare come sei stato autorizzato a farlo (indipendentemente da ciò che le leggi possono dire: devi convincere loro, non il giudice) e l'impatto delle tue azioni in termini non tecnici
• ha iniziato a dire loro (invece di suggerire semplicemente) come avrebbero dovuto fare le cose senza essere la persona responsabile di quelle cose o un consulente a contratto

• In ambienti stabiliti, ogni area e compito ha una persona responsabile (praticamente sempre, una singola persona; le decisioni di gruppo sono generalmente garantite solo per questioni strategiche complesse piuttosto che per le attività quotidiane). Quella persona è l'unica che può prendere decisioni in quell'area. Questo per garantire che abbiano il quadro completo e che ad esso venga applicata una visione unificata.
• Se non sei quella persona e vedi un problema, il tuo lavoro è segnalarlo a loro e lascia che siano loro se qualcosa deve essere fatto al riguardo.
  • Questo perché anche se sai che questo è un problema, non hai l'intera immagine per essere in grado di valutare tutti i pro e i contro e non ti assumerai la responsabilità delle tue azioni. Come altri hanno detto, la sicurezza è un esercizio di gestione del rischio: vale la pena fare qualcosa solo se farlo è meno costoso che non farlo.
  • (Anticipando i commenti degli aspiranti ribelli :) Andando oltre le loro teste è possibile ea volte può essere la strada da percorrere per ottenere qualcosa, ma è una faccenda seria e rischiosa poiché è necessario convincere in qualche modo i superiori a sostenere i costi piuttosto elevati di mettere in discussione la competenza di un subordinato importante (facendo una valutazione indipendente delle loro capacità e del loro lavoro è tempo, denaro e malcontento duraturo di quella persona, indipendentemente dal metodo e dal risultato).

• Quello che hai detto loro sulla scansione è praticamente suonato a una persona non tecnologica: "Ho violato la tua rete e potenzialmente interrotto la tua attività, tutto solo perché ne avevo voglia".
  • Questo è ciò che ha provocato una reazione difensiva. "No, la nostra attività è certamente protetta abbastanza bene se siamo ancora in attività, e di certo non potresti violarla così facilmente! Quello che stai sostenendo non può essere vero ed è una semplice diffamazione (perché questo danneggerebbe il nostro reputazione se gli altri ci credono (indipendentemente dal fatto che sia vero), quindi sicuramente non la stiamo prendendo gentilmente)! "
  • E una persona con una tale mentalità non è certamente qualcuno che vuole vedere dentro raggio di un miglio della loro struttura critica.
  • Ovviamente non è quello che hai fatto. Ma non sei riuscito a trasmetterlo in un modo che loro possano capire.
  • Avresti dovuto scrivere qualcosa del tipo: "Quando stavo aspettando nella hall, ho notato una rete wifi aperta con il nome della tua azienda. il mio lavoro includerà la sicurezza delle informazioni, ho colto l'occasione per farmi un'idea delle vostre pratiche attuali. Ho notato questo e questo, che è potenzialmente una vulnerabilità, anche se dipende. " ¹ Se sembrano ancora terrorizzati, aggiungere qualcosa del tipo: "Posso dire con sicurezza (ei tuoi colleghi confermerebbero) che questo non potrebbe assolutamente interrompere nulla con una stabilità di, come, un'installazione di Windows standard."
    • Questo mostrerebbe che sei autorizzato a farlo perché si suppone e ci si aspetta che i buoni candidati siano proattivi nella ricerca dell'azienda; hai soppesato i rischi e preso una decisione informata; e stai semplicemente suggerendo che questo potrebbe essere un problema piuttosto che affermare apertamente che dal momento che non sei il responsabile e quindi non hai le informazioni complete per essere in grado di fare affermazioni così categoriche.

¹ _{sulla copertura della rete, per quanto tempo e con che frequenza le macchine rimangono su di essa, che tipo di informazioni e / o funzionalità contengono e quanto sono protette. sub>}