Taki wyczyn kaskaderski byłby w większości środowisk przeszkodą dla HR. Powód tego jest bardzo prosty: Wiedziałeś, co robisz, a wykonanie testu nie należało do twoich obowiązków.

Jeśli natknąłbyś się na problem w sposób “Akcje pojawiły się w eksploratorze okien”, prawdopodobnie byłoby to w porządku. Ale specjalista od bezpieczeństwa musi wiedzieć, że uruchomienie skanera sieciowego w sieci, gdzie nie zostało to uzgodnione przez administratora sieci, jest zdecydowanie w kategorii “niemiły” do “wrogi”. Może to również powodować realne koszty, np. w przypadku uruchomienia fałszywego alarmu. Raz zmarnowałem kilka godzin próbując znaleźć źródło skanowania, które jakiś punk z innego działu wykonał bez naszej zgody (lub kogokolwiek innego w sieci wewnętrznej).

W zależności od okoliczności, można sobie również wyobrazić, że sieć nie jest widoczna, dopóki nie znajdziemy się na terenie firmy. Kiedyś pracowałem na stronie na tyle dużej, że nie widać by było sygnału wifi z zewnątrz (bez bardzo szczególnych środków). W takim przypadku doszło by nawet do naruszenia zaufania. (Wiem, że to nadal nie jest dobry pomysł, aby uruchomić otwarte wifi, wiesz, informatycy wiedzą, ale nie wiem, czy kierownictwo i HR wie lub chce usłyszeć).

Wyobraź sobie, że zaprosiłem cię do mojego domu na bar podwórkowy be que i przyjechałeś i, gdy byliśmy w kuchni, powiedział

Wpadłem wczoraj, gdy byłeś w pracy. Ten płot nie trzyma nikogo na zewnątrz. Zauważyłam, że twój zestaw huśtawkowy nie jest odpowiednio zakotwiczony w ziemi - to może być niebezpieczne, jeśli większe dzieci będą się naprawdę mocno huśtać. Poza tym, rozstaw sztachet na twoim pokładzie jest zbyt szeroki, w dzisiejszych czasach kod określa X cali i masz Y.

Stałbym tam z otwartymi ustami wpatrując się w twoją niegrzeczność. Nikt cię nie pytał, nie sprawdzałeś czy jest w porządku, tylko się wtrącałeś i teraz krytykujesz. Jasne, bezpieczeństwo dzieci na huśtawkach i tylnym pokładzie jest naprawdę ważne. Ale takie są też zasady grzecznego społeczeństwa. Lepszy gość nie napadłby na podwórko bez zgody i nie zamazałby na początku rozmowy raportu z inspekcji. Zamiast tego ten gość czekałby na podwórko ze szklanką lemoniady, a następnie mówiłby

Ooooh, huśtawka. Trochę o tym wiem. Czy to jest właściwie zakotwiczone? Mogę sprawdzić?

i

You know these days deck rails are supposed to be Y inches … Wygląda na to, że twoje mogą być starsze … Mogę chwycić moją miarkę i potwierdzić, jeśli chcesz?

Teraz pokazujesz swoją głęboką wiedzę na temat bezpieczeństwa na podwórku i że posiadasz narzędzia, ale nikogo nie krzywdzisz.

Teraz celem tej metafory/analogii nie jest idealne dopasowanie się do aktu sprawdzania otwartego wifi i odkrywania niektórych nazw maszyn. Chodzi o to, aby pokazać ci reakcję emocjonalną, którą to zachowanie może wywołać. Zaprosili cię do swojego biura na rozmowę kwalifikacyjną. Zrobiłeś coś, co jest poza normą wywiadu, bez pozwolenia lub zaproszenia, kiedy nie było ich tam, aby zobaczyć, jak to robisz. I krytykowałeś ich działania w tym samym paragrafie, w którym powiedziałeś im, co zrobiłeś. Przynajmniej jeden z nich był zszokowany i zdenerwowany. Powyższy eksperyment myślowy ma doprowadzić Cię do zrozumienia tych uczuć bycia zszokowanym i zdenerwowanym.

Aby zostawić metaforę/analogię za sobą, jak mogłeś sobie z tym lepiej poradzić? Zamiast zacierać swoje wyniki wcześnie w wywiadzie, można było poczekać do omówienia aspektu bezpieczeństwa, a następnie powiedział “wiele dobrych firm nie mają pojęcia, że ich sieci są podatne na niektóre z nowszych ataków. Mógłbym przeprowadzić 5-minutowy skan twojej gościnnej żony, jeśli chcesz.” Mógłbyś oczywiście złożyć tę ofertę z pewnością, ponieważ zrobiłeś to już w lobby :-). Teraz pokazujesz swoje umiejętności i narzędzia, we właściwym kontekście i za pozwoleniem. Nawet ustawiasz im twarz - mówisz, że to nie znaczy, że są idiotami, jeśli coś znajdziesz. Kiedy to znajdziesz, możesz im powiedzieć, że wiesz, jak zmienić rzeczy tak, aby luka została zamknięta. Teraz chcą cię zatrudnić, a nie obrazić.

I told them that this is a serious issue and should not wait until I or anyone else be hired.

Was I right in telling them that I did that?

Leading an interviewer is rare a good way to get a job.

Did I kill my chances with them?

Nie ma sposobu, aby poznać odpowiedź na to pytanie, jeśli nie usłyszysz od nich bezpośrednio.

Czy powinienem zrobić to ponownie z innymi ofertami pracy (jeśli coś zostało odkryte przez przypadek)?

Poczekaj, aż Twoja ocena zostanie specjalnie zamówiona, lub dopóki nie zostaniesz zatrudniony.

Przeprowadzenie skanowania w ich sieci było bardzo nierozważne, a w niektórych miejscach mogło doprowadzić do oskarżenia cię o przestępstwo.

Możesz przeczytać o sprawie Randalla Schwarza , znanego autora technicznego. W latach 90-tych był kontraktowym administratorem systemu dla grupy superkomputerowej w firmie Intel. Martwił się o bezpieczeństwo w grupie, więc na niektórych kontach swojego kolegi prowadził łamacz haseł. Mimo, że był kontrahentem Intela, bezpieczeństwo i testy penetracyjne nie wchodziły oficjalnie w zakres jego obowiązków i w końcu został skazany za dwa przestępstwa za swoją działalność. Wielu uważało, że skazanie było niesprawiedliwe, a w 2007 r. skazania zostały przypieczętowane. Niezależnie od tego, pokazuje to, na jakiej głębokiej wodzie można skończyć, gdy zdecyduje się pomóc w przypadku zagrożenia bezpieczeństwa, nie będąc o to faktycznie poproszonym.

Wezmę kontrapunkt do większości odpowiedzi tutaj. Pozostałe odpowiedzi są prawidłowe, z czysto korporacyjnego punktu widzenia, jesteś w błędzie. Myślę jednak, że zrobiłeś to, co zrobiłeś, ponieważ jesteś pewny swoich możliwości i szukasz problemów do naprawienia, które są wielkimi cechami, ale nie pasują do każdej kultury korporacyjnej.

Będzie kilka miejsc, które będą z tym dobre, ale taka passa niezależności jest również świetna dla przedsiębiorczości. Być może nadajesz się do założenia własnej firmy.

Tak więc, powiedziałbym, że masz 3 opcje: 1. Spróbuj bardziej dostosować się do kultury korporacyjnej, 2. nie dostosuj się, ale ryzykuj, że nie dostaniesz pracy, 3. idź drogą małego biznesu.

Krótka odpowiedź:

Don’t test|access|hack anything without an explicit authorization.

Did I kill my chances with them?

Most certainly.

Ps: Downvote as much as you want, but the OP broke one of the first rules in IT/Pentesting and that’s the only objective of my answer.

Niezależnie od tego, czy dostałeś pracę, czy nie, i czy to pomogło, czy też ograniczyło twoje szanse, to co zrobiłeś było nieprofesjonalne i prawdopodobnie nielegalne. Gdybyś spojrzał na ich publiczną stronę internetową lub mieli całkowicie otwartą sieć (bez hasła), byłbyś na twardszym gruncie.

Nie byłeś wtedy zatrudniony, a w rzeczywistości atakowałeś ich sieć szukając luk. Jako profesjonalista powinieneś wiedzieć, że nie powinieneś tego robić bez uprzedniej zgody i zbadania możliwych konsekwencji. Jest trochę związane z tym pytanie na stosie bezpieczeństwa – pytanie, czy firma zajmująca się testami piórkowymi powinna podpisać umowę obiecującą brak negatywnych konsekwencji testu i pokrycie wszelkich szkód, które zostały naprawione. Przyjęta odpowiedź brzmi: “Przewróciłem systemy za pomocą skanowania portów”. Nie można wiedzieć, co zrobi czyjś kod, a tym samym jakie mogą być negatywne konsekwencje ingerencji w niego. Narażasz ich organizację na niebezpieczeństwo, bez ostrzeżenia, zgody i uzasadnienia.

Używanie ich systemu w sposób, w jaki ma być używany i widzenie, co się dzieje, jest uzasadnione, niestandardowe użycie nie jest. Obejmuje to również próbę odgadnięcia nazwy użytkownika/hasła - standardowym zastosowaniem jest MIEĆ nazwę użytkownika i hasło, a nie próbować ich znaleźć.

Wszystkie odpowiedzi są słuszne IMHO, zarówno te, które zachęcają do zachowania, jak i te, które je zniechęcają, ale brakuje mi czegoś ważnego: faktu, że wywiad był z różnymi ludźmi, którzy mają różne cele.

Szef IT chce kogoś, kto potrafi myśleć nieszablonowo, kogoś, kto potrafi podjąć inicjatywę i łatwo zidentyfikować wszelkie niedociągnięcia, które mogą się pojawić. Oczywiście interesuje go taki profil.

Szef HR chce chronić firmę przed pracownikami. To jest właśnie ta praca. Identyfikuje wszelkie szkody, jakie pracownik może wyrządzić i chroni przed nimi firmę. W większości przypadków dzieje się to raczej na poziomie prawnym lub relacyjnym, ale jeśli szef działu kadr uzna, że istnieje potencjalny pracownik, który mógłby być na tyle sprytny, by ominąć standardowe zabezpieczenia, poza audytem kontrolowanym przez mosiądz, wtedy zrobi to, za co mu zapłacono: ochroni firmę przed (jeszcze nie) pracownikiem.

Stąd różnorodność odpowiedzi. Gdyby rozmawiali Państwo tylko z szefem działu IT, wówczas (niezależnie od kwestii prawnych) Państwa zachowanie byłoby sprytne. To właśnie jest to, czego on potrzebuje. Ale ponieważ dział HR był obecny, powinieneś był wziąć pod uwagę jego rolę: zachować naturalny porządek i hierarchię korporacji.

Bądź świadomy, że większość korporacji będzie więcej niż chętna do utraty pewnej wydajności, aby uzyskać większą kontrolę nad swoimi pracownikami. Jeśli szukasz pracy w środowisku korporacyjnym, powinieneś przynajmniej udawać, że przestrzegasz zasad przed tymi, którym płaci się za ich egzekwowanie. I staraj się je rzeczywiście respektować, o ile nie przeszkadza ci to oczywiście w wykonywaniu pracy. A pierwsza zasada to: nie wyglądaj na niekontrolowanego. W świecie korporacyjnym menedżerowie mają władzę i postrzegają zarządzanie jako naukę o kontroli (czy jest słuszne, czy dobre, to kolejna debata, której nie otworzę).

Pułapką jest to, że musiałeś sformatować swoje wystąpienie do dwóch różnych odbiorców o przeciwnych potrzebach i oczekiwaniach. Postaraj się myśleć o obu następnym razem.

Jeśli chodzi o informacje lub pomysły, które posiadamy, podczas gdy dla niektórych może to wydawać się sprzeczne z intuicją, nie jest optymalne, aby powiedzieć wszystkim wszystko. Zajęło mi to więcej czasu niż przyznanie się do pełnej internacjonalizacji, że po prostu nie mogę nic powiedzieć i zachować to dla siebie.

HR nigdy nie weźmie czegoś takiego w inny sposób niż to, co opisujesz. Każdy, kto nie rozumie NetSec, prawdopodobnie potraktuje Ciebie i Twój komentarz z dużą dozą podejrzliwości. Interakcje zarówno publiczne, jak i ze sceny i ekranu powinny zilustrować prawdę, istnieje cała kategoria tropów związanych z “specjalistą o dobrych intencjach próbuje zaalarmować ludzi, którzy nie rozumieją potencjalnego zagrożenia”, którzy w końcu zostają ukarani przez niemytych pogan, którym próbowali pomóc.

Zachowaj to dla siebie.

Powiedziałeś, że mogłeś potencjalnie wspomnieć o czymś stycznym i skierować rozmowę na miejsce, gdzie wysoko zredagowana wersja Twojego komentarza może być postrzegana jako bardziej organiczna.

Prawdziwa historia: Pracowałem kiedyś w miejscu, w którym facet znalazł lukę w firmowym blogu intranetowym. Kiedy był w domu, pisał na blogu z zewnątrz sieci, wykorzystując lukę. Następnie, gdy przyszedł następnego dnia, wysłał swoje genialne znalezisko i dowód, że jest to możliwe do IT. Natychmiast otrzymał status bohatera oraz ogromny bonus, podwyżkę i awans. Żartuję, natychmiast został zwolniony.

Możesz zignorować każde słowo tej odpowiedzi, jeśli chcesz zapamiętać tę pięciosłowną frazę: “Bycie prawym rzadko cokolwiek zmienia. ”

Spróbuję dodać kolejną perspektywę.

Czy miałem rację mówiąc im, że to zrobiłem?

Istnieją kraje, w których połączenie i skanowanie sieci jest nielegalne na początku. Wyobraź sobie, że znalazłeś port LAN w lokalu i użyłeś kabla ethernetowego, aby połączyć się z ich siecią.

Możliwe, że HR o tym wie, ponieważ są one bardziej świadome związanych z tym praw.

Do obowiązków HR należy zarządzanie takimi zobowiązaniami prawnymi dla firmy. Możliwe, że właśnie dlatego wydawali się mniej entuzjastyczni.

Z perspektywy kogoś, kto zarządza bezpieczeństwem informacji: to, co zrobiłeś, nie było mądre.

Czy to było po to, aby pokazać, że jesteś ekspertem w dziedzinie bezpieczeństwa? W takim przypadku, jeśli po prostu pokażesz, że możesz

• połączyć się z otwartym WiFi
• że niektóre z ich maszyn były w tej sieci

Jeśli oznaczysz to jako problem bezpieczeństwa to, przepraszam, nie wiesz zbyt wiele o bezpieczeństwie. Ten menedżer IT również nie wie. Prawdopodobnie pewnego dnia to wybuchnie.

Więc ten ruch nie był dobry.

Może to było pokazanie proaktywności? Cóż, w takim razie naprawdę nie powinieneś pracować w dziedzinie bezpieczeństwa, bo zrobienie takich rzeczy zaszkodzi twojej firmie. Istnieją zasady zaangażowania w bezpieczeństwo i oczekuje się, że pracownik będzie ich przestrzegał. Nie jesteś hakerem, nie jesteś łowcą nagród. Nie wolno ci robić takich rzeczy.

Jakkolwiek na to nie spojrzeć, to było głupie posunięcie, jeśli chciałeś zostać zatrudniony.

Więc, zobaczmy. Z mojego punktu widzenia ty:

1. Odkryłeś otwartą sieć; (OK)
2. Podłączony do niej; (OK)
3. Odkrył, że potrzebuje userid/hasło; (OK)
4. przesłuchiwane urządzenia wokół Ciebie w widocznej próbie włamania; (NIE OK)
5. chwalił się tym (STUPID!)

Teraz, omówmy Twoje pytania indywidualnie:

1. Czy miałem rację mówiąc im, że to zrobiłem? Nie, jeśli miałeś ochotę pracować dla tej firmy. Zauważ również, że większość firm, dla których pracowałem, wyświetla ostrzeżenie po połączeniu lub zalogowaniu się, które mówi coś w rodzaju “Nieautoryzowany dostęp jest niedozwolony”. Skontaktujemy się z władzami i będziemy cię ścigać, jeśli spróbujesz". Zwróć również uwagę, że niewiedza nie jest wymówką.

2. Zabiłam z nimi swoje szanse? Gdybym był kierownikiem ds. rekrutacji, nie dotykałbym cię 10-metrowym kijem. Jesteś uznanym hakerem, dumnym z tego, i czeka na ciebie incydent bezpieczeństwa.

3. Czy powinienem zrobić to ponownie z innymi ofertami pracy (jeśli coś zostanie odkryte przez przypadek)? To zależy. Chcesz dostać pracę, czy chcesz się popisać? Jeśli ta pierwsza, nie rób tego nigdy więcej. Jeśli ten drugi - cóż, to jest twoje życie, kolego…

4. Jak mogę zyskać przewagę w rozmowie kwalifikacyjnej z tego typu informacjami? Nie możesz. Wszystko, co możesz zrobić, to zdenerwować ludzi, a ludzie, którzy są zdenerwowani tym, co zrobiłeś, możesz zrobić, lub może zrobić, nie zatrudnią cię. Spójrz na wiadomości - co kilka tygodni inna firma zostaje zhakowana, karty kredytowe i inne dane osobowe zostają skradzione, a oni wyglądają jak idioci, i ich klienci mogą się odwrócić i pozwać ich. Jako ktoś, kto pracuje w dziale IT dużego detalisty, mogę powiedzieć, że jest to jedna z rzeczy, które martwią ludzi takich jak ja. Jeśli uważamy, że nawet _możesz być problemem, nie zostaniesz zatrudniony. Koniec historii.

Powodzenia.

Jeśli chodzi o Twoje szanse, to zależą one w dużej mierze od uprawnień kierownika działu IT i kierownika działu kadr. Zależy to również od sposobu, w jaki je przedstawisz. Jeśli było to “Widziałem kilka komputerów z XYZ - niezależnie od tego, jak się nazywały - podłączonych do niezabezpieczonej sieci”, było to bardziej obrazą dla tego, kto zezwolił właścicielom na podłączenie się do sieci. Jeśli było to “Widziałem pański komputer, panie Averagejoe, podłączony do niezabezpieczonej sieci” było to bezpośrednią obrazą dla pana Averagejoe.

Jeśli ma pan zamiar być facetem od bezpieczeństwa, paranoja nie jest obowiązkowa, ale pomaga. Twoje sprawdzenie kto jest z tobą (w otwartej sieci) wyraźnie pokazuje twój stosunek do twojej możliwej pozycji. Dlatego kierownik działu IT był pod wrażeniem.

Z drugiej strony Twoja prezentacja Twoich ustaleń była dość niegrzeczna. Dlatego właśnie kierownik działu kadr wspiera Cię i przeciwstawia się Tobie.

Może rozlałeś olej w otwartej walce pomiędzy informatykami pchającymi kwestie bezpieczeństwa do zatrzymania, a pozostałymi z postawą “O czym do cholery mówią dziwaki?” Coś w stylu rozmowy Mossa o nie wyłączaniu firewalla w IT Crowd S2E1.

Następnym razem zrób to sprawdzenie najlepiej, gdy zapytasz w wywiadzie. Jeśli nie możesz się oprzeć, trzymaj wyniki do momentu, w którym piwowary są poza zasięgiem wokalnym i rozmawiasz tylko z personelem IT.

Dit zal je kansen schaden ** omdat je hebt laten zien dat je het concept van _gebied van verantwoordelijkheid niet begrijpt. _** U:

• heeft niet uitgelegd hoe u daartoe bevoegd was (ongeacht welke wetten er gelden: je moet het overtuigen, niet de rechter) en de impact van je acties in niet-technische termen

• begon hen te vertellen (in tegenstelling tot alleen maar te suggereren) hoe ze de dingen moeten doen zonder de verantwoordelijke voor die dingen of een gecontracteerde consultant

• in gevestigde omgevingen heeft elk gebied en elke taak een persoon die er verantwoordelijk voor is (vrijwel altijd, een enkele persoon; groepsbeslissingen zijn meestal alleen gerechtvaardigd voor complexe, strategische zaken in plaats van alledaagse taken). Die persoon is de enige die beslissingen kan nemen op dat gebied. Dit is om ervoor te zorgen dat ze het hele plaatje hebben en dat er een uniforme visie op wordt toegepast.

• Als je niet die persoon bent en een probleem ziet, is het je taak om het aan hen te rapporteren en aan hen over te laten als er iets aan gedaan moet worden.

• Zelfs als je weet dat dit een probleem is, heb je niet het hele plaatje om alle voors en tegens te kunnen afwegen, en draag je niet de verantwoordelijkheid voor je acties. Zoals anderen al hebben gezegd, is veiligheid een oefening in risicomanagement: iets is alleen de moeite waard om te doen als het minder kostbaar is dan om het niet te doen.

• (Anticiperen op opmerkingen van zogenaamde rebellen:) Over hun hoofd gaan is mogelijk en kan soms de manier zijn om iets gedaan te krijgen, maar het is serieus en riskant omdat je op de een of andere manier de hoger opgeleiden moet overtuigen om de nogal zware kosten te maken van het in vraag stellen van de competentie van een belangrijke ondergeschikte (het doen van een onafhankelijke beoordeling van hun vaardigheden en werk is tijd, geld en blijvende ontevredenheid van die persoon, ongeacht de methode en het resultaat).

• Wat je hen vertelde over de scan klonk in principe voor een niet-technisch persoon: “Ik heb uw netwerk doorbroken en mogelijk uw bedrijf verstoord – alleen maar omdat ik er zin in had”.

• Dit is wat een defensieve reactie uitlokte. “Nee, ons bedrijf is zeker goed genoeg beschermd als we nog steeds in bedrijf zijn, en je zou het zeker niet zo gemakkelijk kunnen doorbreken! Wat je beweert kan niet waar zijn en is gewoon laster (‘want dit zou onze reputatie schaden als anderen het geloven (ongeacht of het waar is), dus daar zijn we zeker niet vriendelijk voor)”

• En een persoon met zo'n mentaliteit is zeker niet iemand die hij of zij binnen een straal van een mijl van zijn of haar kritische infrastructuur wil zien.

• Dat is natuurlijk niet wat je hebt gedaan. Maar je hebt gefaald om dat over te brengen op een manier die zij kunnen begrijpen.

• Je had dit zoiets moeten zeggen: “Toen ik in de lobby stond te wachten, zag ik een open wifi-netwerk met de naam van je bedrijf. Aangezien mijn werk ook informatiebeveiliging zal omvatten, heb ik de gelegenheid te baat genomen om een idee te krijgen van uw huidige praktijken. Ik heb dit en dit opgemerkt, wat een mogelijke kwetsbaarheid is, al hangt het ervan af. "1 Als ze er nog steeds doodsbang uitzien, voeg dan iets toe als: "Ik kan met vertrouwen zeggen (en je collega’s zouden dat bevestigen) dat dit absoluut niets kan verstoren met een stabiliteit van, zoals, een voorraad Windows installatie”

• Dit zou aantonen dat je geautoriseerd bent om dat te doen omdat goede kandidaten verondersteld worden en verwacht worden om proactief te zijn in het onderzoeken van het bedrijf; je hebt de risico’s afgewogen en een weloverwogen beslissing genomen; en je suggereert alleen maar dat dit een probleem zou kunnen zijn in plaats van ronduit te zeggen dat je niet degene bent die verantwoordelijk is en dus niet over de volledige informatie beschikt om zulke categorische uitspraken te kunnen doen.

1 op het bereik van het netwerk, hoe lang en hoe vaak machines er op blijven staan, wat voor informatie en/of functionaliteit ze bevatten en hoe goed ze beveiligd zijn.