Pytanie:
Czy przed rozmową kwalifikacyjną można przeprowadzić test bezpieczeństwa na otwartym Wi-Fi firmy?
workoverflow
2018-05-20 17:11:23 UTC
view on stackexchange narkive permalink

Zaproszono mnie na rozmowę kwalifikacyjną na stanowisko IT w organizacji o nazwie XYZ.

Czekając w holu, znalazłem otwartą sieć WiFi o nazwie XYZ. Połączyłem się z nim i powitano mnie stroną internetową z prośbą o podanie nazwy użytkownika i hasła. Przeprowadziłem skanowanie podłączonych urządzeń za pomocą Fing (aplikacji na Androida) i odkryłem, że są laptopy o nazwach XYZ-HR-1 i XYZ-FN-1.

W wywiadzie powiedziałem że ponieważ moje stanowisko wiąże się z pewnymi aspektami bezpieczeństwa, odkryłem, że otwarta sieć jest luką w zabezpieczeniach ich sieci.

Kierownik działu IT był pod wrażeniem, ale przedstawiciel HR nie, i działał defensywnie i powiedział, że ja nie jestem jeszcze zatrudniony do sprawdzenia bezpieczeństwa ich sieci. Powiedziałem im, że to poważny problem i nie powinienem czekać, aż ja lub ktokolwiek inny zostanie zatrudniony.

Czy miałem rację, mówiąc im, że to zrobiłem? Czy zabiłem z nimi swoje szanse? Czy powinienem to powtórzyć z innymi ofertami pracy (jeśli coś zostanie odkryte przez przypadek)? Jak mogę uzyskać przewagę w wywiadzie dzięki tego rodzaju informacjom?

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/77781/discussion-on-question-by-workoverflow-checked-out-the-company-open-wifi-before).
Kiedy pytasz, czy jest to do przyjęcia, czy masz na myśli, czy zwiększa to Twoje szanse na zdobycie pracy, czy jest legalne?
Siedemnaście odpowiedzi:
#1
+296
Sascha
2018-05-20 19:17:21 UTC
view on stackexchange narkive permalink

Taki wyczyn - w większości środowisk - byłby rajem dla HR. Powód jest bardzo prosty: wiedziałeś, co robisz, i nie jesteś odpowiedzialny za wykonanie testu.

Jeśli zdarzyło Ci się natknąć na problem w a „Udziały pojawiły się w eksploratorze Windows” w taki sposób, że prawdopodobnie byłoby w porządku. Jednak specjalista ds. Bezpieczeństwa musi wiedzieć, że uruchomienie skanera sieciowego w sieci, w przypadku gdy administrator sieci nie wyraził na to zgody, należy zdecydowanie do kategorii „niemiłe” lub „wrogie”. Może to również powodować realne koszty, np. gdy wywołasz fałszywy alarm. Kiedyś zmarnowałem kilka godzin, próbując znaleźć źródło skanu, który jakiś śmieć z innego działu przeprowadził bez naszej zgody (lub kogokolwiek innego w sieci wewnętrznej).

W zależności od okoliczności można również wyobrazić sobie, że sieć nie jest widoczna, dopóki nie znajdziesz się na terenie firmy. Kiedyś pracowałem w witrynie na tyle dużej, że nie widać sygnału wifi z zewnątrz (bez specjalnych środków). W takim przypadku doszłoby nawet do nadużycia zaufania. (Wiem, że nadal nie jest dobrym pomysłem prowadzenie otwartego Wi-Fi, wiesz, informatycy wiedzą, ale nie wiem, czy kierownictwo i HR wiedzą lub chcą usłyszeć).

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/77856/discussion-on-answer-by-sascha-is-it-acceptable-to-do-a-security-test-on-a-compa).
OP nie wspomina, w jakim kraju to było, ale w USA należy być bardzo ostrożnym.Nawet zwykły skan Fing * mógłby * zostać uznany za naruszenie ustawy Computer Fraud and Abuse Act (CFAA) oraz bezprawny dostęp do systemu komputerowego.Zobacz pierwszy wiersz opisu Wikipedii https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act „Prawo zabrania dostępu do komputera bez autoryzacji lub z przekroczeniem autoryzacji”
@Gabe Sechan: Nie. Postawa „wszystko, co nie jest skutecznie zabezpieczone, jest uczciwą grą” jest charakterystyczną oznaką tego rodzaju idealistów bezpieczeństwa, którzy spędzą godziny na ulepszaniu zamka, pozostawiając zepsute zawiasy, lub kogoś, kto * ma nonszalanckie podejście dowłasność tych, od których należy szczególnie oczekiwać, że będą im ufać * - co nie jest dobre.Jako informatyk, jeśli jestem zaangażowany w decyzję o zatrudnieniu, * w najlepszym przypadku * zadałbym znacznie więcej pytań przed oddaniem głosu.
@rackandboneman, zatrudnilibyśmy go w każdej firmie, w której pracowałem podczas mojej 17-letniej kariery, z wyjątkiem może HP.Wolałbym mieć aktywne niż pasywne.Myślę, że pracowałeś w okropnych miejscach.Próbowałbym na to odpowiedzieć, byłby osobą niezatrudnioną, ale powiedzenie nam o tym wyniesie go ponad stado
Głupio arogancko jest po prostu * zakładać *, że otwarta sieć jest w ogóle problemem.Jest całkowicie możliwe, że sieć i XYZ-HR-1 i XYZ-FN-1 są skonfigurowane dokładnie tak, jak powinny.
#2
+219
Kate Gregory
2018-05-20 17:58:33 UTC
view on stackexchange narkive permalink

Wyobraź sobie, że zaprosiłem cię do mojego domu na bar na podwórku, be que, a ty przyjechałeś i kiedy byliśmy w kuchni, powiedziałem

Wpadłem wczoraj, kiedy byłeś w pracy. To ogrodzenie nikogo nie powstrzymuje. Zauważyłem, że twoja huśtawka nie jest odpowiednio zakotwiczona w ziemi - może to być niebezpieczne, jeśli większe dzieci huśtają się naprawdę mocno. Poza tym odstępy między szynami na pokładzie są zbyt szerokie, w dzisiejszych czasach kod określa X cali i masz Y.

Stałbym tam z otwartymi ustami i wpatrując się w twoją niegrzeczność. Nikt cię nie pytał, nie sprawdzałeś, czy jest ok, po prostu wtrącałeś się i teraz krytykujesz. Jasne, bezpieczeństwo dzieci na huśtawkach i na tylnym pokładzie jest naprawdę ważne. Ale takie są też zasady grzecznego społeczeństwa. Lepszy gość nie wkroczyłby na podwórko bez zgody i nie wyrzuciłby raportu z inspekcji na początku rozmowy. Zamiast tego gość czekał, aż dotarł na podwórko ze szklanką lemoniady, a potem mówił

Oooo, huśtawka. Wiem o tym trochę. Czy jest prawidłowo zakotwiczony? Mogę to sprawdzić?

i

Wiesz, że w dzisiejszych czasach relingi na pokładzie powinny mieć Y cali ... Wygląda na to, że Twoje mogą być starsze .. . Mogę chwycić miarkę i potwierdzić, jeśli chcesz?

Teraz pokazujesz swoją głęboką wiedzę na temat bezpieczeństwa na podwórku i posiadasz narzędzia, ale nikogo nie krzywdzisz.

Teraz celem tej metafory / analogii nie jest perfekcyjne dopasowanie do aktu sprawdzania otwartego Wi-Fi i odkrywania niektórych nazw maszyn. Ma na celu pokazanie reakcji emocjonalnej , jaką to zachowanie może wywołać. Zaprosili cię do swoich biur na rozmowę. Zrobiłeś coś, co wykracza poza normę rozmowy kwalifikacyjnej, bez pozwolenia lub zaproszenia, kiedy nie było ich tam, żeby cię zobaczyć. I skrytykowałeś ich działania w tym samym akapicie, w którym powiedziałeś im, co zrobiłeś. Przynajmniej jeden z nich był zszokowany i zdenerwowany. Powyższy eksperyment myślowy ma doprowadzić cię do zrozumienia uczucia wstrząsu i zdenerwowania.

Aby zostawić metaforę / analogię za sobą, jak mogłeś sobie z tym poradzić lepiej? Zamiast wyrzucać wyniki na początku wywiadu, mógłbyś zaczekać do omówienia aspektu bezpieczeństwa, a następnie powiedzieć „wiele dobrych firm nie ma pojęcia, że ​​ich sieci są podatne na niektóre nowsze ataki. Mogę poświęcić 5 minut zeskanuj Wi-Fi gościa, jeśli chcesz ”. Mógłbyś oczywiście złożyć tę ofertę z pewnością, ponieważ zrobiłeś to już w lobby :-). Teraz pokazujesz swoje umiejętności i narzędzia we właściwym kontekście i za zgodą. Ustawiłeś ich nawet z zachowaniem twarzy, że to nie znaczy, że są idiotami, jeśli coś znajdziesz. Kiedy ją znajdziesz, możesz im powiedzieć, że wiesz, jak to zmienić, aby luka została zamknięta. Teraz chcą cię zatrudnić zamiast czuć się urażeni.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/77829/discussion-on-answer-by-kate-gregory-did-a-security-test-on-the-companys-open-w).
** Nie zgadzam się. ** Właściwą analogią byłoby zaproszenie kogoś do sprawdzenia Twojego domu pod kątem problemów (takich jak te, o których wspomniałeś), ale zanim poznasz gościa lub będziesz miał okazję porozmawiać o pracy, gość już wszystko sprawdziłwięcej niż się spodziewałeś.OP nie został zaproszony na pogawędkę, został zaproszony na _job_.
Najbardziej podoba mi się ta odpowiedź, ponieważ podstawową wadą jest robienie tego bez pozwolenia.„Masz coś przeciwko, jeśli połączę się z otwartym Wi-Fi?”„Uważaj, jeśli poszukam i pokażę ci, co mogę znaleźć?”.Zrób to, zanim się popisujesz, a jest to znacznie mniej wrogie.Ponadto twierdzenie, że jest to błąd w zabezpieczeniach, gdy tak naprawdę nie wiesz, co jest zabezpieczone, jest błędem początkującym, tak wielkim jak twierdzenie, że moje ogrodzenie przy ogrodzie nie zabezpiecza mojego trawnika przed domem.
__Wybierz to na czat .__ Zostawiłem po jednym komentarzu z każdej „strony” w tym argumencie (w oparciu o głosy i wygodę, ponieważ nie będę ponownie przekopywać się przez to wszystko), jako wskaźnik dłuższej dyskusji, która została _ przeniesiona doczatuj tam, gdzie należy_.Dalsza dyskusja zostanie tymczasowo usunięta.
#3
+77
Joe Strazzere
2018-05-20 17:18:42 UTC
view on stackexchange narkive permalink

Powiedziałem im, że to poważny problem i nie powinienem czekać, aż ja lub ktokolwiek inny zostanie zatrudniony.

Czy miałem rację, mówiąc im, że to zrobiłem?

Wykłady dla ankieterów rzadko są dobrym sposobem na znalezienie pracy.

Czy zabiłem z nimi swoje szanse?

Nie ma sposób, aby poznać odpowiedź, chyba że skontaktujesz się z nimi bezpośrednio.

Czy powinienem zrobić to ponownie z innymi ofertami pracy (jeśli coś odkryto przypadkowo)?

Poczekaj, aż Twoja ocena zostanie specjalnie zamówiona lub do momentu zatrudnienia.

Chciałem sprawdzić, „wykład na rozmowie kwalifikacyjnej rzadko jest dobrym sposobem na znalezienie pracy”… czy to sarkazm czy literówka?Może wyjaśnienie byłoby jaśniejsze?Nie sądzę, żeby ankieterzy lubili, gdy ktoś ich pouczał ...
@KevinXu Rzadko znaczy rzadko, tak by Zdanie mogło powiedzieć: „Prowadzenie wykładu z osobą prowadzącą rozmowę kwalifikacyjną jest ** rzadko ** dobrym sposobem na znalezienie pracy”.Chociaż jest to dziwne sformułowanie, nadal można powiedzieć, że wykładowcy nie polubią wykładu.
W każdym razie jego lekki sarkazm.Prowadzenie wykładu na ankiecie prawie zawsze powoduje odrzucenie z pracy.
@ShawnV.Wilson - Wykład prowadzący wywiad może (rzadko) przynosić pozytywne punkty, jeśli wykład jest poprawny w każdym punkcie i bardzo odpowiedni w kontekście;oraz czy osoba przeprowadzająca rozmowę kwalifikacyjna ma czas i doskonałe zasoby, aby móc zweryfikować i docenić zaistniałe fakty po rozmowie, zanim podzieli się wewnętrzną oceną kandydata.Oceniane będą również umiejętności komunikacyjne, w tym grzeczność.- Uczył mnie niemal niegrzecznie, będzie miał tendencję do wykładania wszystkim kolegom i klientom. Czy będę w stanie kontrolować to ryzyko?
@JirkaHanika Dokładnie tak.Dlatego powiedziałem „prawie”.
#4
+62
Charles E. Grant
2018-05-21 00:09:39 UTC
view on stackexchange narkive permalink

Przeprowadzenie skanowania ich sieci było bardzo nierozsądne, aw niektórych lokalizacjach mogło Cię zarzucić popełnienie przestępstwa.

Możesz poczytać o przypadku Randalla Schwarza, znanego autora technologii. W latach 90-tych był administratorem systemu kontraktowego w grupie superkomputerów w firmie Intel. Martwił się o bezpieczeństwo w grupie, więc uruchomił narzędzie do łamania haseł na niektórych kontach swojego kolegi. Chociaż był wykonawcą Intela, testy bezpieczeństwa i penetracji nie należały oficjalnie do jego obowiązków i ostatecznie został skazany za dwa przestępstwa za swoją działalność. Wielu uważało wyroki za niesprawiedliwość, aw 2007 r. Zostały one przypieczętowane. Niezależnie od tego, pokazuje rodzaj głębokiej wody, w której możesz się znaleźć, kiedy zdecydujesz się pomóc z lukami w zabezpieczeniach, bez faktycznego poproszenia o to.

Historia Schwarza to coś więcej niż opisana na Wikipedii.Zobacz https://www.nytimes.com/1995/11/27/business/technology-net-intel-computer-security-expert-runs-afoul-law-so-much-for-hacker.html
* uruchomiłem narzędzie do łamania haseł * Chociaż trochę współczuję Schwarzowi, nie ma porównania z uruchomieniem narzędzia do łamania haseł (inwazyjnego i głupiego bez autoryzacji) i skanowaniem otwartej sieci, ponieważ (niespodzianka) jedynym celem pozostawienia otwartej sieci jest umożliwienieludzie to skanują.
@StephenG Tak, jest to mniej więcej ten sam poziom inwazyjności i głupoty.
@StephenG jedynym celem pozostawienia otwartej sieci, której możesz być pewien, jest umożliwienie * jej docelowym użytkownikom połączenia się z nią *.To * może * być spowodowane tym, że każdy członek społeczeństwa jest zaproszony do połączenia się z nią, ale samo dostarczenie sieci * nie * jest wyraźnym zaproszeniem.Nie łączyć się, a już na pewno nie wykorzystywać sieci w każdym możliwym celu.To od operatora sieci zależy, jak skutecznie będą one zapobiegać niepożądanemu użyciu sieci.Korzystanie z sieci w sposób, którego nie można rozsądnie założyć, że właściciel sieci zaprosił, nadal przekracza granicę etyczną.
@StephenG Więc pozostawienie otwartego Wi-Fi jest czymś zupełnie innym niż pozostawienie otwartego ekranu logowania, ponieważ…?W obu przypadkach istnieją do tego uzasadnione przypadki użycia, aw obu przypadkach zostały one użyte do czegoś, co wyraźnie nie było zamierzone przez twórcę.To jest 101 testów za pomocą pióra.Albo każdy, kto się temu sprzeciwił, nigdy nie brał udziału w kursach na ten temat, albo niektóre uniwersytety wyrządzają * poważną * krzywdę swoim studentom, nie przechodząc przez podstawowe wymogi etyczne i prawne dotyczące pentestingu.
Pamiętam, że w liceum kolega z klasy złamał łatwe do odgadnięcia hasło do komputera nauczyciela i uzyskał dostęp do wrażliwego programu Excel zawierającego wszystkie oceny ucznia.Powiedział jej i został zawieszony na tydzień, ponieważ chociaż miał dobre intencje, nie miała możliwości dowiedzenia się, czy cokolwiek zmodyfikował.To trochę tak, jakby powiedzieć przyjacielowi, że ma słabe drzwi i powinien użyć 2-calowej śruby do drzwi, kopiąc jego tylne drzwi, aby mu pokazać.Czy to ma sens?Tak, ale teraz popełniłeś przestępstwo.
@Will `To od operatora sieci zależy, jak solidnie zapobiegną one niechcianym korzystaniom z sieci .` Czy nie oznacza to, że nie chcieli zapobiegać skanowaniu sieci, jeśli zdecydowali się temu nie zapobiegać?
@Dan Odgadnięcie trywialnego hasła chroniącego coś bezpiecznego to: „Podszedłem do twoich drzwi i nacisnąłem przycisk„ szybkiego zamka ”na drzwiach. Został odblokowany. Zamontowałeś mechanizm blokujący do góry nogami, a teraz ma szybkie odblokowanie zamiast szybkiego-lock. Powinieneś to naprawić. "Nic w tym, co zrobiłeś, nie ułatwiło wykorzystania drzwi ani nie uszkodziło;uświadomił osobie szkody * już wyrządzone * przez źle zamontowany zamek.I tak, osoba w domu nie ma pojęcia, czy osoba zauważająca problem weszła do domu i ukradła coś w tym przypadku.
@Flater tylko dlatego, że ktoś „nie chce zapobiegać” czemuś, nie oznacza, że dopuszczalne jest zrobienie czegoś, czemu się nie zapobiega.Hotel mógłby eskortować wszystkich gości do swoich pokoi, gdyby „chcieli uniemożliwić” niedoszłym pentestrom chodzenie po korytarzu przy każdej klamce, ale nadal nie odzyskasz depozytu, jeśli spróbujesz tych bzdur w moim hotelu.
W większości części Stanów Zjednoczonych „dostęp” do jakiejkolwiek sieci w celu „nieautoryzowanego” użycia jest nielegalny.Większość sądów interpretuje to jako oznaczające, że albo sieć reklamuje się jako otwarta dla wszystkich użytkowników, albo wymagane jest zezwolenie nieelektroniczne.Ludzie zostali skazani za korzystanie z otwartego WiFi restauracji z samochodów na parkingu, ponieważ tylko osoby * wewnątrz * restauracji były uznawane za autoryzowanych użytkowników.
@Jeffiekins, skąd w ogóle masz wiedzieć, że nie jesteś upoważniony?
@Yakk ma rację.Uruchomienie narzędzia do łamania haseł to * dobry * pomysł.Każdy powinien to robić okazjonalnie, w swojej sieci i innych ”.Ukaranie tego to straszny pomysł.Feynman śmiał się już z tego, że ludzie boją się posłańca zamiast luk w zabezpieczeniach.To jest całkowicie głupie.
@njzk2 Zgodnie z prawem właściciel sieci ma dużą swobodę w określaniu, kto jest „upoważniony” do korzystania z jego sieci i w jakim celu.Wiele sądów zakłada, że jeśli nie jesteś „upoważniony” w wyniku jakiegoś pozytywnego działania (na przykład znaku na ścianie), * nie jesteś upoważniony *.Domyślam się, że wywołanie WiFi jako „Gość” lub „Publiczny” w identyfikatorze SID * może * zostać uznane za autoryzację do korzystania z sieci do przeglądania stron internetowych, ale większość sądów prawdopodobnie ** nie ** rozszerzy „autoryzowanego użycia” na skanowaniesieć w każdym przypadku.Zgodnie z zasadą amerykańskiego prawa nieznajomość prawa nie jest wymówką.
#5
+36
Issel
2018-05-20 21:26:56 UTC
view on stackexchange narkive permalink

W przypadku większości odpowiedzi przyjmuję inny punkt widzenia. Pozostałe odpowiedzi są poprawne, ze ściśle korporacyjnego punktu widzenia jesteś w błędzie. Jednak myślę, że zrobiłeś to, co zrobiłeś, ponieważ jesteś pewny swoich umiejętności i szukasz problemów do naprawienia, które są świetnymi cechami, ale nie pasują do każdej kultury korporacyjnej.

Tam będzie kilka miejsc, w których będzie to w porządku, ale taka passa niezależności jest również świetna dla przedsiębiorczości. Możesz być dobrze przygotowany do założenia własnej firmy.

Więc powiedziałbym, że masz 3 opcje: 1. Staraj się bardziej dostosować do kultury korporacyjnej, 2. Nie dostosowuj się, ale zaryzykuj praca, 3. Idź ścieżką małej firmy.

jednak większość firm nadal ma klientów, a firmy prawdopodobnie nie będą przychylnie traktować tego typu rzeczy tak samo dobrze od konsultanta, jak od potencjalnego pracownika
Oto typowy sposób myślenia korporacji: martwisz się, jak to wygląda, a nie faktem, że te komputery były prawdziwym obciążeniem dla klientów.Dlatego duże korporacje nieustannie ujawniają informacje o klientach.Z drugiej strony, rozwiązanie problemu to rodzaj wielkiej pracy, którą oferują małe firmy i która zapewnia im sukces.
Myślę, że wiele start-upów zatrudniłoby cię na miejscu.Z drugiej strony prawdopodobnie nie mieliby wielu pracowników, których mogliby węszyć
Powiedział inaczej: to, co dobre pod względem umiejętności, jest złe w korporacyjnym ujęciu.Odwieczny kulturowy problem IT w świecie korporacji.To, co sprawia, że jesteś dobry w pracy, oznacza, że nie pasujesz do środowiska, a to, co sprawia, że jesteś przystosowany do środowiska, powoduje, że jesteś zły na tym stanowisku.
Wiesz, niektórzy ludzie z branży IT mają dość socjalne umiejętności, by robić to, co musimy, bez niepotrzebnego wkurzania ludzi.
Adonalsium - Ale ci ludzie już mają pracę.Próbował udowodnić, że ma umiejętności techniczne wykraczające poza to, czego szukali, a to będzie miało wielką wartość dla firmy.Jak by to zrobił, jeśli nie wspomniał o tym?Poza tym nie powinni być szaleni, powinni się wstydzić, że zostawili luki otwarte w ten sposób.
@Issel Mógł to zrobić na jeden ze sposobów zalecanych przez innych.Dzieciom świeżo po koleżance zawsze wydaje się, że jedyną ważną rzeczą są umiejętności techniczne, a dobre umiejętności społeczne są poniżej nich.W rzeczywistości nie ma znaczenia, jak mądry jesteś, jeśli nie potrafisz dobrze współpracować z innymi.
4. Rób to dalej i zostań zatrudniony przez firmę, która toleruje i wspiera indywidualizm kandydata.Myślę, że w takim przypadku może po prostu znaleźć bardziej satysfakcjonującą pracę.
@Issel A może martwią się o jedno i drugie.Wiem, że byłbym.Gdybym uczestniczył w tym wywiadzie, zrobiłbym dwie rzeczy: 1) Upewnij się, że otwarta sieć zostanie zamknięta lub zabezpieczona.2) Upewnij się, że ten facet nie jest zatrudniony.Jeśli nie ma prawa nie wykonywać skanów sieci w czyjejś sieci bez pozwolenia _ czekając na rozmowę z tą firmą_, co u licha zamierza zrobić bez pozwolenia, gdy zostanie zatrudniony ?!Jeśli to jest stanowisko IT, czy zamierza przetestować konto e-mail prezesa bez pozwolenia?Może spear phish dyrektora lub, co gorsza, klienta?
Bezpieczeństwo, nawet w świetle najnowszych trendów, takich jak RODO, prawie nigdy nie jest SOBIE KONIECEM w biznesowym IT.To narzędzie do zarządzania ryzykiem biznesowym i / lub osiągania celów biznesowych.
@Issel „jak rzeczy się pojawiają” jest, co dziwne, tym, co faktycznie może mieć znaczenie pod koniec dnia.
@Issel w mojej odpowiedzi wyjaśniłem powody stojące za „korporacyjnym nastawieniem”, które są czymś więcej niż zdrowym rozsądkiem.
#6
+32
CONvid19
2018-05-21 14:14:54 UTC
view on stackexchange narkive permalink

Krótka odpowiedź:

Nie testuj | dostęp | hakuj niczego bez wyraźnej autoryzacji .

Czy zabiłem moje szanse z nimi?

Z pewnością.

Ps: Głosuj przeciw, ile chcesz, ale OP złamał jedną z pierwszych zasad w IT / Pentesting i to jedyny cel mojej odpowiedzi.

Hej, byłem tym, który przegłosował, ponieważ ta odpowiedź została już udzielona z dużo lepszym wyjaśnieniem i argumentacją.Ten nie dodaje tu nic znaczącego i jest dość niewielki.Jeśli możesz zaktualizować niektóre istotne zasoby i / lub argumenty, które nie zostały jeszcze podane, mogę wycofać głos przeciw.
+1 Głosowałem w górę, ponieważ dajesz świetną odpowiedź z dużo mniejszą liczbą słów niż inni mówili to samo.
Nie sądzę, aby Twój komentarz „Głosuj przeciw tak bardzo, jak chcesz” ma cokolwiek wspólnego z odpowiedzią na pytanie i wydaje mi się argumentem.Prawdopodobnie zgodziłbym się z @gwp i nie zostałbym odrzucony, gdyby nie to, więc z przyjemnością przejrzę ten głos, jeśli zdecydujesz się edytować i @ odpowiedzieć mi.
Oczywiście to jest poprawna odpowiedź.Dobry.
#7
+28
user7360
2018-05-21 03:57:18 UTC
view on stackexchange narkive permalink

Czekając w holu znalazłem otwartą sieć wifi o nazwie XYZ. Połączyłem się z nim i powitano mnie stroną internetową z prośbą o podanie nazwy użytkownika i hasła. Przeprowadziłem skanowanie podłączonych urządzeń za pomocą Fing (aplikacji na Androida) i stwierdziłem, że są laptopy o nazwach XYZ-HR-1 i XYZ-FN-1.

Myślę, że to co zrobiłeś było w porządku. To była otwarta sieć, do której uzyskałeś dostęp i rozejrzałeś się. O ile to, co zrobiłeś, mieściło się w zakresie, do którego przeznaczona jest sieć. W niektórych miejscach skanowanie w poszukiwaniu urządzeń mogło być nielegalne.

Jako kandydat przygotowujący się do rozmowy kwalifikacyjnej. Do Ciebie należy zbadanie firmy, kultury i pochodzenia. Zbierz wiedzę, której możesz użyć podczas rozmowy kwalifikacyjnej, aby wyjaśnić, dlaczego powinni cię zatrudnić.

Zbierałeś wiedzę, ale nie wykorzystałeś jej mądrze.

Czy miałem rację mówiąc im, że to zrobiłem?

W takich przypadkach. Wykorzystaj zdobytą wiedzę, aby zadawać przekonujące pytania i udzielać przekonujących odpowiedzi, ale nie wytykaj palcami, nie oskarżaj ani nie znajduj błędów w wszystkim związanym z firmą lub ludźmi.

  • Możesz mówić o zagrożeniach związanych z otwartą siecią, nie wspominając o ich sieci.
  • Możesz mówić o zagrożeniach związanych z posiadaniem urządzeń w tej sieci.
  • Możesz podzielić się, jak by to naprawić problem.
  • Możesz podzielić się swoim pomysłem na lepszą sieć.

Wykorzystujesz to, co wiesz, ponieważ dzięki temu jesteś odpowiedni dla ich obecnych wyzwań, ale robisz to w miły, przyjazny i profesjonalny sposób.

Teraz zadaj sobie pytanie, czy nadal chcesz mieć pracę w oparciu o to, co odkryłeś. Zadawaj pytania, które ujawniają naturę kultury firmy.

  • Zapytaj, jak poradzisz sobie z odkryciem luki w zabezpieczeniach?
  • Zapytaj, jakie wolności będę mieć wprowadzić zmiany?
  • Zapytaj, kto wdrożył Twój obecny system informatyczny. Czy będę raportować do tej osoby?
  • Zapytaj, jak mierzysz sukces moich działań informatycznych?

Odkryłeś, że w firmie są już problemy. Poszukaj głębiej, aby sprawdzić, czy nadal jest dla Ciebie odpowiedni.

Jako ulepszenie możesz zaproponować zrobienie tego, co robiłeś w lobby * podczas rozmowy kwalifikacyjnej *.Więc teraz zamiast „Znalazłem lukę w zabezpieczeniach”, brzmi: „Czy mogę wykazać prawdopodobnie lukę w zabezpieczeniach twojego otwartego Wi-Fi?”
#8
+16
jmoreno
2018-05-20 21:54:27 UTC
view on stackexchange narkive permalink

Niezależnie od tego, czy dostaniesz pracę, czy nie, i czy pomogło to, czy zmniejszyło Twoje szanse, to, co zrobiłeś, było nieprofesjonalne i prawdopodobnie nielegalne. Gdybyś spojrzał na ich publiczną stronę internetową lub mieli całkowicie otwartą sieć (bez hasła), byłbyś na twardszym gruncie.

Nie byłeś wtedy zatrudniony i byłeś w efekt atakujący ich sieć w poszukiwaniu luk. Jako profesjonalista powinieneś wiedzieć, że nie możesz tego robić bez wcześniejszej zgody i zbadania możliwych konsekwencji.

Jest trochę powiązane pytanie na stosie zabezpieczeń - pytanie, czy firma pentest powinna podpisać umowę, w której nie zobowiązuje się do żadnych negatywnych konsekwencji testu oraz do pokrycia wszelkich poniesionych szkód. Zaakceptowana odpowiedź brzmi: „Przewróciłem systemy podczas skanowania portów”. Nie można wiedzieć, co zrobi czyjś kod, a tym samym jakie mogą być negatywne konsekwencje wtrącania się w niego. Narażasz ich organizację na ryzyko, bez ostrzeżenia, zgody czy uzasadnienia.

Używanie ich systemu zgodnie z przeznaczeniem i obserwowanie, co się stanie, jest uzasadnione, niestandardowe użycie nie. Obejmuje to próbę odgadnięcia nazwy użytkownika / hasła - standardowym użyciem jest MIEĆ nazwę użytkownika i hasło, a nie próbować ich znaleźć.

* w efekcie atakowałeś ich sieć w poszukiwaniu luk w zabezpieczeniach * OP nie zrobił czegoś takiego.** Open Network ** - prosta zasada - nie chcesz, aby ludzie patrzyli, nie otwieraj sieci.Dział HR powinien zwalniać ludzi, którzy zostawili to otwarte i zatrudniać OP.
@StephenG, przedstawiasz to jako albo-albo, ale gdybym znalazł rozmówcę wędrującego po wyraźnie zastrzeżonym obszarze, ponieważ ktoś zostawił * fizyczne * otwarte drzwi, wyprowadzałbym rozmówcę poza teren, a * następnie * strzelałludzie, którzy zostawili otwarte drzwi.
@Will Co byś zrobił, gdybyś odkrył, że rozmówca potknął się i wypadł przez drzwi, które miały być zamknięte?A co by było, gdyby po prostu otworzył drzwi i powiedział „O cholera, to nie powinno być otwarte!”.A co by było, gdyby wskazał bezpieczne drzwi, które były podparte? Problem z rozumowaniem przez analogię polega na tym, że to wirtualne wykroczenie nie ma dobrej analogii do świata fizycznego.Można to porównać do otwierania drzwi z napisem „NIE WCHODŹ”, mogę to porównać do patrzenia przez okno i odczytywania napisu „NIE PATRZEĆ PRZEZ OKNO”.
@JoeCullinan Problem polega na tym, że masz rację: nie ma dobrej analogii, którą może zrozumieć ktoś, kto nie jest zaznajomiony z technologią sieciową.Ponieważ OP ma do czynienia z kimś z działu HR, który prawie na pewno nie jest ekspertem w zakresie bezpieczeństwa sieci, wszystkie zabezpieczenia oferowane w imieniu OP są * nieistotne *.Wyjaśnienia, bez względu na to, jak dokładne są technicznie, nie dają się przełożyć na coś, co przekonałoby laika.
@Beofett To świetna uwaga i właśnie tam zmierzałem, zanim zatrzymał mnie limit komentarzy;Nie ma znaczenia, czy to, co OP zrobił źle, ma znaczenie, że dział HR potencjalnego pracodawcy postrzega go jako zobowiązanie. Skanowanie WiFi nie stanowi problemu;gdyby OP zeskanował i nic nie powiedział, nie prowadzilibyśmy tej rozmowy.Tak więc problemem nie jest to, że OP przeskanował sieć, tylko to, że OP dał komuś potencjalnemu pracodawcy powód, by go nie zatrudnić.To zawsze jest problem.
@JoeCullinan we wszystkich omawianych analogiach fizycznych jest jasne, czy osoba uzyskała dostęp lub próbowała uzyskać dostęp do czegoś, do czego najwyraźniej nie miała prawa dostępu.Naprawdę nie jest trudno rozróżnić, które z nich są dobrymi analogiami.Te, w których niechciany dostęp był przypadkowy lub nie został wykorzystany *, zasadniczo różnią się od tego, co zrobił OP *.
@JoeCullinan Uruchomienie skanera przypomina raczej wypróbowanie klamki na wszystkich drzwiach z napisem „nie wchodzić”, aby sprawdzić, czy którekolwiek z nich są odblokowane.Wciąż uważane jest za złe wchodzenie do publicznie dostępnego budynku (otwartej sieci), takiego jak centrum handlowe, a następnie wypróbowywanie wszystkich drzwi, mimo że budynek jest publicznie dostępny.
@immibis `Uruchomienie skanera przypomina bardziej wypróbowanie klamki na wszystkich drzwiach z napisem„ nie wchodzić ”. 'To kompletne i kompletne bzdury !!!Uruchomienie skanowania jest dokładnym odpowiednikiem rozglądania się.W sieci publicznej jest to jak zaglądanie do każdych drzwi [spodziewając się znaleźć sklep, toaletę lub cokolwiek innego] w dużym centrum handlowym.Jeśli niektóre drzwi są zamknięte / wymagają kodu, do tej pory nie podjęto próby wejścia.
@MiloslavRaus w typowym centrum handlowym, wszystkie drzwi, którymi powinien zainteresować się członek społeczeństwa, mają dobrze widoczne oznakowanie prowadzące do nich.Małe nieoznakowane drzwi prowadzące do prywatnych obiektów mogą być nadal otwarte lub mieć okna, ale nadal natrętne jest systematyczne obchodzenie ich wszystkich, aby zobaczyć, co przez nie widać.To samo dotyczy sieci publicznej.Żadne z typowych zastosowań sieci publicznej nie wymaga skanowania sieci w celu wykrycia niezbędnych usług.
@will Być może powinienem to napisać wprost, ale w sieci publicznej otwarty port oznacza „Witamy”.Tak konfiguruję swoje sieci, tak uważam to za sprawiedliwe / rozsądne.Oczywiście, zgodnie z popieprzonymi przepisami, możesz być w zasadzie ścigany za błędne wpisanie adresu URL, czego nie będę kwestionować.
@Will ... poza tym, że bez skanowania sieci nie masz absolutnie pojęcia, co jest w niej dostępne, więc usługi takie jak wyszukiwarki i automatyczne katalogi absolutnie muszą wykonywać skanowanie, a wiele powszechnie używanych protokołów wykorzystuje rozgłaszanie jako bardziej efektywny sposóbże.
@Will i… nienawidzę ci tego łamać, ale w sieci komputerowej nie ma czegoś takiego jak „widoczne oznakowanie prowadzące Cię gdzieś”, a otwarty port nie ma dołączonego znaku.
#9
+15
taswyn
2018-05-21 23:06:41 UTC
view on stackexchange narkive permalink

Istnieje kilka naprawdę dobrych odpowiedzi wyjaśniających, dlaczego było to niewłaściwe z punktu widzenia Infosec, i nieco bardziej uogólnionych na temat etyki wykonywania skanowania bez autoryzacji, ale spróbuję rozwiązać problem „dobrze sposób "podejścia do takich sytuacji, na podstawie tego, jak bym rozważał zajęcie się tym w wywiadzie, gdybym znalazł się w podobnej sytuacji.

Czy miałem rację, mówiąc im, że to zrobiłem? Czy zabiłem z nimi swoje szanse? Czy powinienem zrobić to ponownie z innymi ofertami pracy (jeśli coś zostało odkryte przez przypadek)? Jak mogę uzyskać przewagę w wywiadzie dzięki tego rodzaju informacjom?

Dzieje się tu kilka rzeczy, szczególnie jeśli chodzi o uzyskanie przewagi.

Po pierwsze, czy masz etyczny imperatyw, aby omówić kwestie bezpieczeństwa, które zauważyłeś (i myślę, że etyka została już ogólnie omówiona przez innych).

Po drugie, czy stawiasz czoła wskazując coś nie tak.

Po trzecie, czy prawdopodobnie wystraszasz ludzi.

Wreszcie, czy to zrobi negatywne wrażenie o Tobie jako kandydacie z powodu powiązanej interakcji, nawet jeśli masz rację.

Zmiana powinna zawsze pochodzić z wiedzy, a Ty nie wiesz wszystkiego o otaczającym kontekście w wywiad

Jako przykład, podczas wywiadów z programistami, argumentowałem, że powinniśmy używać języka xyz.

Z technicznego punktu widzenia jest oczywiście miejsce na ulepszenia, a jednym z tych ulepszeń może być zmiana języka. Mógłbym argumentować na temat wartości przeprowadzania się przez cały dzień do niektórych języków. Ale argumentowanie go jako kandydata do pracy sprawia, że ​​kandydat wygląda bardzo naiwnie, jeśli chodzi o otaczające obawy, które mogły doprowadzić do języka, którego używamy, nie wspominając o technicznych przeszkodach w przejściu na inny język teraz, a także pojawia się jako zarozumiały i prawdopodobnie wskazujący na płytkie myślenie .

Nie wiesz, dlaczego sieć WIFI została skonfigurowana w ten sposób, więc nie zakładaj , że jest to bez zamiaru.

Zadawanie pytań jest w porządku. Bardzo cenię pytania podczas wywiadów. Zauważanie rzeczy jest świetne . Możesz użyć tego , jeśli pojawi się powiązane otwarcie:

„Zauważyłem, że masz otwarty identyfikator SSID WIFI, więc pomyślałem, że może to być sieć dla gości i mogłem sprawdzić pocztę na nim i połączyłem się na chwilę. Gdy tylko zobaczyłem stronę z hasłem i zdałem sobie sprawę, że musi to być sieć wewnętrzna, rozłączyłem się, ale nie mogłem nic poradzić, ale zauważyłem, że nie wydaje się to bezpieczne. dużo o bezpieczeństwie informacji, byłem ciekawy, czy wiesz, dlaczego jest skonfigurowany w ten sposób? ”

Poszukiwanie głębszych informacji bez zaproszenia jest bardzo nie świetne. Myślę, że zostało to dostatecznie omówione w innych odpowiedziach, ale aby powtórzyć odpowiedź Kate Gregory, będzie to w najlepszym przypadku uznane za „przerażające”. Ludzie mogą spierać się o jej analogię, ile tylko chcą (pomijając kwestie techniczne, myślę, że uchwyciło to jej sedno), ale jest to wystarczająco bliskie temu, jak większość laików będzie się czuła, zwłaszcza gdy zaczniesz grzechotać widziane maszyny. Ta pierwsza psychologiczna reakcja niechęci cię zatopi, bez względu na to, jak „masz rację”.

Co najwyżej jeśli powiązane otwarcie nastąpi w sposób naturalny (tj. tylko wtedy, gdy rozmowa faktycznie będzie kontynuowana po przywołaniu pierwszej części), możesz zapytać, czy rozważali wykonanie niektórych skanów, aby sprawdzić, czy ktoś jest zagrożony przez tę sieć WIFI i jakie są ich preferowane narzędzia do testowania podatności. Daje to przejrzyste okno (i możliwość zadawania powiązanych pytań na temat twoich własnych preferencji) do twoich powiązanych umiejętności… ale nie popychaj go. Nie jesteś szefem działu IT, jesteś tu na rozmowę kwalifikacyjną i chociaż możesz nie zgadzać się z tym, co robią, nie jest to również twoje miejsce, aby kłócić się o coś innego bez zaproszenia , ponieważ możesz po prostu równie łatwo robiąc z siebie głupka w ich konkretnym kontekście.

Zapytanie „Och, to ciekawe, co byś zrobił”, byłoby początkiem dyskusji na temat skanów, które możesz wykonać, aby pokazać luki w zabezpieczeniach i jak przedstawiłbyś propozycję zmiany WIFI, zakładając, że nie było efektów zewnętrznych, o których nie byłeś świadomy jako osoba spoza firmy związana z daną instalacją, która wymagała skonfigurowania jej w ten sposób: i jeśli więc, jak można je złagodzić za pomocą sieci VLAN, wewnętrznej zapory ogniowej itp., ale naprawdę wymagałoby to większej znajomości szczegółów . Otwartość na to, czego nie znasz w kontekście kontekstu, jest zachęcająca: dzięki szczegółowym informacjom o tym, czego powinieneś się dowiedzieć o środowisku, może pomóc pokazać stopnie Twoich umiejętności i wiedzy oraz dostrzegalną elastyczność w uwzględnianiu różnych sytuacji .

Nie obrażaj ludzi (nawet nieumyślnie lub nieumyślnie)

To idzie w parze z poprzednim, ale naprawdę chcę się na tym przez chwilę skupić: zacząć od założenia inteligencji u innych. To pochlebiające. Przeciwieństwo jest obraźliwe. Jeśli coś nie wydaje się „inteligentne” z zewnętrznej perspektywy, zacznij od założenia, że ​​istnieją inne powody, które są podstawą inteligencji i umiejętności osób zaangażowanych . Nawet jeśli okropnie nie wkładasz stopy do ust, przeoczając coś jako możliwość, ostatecznie to, że masz rację, nie będzie miało znaczenia, gdy właśnie skończysz niszczyć kogoś, kogo prosisz o zatrudnienie.

Nie trać z oczu celu

Jeśli chcesz widzieć zmiany, bądź rzecznikiem siebie i swoich uogólnionych poglądów, poglądów i umiejętności (oraz tego, jak one dopasuj się do swoich ankieterów / firmy, co będzie wymagało od nich rozmowy o tym: więc pytaj!), nie w przypadku konkretnej zmiany, którą chcesz wprowadzić, kiedy to tylko jeden szczegół.

Jeśli widok prawdopodobnego wygaśnięcia zabezpieczeń cię załamuje, świetnie. Ale nie możesz być tak skoncentrowany na tej konkretnej kwestii, aby wykoleić rozmowę kwalifikacyjną w sposób, który sprawi, że będziesz wyglądać słabiej jako kandydat ogólny. To nie rozwiąże problemu. Zatrudnienie może mieć siłę. Skoncentruj więc swoją opiekę i intensywność na popieraniu samego siebie, a nie relatywnie mniej znaczących w przód iw tył na jednym szczególe bezpieczeństwa. Po zatrudnieniu będziesz mieć dużo czasu, aby bronić się w tej konkretnej sprawie.

Zapraszaj ludzi (i miejmy nadzieję, że stworzą naturalne otwarcia)

Nie tylko nie znasz kontekst techniczny i otaczające ograniczenia, które prowadzą do sytuacji takiej jak ta otwarta sieć WIFI, ale co ważniejsze, nie znasz osób , z którymi rozmawiasz, ich osobowości, ich zaangażowania i opinii na ten temat oraz podobne problemy.

Jedną rzeczą jest oferowanie swojej wiedzy i dawanie przykładów, a inna rzecz do popychania. Zaufanie do siebie i swoich umiejętności jest dobre (to świetne), ale z własnego doświadczenia nachalność rzadko jest czymś, czego szuka ankieter.

Więc pamiętaj tylko, że ci ludzie to obcy, z którymi miałeś mało czasu poznać w bardzo wąski, bardzo ograniczony sposób. Nie narzucaj się na nich: dowiedz się, co myślą.

Zamiast rozmyślać na ich temat, jakie są Twoje opinie na dany temat techniczny (który może łatwo wyglądać negatywny dla kogoś mniej technicznego i może łatwo wprowadzić cię do min przeciwpiechotnych z kimś bardziej technicznym), zapytaj go, co robią obecnie w związku z tym tematem, a jeśli to konieczne, zapytaj, jaka jest jego opinia. Pokazuje złożoność wiedzy, aby wiedzieć, o co pytać, bez wypychania swoich opinii i myśli na ich temat, i daje trochę przestrzeni, aby je odgadnąć.

Ostatecznie zapewnia to najlepsze możliwości, ponieważ możesz to zrobić coś na przykład wspomnieć o takich rzeczach, jak sieć WIFI, która jest trudna w środowiskach mieszanych (zakładając, że pojawia się temat), a następnie zapytać, co robią jako firma i jakie są osobiste preferencje ankietera w tym zakresie. To może zapewniać możliwe furtki dla wcześniejszego hipotetycznego stwierdzenia, które zaproponowałem, ale ostrzega cię również, jeśli być może najlepiej byłoby nic nie mówić.

To więcej niż tylko otwarcie, ale także pomaga ujawnić dynamikę między różnymi ankieterami. Kiedy rozmawiasz z wieloma osobami, jesteś w centrum uwagi i trudno jest ocenić, czy wszystko się dobrze dzieje. Zadawanie pytań, a następnie zadawanie opinii pozwala (dyskretnie, ponieważ należy skupić się na tym, kto mówi podczas rozmowy ) obserwowania tego, co się dzieje. Będziesz mieć możliwość przełączenia (lub nawet bezpośredniego) skupienia się na różnych ludziach lub przynajmniej rozejrzenia się, aby ocenić konsensus / itp. Na temat udzielonych Ci odpowiedzi. Stopniowo będzie to zależeć od tego, jak „na torach” będzie format rozmowy kwalifikacyjnej.

Zostaw miejsce na rozmowę.

Tak, jesteś tutaj, aby Cię wspierać, samo krzyczenie, jaki jesteś dobry, niekoniecznie robi to skutecznie . Twoje CV powinno już mówić samo za siebie w kategoriach technicznych i doświadczalnych. Naprawdę tutaj jesteś, aby mówić za siebie jako o kimś do pracy, jako współpracownik i kolega.

A oto klucz do tego : jak mówią na piśmie, „pokaż, nie tylko powiedz”.

Jeśli zapytają o twoją opinię lub stanowisko w jakiejś sprawie, z pewnością to daj. Ale kiedy nie jest o to pytany, ZAPYTAJ ich zamiast tego, jako swoje otwarcie. Niech to w naturalny sposób doprowadzi do tego, że proszą Cię o własną opinię (lub nie). Podczas zadawania pytań wykażesz tyle samo wiedzy pokrewnej, ile chciałbyś porozmawiać o sobie, ale co ważniejsze, podchodzi to mniej pretensjonalnie i daje ci przestrzeń, aby wyglądać bardziej jak ktoś, z kim dobrze byłoby pracować nad pokrewnymi kwestiami niż ktoś, kto po prostu spróbuje przepchnąć wszystkich innych, myśląc, że już wiedzą wszystko, co należy wiedzieć.

Większość wywiadów osobistych obejmuje kwestie techniczne, ale w idealnym przypadku jest to po prostu sprawdzenie, czy spełniasz swoje CV, a tak naprawdę ostatecznym celem rozmowy kwalifikacyjnej na tym etapie jest ustalenie, czy być kimś, z kim chcą pracować. Pominęliśmy osoby posiadające inne kompetencje techniczne ze względu na sposób, w jaki zachowywali się podczas rozmowy kwalifikacyjnej i jak podeszli (a nawet nie) do powiązanej interakcji. Ponieważ praca to coś więcej niż tylko wiedza papierowa i podstawowe kompetencje techniczne. Każdy może uruchomić skaner piórkowy. Nie każdy może określić, kiedy jest odpowiedni moment, aby to zrobić i jak skutecznie wykorzystać wyniki, jeśli to zrobią, i nie nadepnąć wszystkich na palcach w tym procesie tak okropnie, że nikogo to już nie obchodzi i wszyscy po prostu chce, aby projekt został odwołany i coś innego nad czym pracowano.

W niektórych środowiskach umiejętność skutecznego negocjowania poprzez wspieranie projektu i powiązane wewnętrzne cykle życia politycznego jest tak samo ważna, jak posiadanie odpowiedniej wiedzy technicznej. Dlatego pokaż swoje kompetencje w sposobie interakcji z ankieterami, bądź kimś łatwym we współpracy i komunikacji, który jest pewny siebie w najlepszy możliwy sposób , ten, w którym nie muszą tylko ciągle narzekać na siebie. I kogoś roztropnego, kto wie, kiedy coś naciskać, kiedy nie i ile.

Najtrudniejszą rzeczą do odzyskania jest zaufanie.

Masz sytuację podczas rozmowy kwalifikacyjnej: przyznano Ci podstawowy poziom zaufania w zaproszeniu na rozmowę kwalifikacyjną, ale nadal jesteś stosunkowo nieznaną liczbą, więc jest to bardzo prowizoryczne. Wszystko, co podważa już powierzone Ci zaufanie, jest absolutnie szkodliwe dla Twoich szans jako kandydata. Zawsze powinieneś zakładać, że są inni kandydaci (na przykład w moim przypadku robimy takie rzeczy, jak niepowodzenia i wyszukiwania poprawek, które nie dają wystarczającej liczby kandydatów na rozmowę kwalifikacyjną, aby utworzyć odpowiednią pulę porównawczą). Zawsze powinieneś zakładać, że są równie wykwalifikowani pod względem kwalifikacji technicznych.

Nie angażuj się podczas rozmowy kwalifikacyjnej, która mogłaby skłonić obecną osobę do zakwestionowania tego, czy jesteś godny zaufania. Akcje, które normalnie są kojarzone z wyższym poziomem zaufania niż masz wyraźnie - powiedziałbym nawet wprost - zostały przyznane (nie prosisz kogoś, komu nie ufasz, o przeprowadzenie skanowania bezpieczeństwa i domyślnie zaczynasz od nie ufając komuś, kto losowo przeprowadzi przeciwko tobie skanowanie penetracyjne bez twojego wyraźnego zaproszenia i pozwolenia). Nie chodzi o to, że jesteś nieufny , ale o to, że nie przyznano Ci jeszcze poziomu zaufania związanego z działaniami tego rodzaju. Musisz na to zarobić , a podejmowanie działań związanych z wyższym poziomem zaufania, zanim to zrobisz, jest często natychmiast postrzegane jako przekraczanie twoich granic, w sposób, który kwestionuje również twoje umiejętności podejmowania decyzji. sytuacja wrażeń nie możesz sobie na to pozwolić.

Nawet jeśli możesz odzyskać podstawowy poziom zaufania, z którym rozmawiasz, przesłuchanie go może szybko narazić Cię na niebezpieczeństwo w porównaniu z innymi kandydatami. Rzadko mówi się o tym bezpośrednio, ponieważ przeprowadzamy takie rzeczy, jak weryfikacja przeszłości, aby upewnić się, czy mamy rację w zaufaniu komuś, ale poczucie osobistego i bezpośredniego zaufania jest kluczowe, aby nie zdradzić proces rozmowy kwalifikacyjnej, ponieważ z łatwością przejdzie przez wszystkie inne wrażenia dotyczące osobowości i umiejętności, jeśli ktoś w jakimkolwiek momencie poczuje się „zaniepokojony” z powodu działania, które podejmiesz. Ostatecznie ustalenie, czy można Ci zaufać, jest naprawdę kluczowym elementem rozmowy kwalifikacyjnej, kiedy naprawdę o tym myślisz.

Próbowałem „począwszy od domniemania inteligencji u innych”.Nie udało się.Znaczenie tego, co mówię, po prostu przelatuje nad ich głowami.Więc jeśli mieliby im schlebiać, nie mogliby tego zrozumieć :)
Zauważ, że domniemanie inteligencji to nie to samo, co domniemanie wiedzy;) Sztuką jest zapraszanie innych do wskazania, ile wiedzą na dany temat, aby ustalić wspólną płaszczyznę komunikacji z nim związaną, ale nadal wymaga to nie sprawiania wrażenia, że jesteśzakładając, że druga osoba nie ma podstawowej inteligencji i ogólnie dobrych intencji: str
Mówię o takich rzeczach, jak bardzo precyzyjne formułowanie rzeczy, nadawanie znaczenia każdemu słowu, jak w definicjach matematycznych.Udaje im się tylko uchwycić z tego kilka przypadkowych fragmentów i uzyskać zły obraz.Nie jest tu potrzebna żadna niejasna wiedza.
#10
+13
gazzz0x2z
2018-05-21 17:17:06 UTC
view on stackexchange narkive permalink

Wszystkie odpowiedzi są poprawne IMHO, zarówno te, które zachęcają do zachowania, jak i te, które go zniechęcają, ale pomijają coś ważnego dla mnie: fakt, że wywiad był z różnymi ludźmi, którzy mają różne cele.

Szef działu IT chce, aby ktoś potrafił myśleć nieszablonowo, był zdolny do podejmowania inicjatyw i łatwo identyfikował ewentualne niedociągnięcia. Oczywiście jest zainteresowany takim profilem.

Szef HR chce chronić firmę przed pracownikami. To jest praca. Zidentyfikuj wszelkie szkody, jakie mógłby wyrządzić pracownik, i chroń firmę przed nią. W większości przypadków jest to bardziej na poziomie prawnym lub związanym z relacjami, ale jeśli HR czuje, że istnieje potencjalny pracownik, który mógłby być wystarczająco sprytny, aby ominąć standardowe zabezpieczenia, poza audytem kontrolowanym przez zarząd, zrobi to, któremu zapłacił zrobić: chronić firmę przed (jeszcze) pracownikiem.

Stąd różnorodność odpowiedzi. Gdybyś rozmawiał tylko z szefem IT, to (niezależnie od kwestii prawnych) Twoje zachowanie byłoby sprytne. Tego właśnie potrzebuje. Ale ponieważ dział HR był obecny, powinieneś był wziąć pod uwagę jego rolę: zachować naturalny porządek i hierarchię korporacji.

Pamiętaj, że większość korporacji będzie więcej niż skłonna stracić część wydajności, aby uzyskać większą kontrolę na swoich pracowników. Jeśli szukasz pracy w środowisku korporacyjnym, powinieneś przynajmniej udawać, że przestrzegasz zasad przed tymi, którzy otrzymują wynagrodzenie za ich egzekwowanie. I staraj się ich szanować, o ile w oczywisty sposób nie przeszkadza ci to w wykonywaniu pracy. Pierwsza zasada brzmi: nie wyglądaj na niekontrolowanego. W świecie korporacji menedżerowie trzymają władzę i postrzegają zarządzanie jako naukę o kontroli (czy to dobra, czy dobra jest kolejna debata, której nie otworzę).

Pułapka polega na tym, że trzeba było sformatować przemówienie do dwóch różnych odbiorców o przeciwstawnych potrzebach i oczekiwaniach. Spróbuj pomyśleć o obu następnym razem.

#11
+11
user86764
2018-05-20 23:29:15 UTC
view on stackexchange narkive permalink

Gdybym miał coś do powiedzenia w procesie rekrutacji, oznaczałoby to dla Ciebie. Nie dlatego, że złamałeś jakąś zasadę, ale dlatego, że mówisz ludziom, że powinni coś zrobić bez zrozumienia ich potrzeb.

Bezpieczeństwo IT to ćwiczenie w zarządzaniu ryzykiem. W większości przypadków praktyki bezpieczeństwa IT nie są regułami bezwzględnymi. Musisz ocenić ryzyko związane z konkretną praktyką w porównaniu z kosztami wydajności biznesowej, a następnie podjąć decyzję.

Nie znam zagrożeń związanych ze znalezioną luką. Może to coś, czego firma nigdy nie powinna robić. Jednak zanim powiesz menedżerowi firmy, że nie powinien czegoś robić, powinieneś zbudować zaufanie do swojej opinii, poznając okoliczności, w których istnieje luka.

Generalnie jest to prawda, ale posiadanie bezpiecznego WiFi wydaje się nie do pomyślenia ... Może ktoś może mnie wypełnić, jeśli istnieje powód, aby zostawić ten system tak, jak jest
@sudorm-rfslash, Pozostawienie otwartej sieci WIFI może nie mieć miejsca.To nie ma znaczenia;Chodzi o to, że zawsze powinieneś wysłuchać przed udzieleniem porady.
#12
+7
fearofmusic
2018-05-21 21:15:42 UTC
view on stackexchange narkive permalink

Jeśli chodzi o posiadane przez nas informacje lub pomysły, chociaż niektórym może się to wydawać sprzeczne z intuicją, nie jest optymalne, aby powiedzieć wszystkim wszystko. Zajęło mi więcej czasu, niż chciałbym przyznać, że w pełni zinternalizowałem to, że nie mogłem nic powiedzieć i zatrzymać to dla siebie.

HR nigdy nie podejmie czegoś takiego w inny sposób niż to, co opisujesz. Każdy, kto nie rozumie NetSec, prawdopodobnie potraktuje Ciebie i Twój komentarz ze skrajną podejrzliwością. Interakcje zarówno publiczne, jak i ze sceny i ekranu powinny zilustrować prawdę, istnieje cała kategoria trofeów związanych z „dobrymi intencjami specjalista próbuje ostrzegać ludzi, którzy nie rozumieją potencjalnego niebezpieczeństwa”, którzy w końcu zostają ukarani przez nieumytych pogan próbowali pomóc.

Zachowaj to dla siebie.

To powiedziawszy, mógłbyś potencjalnie poruszyć coś stycznie związanego i skierować rozmowę na miejsce, w którym wysoce zredagowana wersja twoich komentarzy mogłaby zostać odebrana jako bardziej organiczna.

Prawdziwa historia: Kiedyś pracowałem w miejscu, w którym facet znalazł lukę w firmowym blogu intranetowym. Będąc w domu, publikował na blogu spoza sieci, wykorzystując lukę. Następnie, gdy przyszedł następnego dnia, przesłał swoje genialne znalezisko i dowód, że jest to możliwe do IT. Od razu otrzymał status bohatera i ogromną premię, podwyżkę i awans. Żartowałem, został natychmiast zwolniony.

Możesz zignorować każde słowo tej odpowiedzi, jeśli chcesz zapamiętać to pięciowyrazowe zdanie: „Racja rzadko cokolwiek zmienia”.

To tak naprawdę nie daje żadnych odpowiedzi, więc jest bezużyteczna jako odpowiedź.
„Zachowaj to dla siebie” to odpowiedź.Dostaje nawet akapit do siebie, aby to podkreślić.Następnie jest poparty przykładem tego, jak nie ukrywać, że idzie to strasznie źle, poprzedza to trochę wglądu w perspektywę drugiej strony i to, jak nie widzą tego w ten sam sposób.Na koniec kilka porad życiowych, które można zastosować ogólnie w sytuacjach podobnych do tej, koncepcyjnie, przez resztę życia.Dziękuję za komentarz.Pozwoliło mi to powtórzyć te punkty każdemu, kto mógł mieć problem ze zrozumieniem tego, co napisałem.
Dobrze, że nie zrobiłem żadnej z tych rzeczy.Jeszcze raz dziękuję za pomoc w jeszcze dokładniejszym wyjaśnieniu moich punktów, zarzucając mi, że mówię coś przeciwnego do tego, co powiedziałem.Uważaj, Iva.
#13
+6
Benjamin Gruenbaum
2018-05-20 19:10:27 UTC
view on stackexchange narkive permalink

Spróbuję dodać inną perspektywę.

Czy miałem rację, mówiąc im, że to zrobiłem?

Są kraje, w których dołączanie i skanowanie sieci jest nielegalne . Wyobraź sobie, że znalazłeś port LAN na miejscu i użyłeś kabla Ethernet do połączenia się z ich siecią.

Możliwe, że dział HR wie o tym, ponieważ jest bardziej świadomy obowiązujących przepisów.

Do obowiązków HR należy zarządzanie takimi zobowiązaniami prawnymi w imieniu firmy. Możliwe, że dlatego wydawali się mniej niż entuzjastycznie nastawieni do tego.

Brak porównania między podłączeniem do portu sieciowego a korzystaniem z ** otwartej ** sieci.Całkowitym celem uczynienia sieci * otwartej * jest umożliwienie dostępu - samo czynność otwierania sieci zachęca ludzi do jej zbadania.Jeśli chcesz, aby sieć Wi-Fi była chroniona i ukryta, jest to praktycznie trywialne, aby zrobić to na rozsądnym poziomie, poniżej zdecydowanego ataku dobrze wyposażonych profesjonalistów.
@StephenG Wykonywanie nielegalnych rzeczy jest nadal nielegalne, nawet jeśli nie ma hasła.
@immibis OP nie zrobił nic nielegalnego.Skąd się wziął ten nonsens?To sieć OPEN.
@StephenG W wielu jurysdykcjach skanowanie cudzej sieci bez ich zgody jest nielegalne - kropka.Zupełnie jakby zaglądanie komuś przez ramię na poufne dokumenty na jego komputerze jest nielegalne.Złapanie może być trudne, ale jeśli zostaniesz złapany, nadal grozi ci grzywna i / lub więzienie.
@StephenG Nie mówię, że zgadzam się z tym prawem, ale jest to prawo w wielu jurysdykcjach.Zdaję sobie sprawę, że nie jest to bardzo mocno egzekwowane, nie _ zgadzam się_ z tym - mówiłem (bardzo prawdopodobna opcja), że HR wykonuje tutaj swoją pracę zarządzania zobowiązaniami prawnymi.
@StephenG Tam, gdzie mieszkam, przyłączanie się do otwartej sieci jest legalne, ale skanowanie w niej jest jak sprawdzanie, czy czyjeś drzwi wejściowe nie są odblokowane, z których oba są nielegalne.
Czy ktoś rzeczywiście ma cytaty, że gdziekolwiek jest to nielegalne?
@LateralTerminal, czy skanowanie portów samo w sobie jest przestępstwem, zależy od jurysdykcji.Jest to jednak złożona kwestia prawna.Samo w sobie w Stanach Zjednoczonych nie jest nielegalne, ale było przedmiotem wielu pozwów cywilnych.Oto [przegląd] (https://nmap.org/book/legal-issues.html).
https://arstechnica.com/uncategorized/2006/03/6447-2/
Powiązane: https://en.wikipedia.org/wiki/United_States_v._Swartz
Właściwie, odkąd przeprowadził skanowanie, mówienie im, że jest to etyczne.Nie ma znaczenia, jakie są prawa.Jeśli trafia do więzienia, trafia do więzienia.
#14
+5
WoJ
2018-05-21 20:59:09 UTC
view on stackexchange narkive permalink

Z perspektywy osoby zajmującej się bezpieczeństwem informacji: to, co zrobiłeś, nie było sprytne.

Czy chodziło o pokazanie, że jesteś ekspertem w dziedzinie bezpieczeństwa? W takim przypadku, jeśli po prostu pokażesz, że możesz

  • połączyć się z otwartym Wi-Fi
  • , że niektóre z ich komputerów były w tej sieci

Jeśli oznaczysz to jako kwestię bezpieczeństwa, przepraszam, nie wiesz zbyt wiele o bezpieczeństwie. Ten menedżer IT też nie. To prawdopodobnie kiedyś wybuchnie.

Więc to nie był dobry ruch.

Może chodziło o wykazanie proaktywności? W takim przypadku naprawdę nie powinieneś pracować w ochronie, ponieważ robiąc takie rzeczy, skrzywdzisz swoją firmę. Istnieją zasady dotyczące zaangażowania w bezpieczeństwo i oczekuje się, że pracownik ich przestrzega. Nie jesteś hakerem, nie jesteś łowcą nagród. Nie możesz robić tych rzeczy.

Jakkolwiek na to spojrzysz, to był głupi ruch, jeśli chciałeś zostać zatrudniony.

po prostu wpisałem w wyszukiwarkę Google „Wykrywalne” ...
Tak, jeśli możesz połączyć się z punktem dostępu Wi-Fi, to po prostu jesteś „w sieci”.Może istnieć płatna ściana lub strona rejestracji, ale nie ma nic technicznego ani wadliwego w łączeniu się z Wi-Fi i uruchamianiu skanowania, aby zobaczyć, kto na nim jest.Chociaż pokazuje pewną wiedzę techniczną, nie pokazuje niczego wyrafinowanego pod względem włamania lub znalezienia krytycznej usterki w systemie, zwłaszcza gdy maszyny, które znalazłeś, są nieznane.Czy to inni goście?A może są czymś wrażliwym, na przykład połączonym systemem finansowym?Nic, co powiedział PO, nie sugerowało tego typu dochodzenia.
@Dan: OP powiedział: „* W wywiadzie powiedziałem im, że ponieważ moje stanowisko wiąże się z pewnymi aspektami bezpieczeństwa, odkryłem, że otwarta sieć ma lukę w zabezpieczeniach ich sieci.i są bardzo w porządku.To, co masz w tej sieci, może mieć znaczenie, ale samo powiedzenie „masz otwartą sieć, są tam urządzenia i jest to zagrożenie bezpieczeństwa” pokazuje, że nie rozumie się bezpieczeństwa (ocena ryzyka w tym przypadku).
@James: Nie jestem pewien, co masz na myśli przez ten komentarz?
@Woj w kontekście prawnym.Prawnicy mogą łowić rzeczy, które sprawiają, że źle wyglądasz, i wykorzystywać je w sądzie.
@James: masz na myśli, że posiadanie otwartej sieci jest prawnie niebezpieczne?Pewnie, że może (w zależności od zawartości tej sieci, od prywatności po ujawnianie informacji) - ale posiadanie takiej nie jest „luką w zabezpieczeniach”, jak wspomniał OP w swoim wywiadzie.Pokazuje tylko, że bezpieczeństwo to obszar, w który nie należy się angażować, ponieważ najwyraźniej nie zna go zbytnio.
@WoJ zgodził się.znaleziona luka w zabezpieczeniach to w najlepszym przypadku „meh”.
Wydaje mi się, że prawdziwym problemem nie jest to, czy demonstruje prawdziwe umiejętności, ale kwestia pozwolenia.Przypominam sobie książkę Seana-Philipa Oriyano na temat kwalifikacji CEH9 - podkreśla on, że zawsze należy uzyskać wyraźną i konkretną pisemną zgodę, zanim zrobi cokolwiek z ich systemami.Nawet jeśli szybko osiągniesz interesujące wyniki, nie będzie dobrze odzwierciedlać tego, że właśnie wskoczyłeś.
@MaxBarraclough: dla mnie to jedno i drugie, dlatego wspomniałem o nich w mojej odpowiedzi.Ktoś, kto przychodzi i mówi: „Będę pracował w infosec i masz poważną lukę”, gdy jej nie ma, pokazuje, że nie ma pojęcia.Potem pojawia się hip-shooter, który prędzej czy później nie zakończy się dobrze dla firmy.
@WoJ Dobrze, o to mi chodzi.Łączenie się z siecią, a następnie skanowanie w celu sprawdzenia, kto w niej jest, nie stanowi zagrożenia dla bezpieczeństwa.Połączone maszyny mogą w rzeczywistości być innymi gośćmi, którzy połączyli się z siecią.Powiedzenie ankieterowi HR, że jest to kwestia bezpieczeństwa, świadczy o braku zrozumienia.
@WoJ Ponadto OP stwierdził błędnie, że sieć jest „bezpieczna”, ponieważ prosi o wpisanie się w celu przeglądania Internetu.Chcę powiedzieć, że połączenie z siecią jest uważane za sieć „otwartą”, chociaż może być konieczne dalsze uwierzytelnienie przed przeglądaniem lub korzystaniem z sieci.PO nazywa to „bezpiecznym” i „zagrożeniem bezpieczeństwa”, co świadczy o potrójnych błędach w ocenie.
@Dan ah ok, przepraszam - źle zrozumiałem twój komentarz
#15
+2
Bob Jarvis - Reinstate Monica
2018-05-25 02:03:22 UTC
view on stackexchange narkive permalink

Zobaczmy. Z mojego punktu widzenia:

  1. Odkryłeś otwartą sieć; (OK)
  2. Połączono z nim; (OK)
  3. Odkryłem, że potrzebował identyfikatora użytkownika / hasła; (OK)
  4. Przesłuchałem urządzenia wokół ciebie w pozornej próbie włamania; (NIE OK)
  5. Chwalić się tym (GŁUPI!)

A teraz omówmy Twoje pytania indywidualnie:

  1. Czy miałem rację, mówiąc im, że to zrobiłem? Nie, gdybyś chciał pracować dla tej firmy. Należy również pamiętać, że większość firm, dla których pracowałem, wyświetla ostrzeżenie po nawiązaniu połączenia lub zalogowaniu, które brzmi: „Nieautoryzowany dostęp jest niedozwolony. Jeśli spróbujesz, skontaktujemy się z władzami i oskarżymy Cię”. Zauważ też, że ignorancja nie jest wymówką.

  2. Czy zabiłem z nimi swoją szansę? Gdybym był kierownikiem ds. Rekrutacji, nie dotykałbym cię kijem o długości 10 stóp. Jesteś uznanym hakerem, jesteś z tego dumny i czekasz na incydent związany z bezpieczeństwem.

  3. Czy powinienem powtórzyć to z innymi ofertami pracy (jeśli coś zostanie odkryte przez przypadek) ? To zależy. Chcesz dostać pracę, czy chcesz się popisywać? Jeśli to pierwsze, nigdy więcej tego nie rób. Jeśli to drugie - cóż, to twoje życie, kolego ...

  4. Jak mogę zyskać przewagę w wywiadzie dzięki tego rodzaju informacjom? Nie możesz. Jedyne, co możesz zrobić, to denerwować ludzi, a ludzie, którzy są zdenerwowani tym, co zrobiłeś, mogą lub mogą zrobić, nie zatrudnią cię. Spójrz na wiadomości - co kilka tygodni inna firma zostaje zhakowana, karty kredytowe i inne dane osobowe zostają skradzione, a oni wyglądają jak idioci, i ich klienci mogą się odwrócić i pozwać ich. Jako osoba pracująca w dziale IT dużego sprzedawcy mogę powiedzieć, że jest to jedna z rzeczy, która niepokoi ludzi takich jak ja. Jeśli uważamy, że możesz stanowić problem, nie zostaniesz zatrudniony. Koniec historii.

Powodzenia.

#16
+1
Crowley
2018-05-22 17:57:17 UTC
view on stackexchange narkive permalink

Twoje szanse w dużym stopniu zależą od uprawnień menedżera IT i menedżera HR. Zależy to również od sposobu, w jaki je przedstawiłeś. Gdyby to brzmiało „Widziałem kilka komputerów z nazwami XYZ - cokolwiek podłączonymi do niezabezpieczonej sieci”, było to bardziej obrazą dla tego, który pozwolił właścicielom połączyć się z siecią. Gdyby to brzmiało: „Widziałem twój komputer, panie Averagejoe, podłączony do niezabezpieczonej sieci”, to była po prostu obraza dla pana. Averagejoe.

Jeśli masz zamiar zostać ochroniarzem, paranoja nie jest obowiązkowa, ale pomaga. Twoje sprawdzenie, kto jest z Tobą (w otwartej sieci) jasno pokazuje Twoje podejście do możliwej pozycji. Dlatego kierownik działu IT był pod wrażeniem.

Z drugiej strony prezentacja wyników była dość niegrzeczna. Dlatego menedżer HR wspiera cię i przeciwdziała.

Może wlałeś olej w otwartą walkę między informatykami, którzy naciskali na kwestie bezpieczeństwa, aby się zatrzymać, a innymi z nastawieniem „Co do cholery mówią ci dziwni? o?" Coś w rodzaju wypowiedzi Mossa na temat wyłączania zapory sieciowej w IT Crowd S2E1.

Następnym razem zrób to sprawdzenie najlepiej, gdy zostaniesz o to poproszony w wywiadzie. Jeśli nie możesz się oprzeć, zatrzymaj ustalenia do momentu, w którym włamywacze są poza zasięgiem głosu i omawiasz tylko personel IT.

#17
  0
ivan_pozdeev
2018-05-31 04:45:58 UTC
view on stackexchange narkive permalink

Zmniejszy to Twoje szanse, ponieważ wykazałeś niezrozumienie pojęcia obszaru odpowiedzialności. Ty:

  • nie udało się aby wyjaśnić, w jaki sposób zostałeś do tego upoważniony (niezależnie od tego, co mówią przepisy: musisz przekonać ich, nie sędziego) i wpływ swoich działań w terminach nietechnicznych
  • zaczął im mówić (zamiast tylko sugerować), jak powinni robić rzeczy, nie będąc osobą odpowiedzialną za te rzeczy lub konsultantem na podstawie umowy.

  • W ustalonych środowiskach, za każdy obszar i zadanie odpowiada osoba za nie odpowiedzialna (praktycznie zawsze jedna osoba; decyzje grupowe są zwykle uzasadnione tylko w przypadku złożonych, strategicznych spraw, a nie codziennych zadań). Tylko ta osoba może podejmować decyzje w tej dziedzinie. Ma to na celu zapewnienie, że mają pełny obraz i zastosowaną do niego jednolitą wizję.
  • Jeśli nie jesteś tą osobą i widzisz problem, Twoim zadaniem jest zgłosić go do nich i pozostaw to im , jeśli trzeba coś z tym zrobić.
    • Dzieje się tak, ponieważ nawet jeśli wiesz, że to problem, nie masz pełnego obrazu być w stanie rozważyć wszystkie za i przeciw i nie będziesz ponosić odpowiedzialności za swoje działania. Jak powiedzieli inni, bezpieczeństwo to ćwiczenie w zarządzaniu ryzykiem: coś warto robić tylko wtedy, gdy jest to mniej kosztowne niż zaniechanie.
    • (Przewidywanie komentarzy ze strony potencjalnych buntowników :) jest możliwe i czasami może być drogą do zrobienia czegokolwiek, ale jest to poważna i ryzykowna sprawa, ponieważ trzeba w jakiś sposób przekonać przełożonych do poniesienia dość wysokich kosztów zakwestionowania kompetencji ważnego podwładnego (przeprowadzenie niezależnej oceny ich umiejętności i pracy to czas, pieniądze i trwałe niezadowolenie tej osoby, niezależnie od metody i wyniku).

  • To, co powiedziałeś im o skanie, w zasadzie brzmiało dla osoby bez wiedzy technicznej: „Naruszyłem Twoją sieć i potencjalnie zakłóciłem Twój biznes - wszystko dlatego, że miałem na to ochotę”.
    • To właśnie sprowokowało reakcja obronna. „Nie, nasza firma jest z pewnością wystarczająco dobrze chroniona, jeśli nadal prowadzimy działalność, a na pewno nie możesz jej tak łatwo naruszyć! To, co twierdzisz, nie może być prawdą i jest zwykłym zniesławieniem (ponieważ mogłoby to zaszkodzić reputacji, jeśli inni w to wierzą (niezależnie od tego, czy jest to prawda), więc zdecydowanie nie przyjmujemy tego życzliwie)! ”
    • A osoba o takim nastawieniu z pewnością nie jest kimś, kogo chcieliby widzieć w sobie w promieniu mili od ich krytycznej infrastruktury.
    • To oczywiście nie to, co zrobiłeś. Ale nie udało Ci się tego przekazać w sposób, który mogą zrozumieć.
    • Powinieneś był umieścić to coś w stylu: „Kiedy czekałem w holu, zauważyłem otwartą sieć Wi-Fi z nazwą Twojej firmy. moja praca będzie obejmować bezpieczeństwo informacji. Skorzystałem z okazji, aby zorientować się w twoich obecnych praktykach. Zauważyłem to i to, co jest potencjalnie luką w zabezpieczeniach, chociaż zależy. " 1 Jeśli nadal wyglądają na przerażonych, dodaj coś w stylu: „Mogę z całą pewnością powiedzieć (a Twoi koledzy potwierdzą), że to absolutnie nie może niczego zakłócić przy stabilnej, np. standardowej instalacji systemu Windows.”
      • To by pokazało, że jest do tego upoważniony, ponieważ od dobrych kandydatów oczekuje się, że będą aktywnie badać firmę; rozważyłeś ryzyko i podjąłeś świadomą decyzję; i po prostu sugerujesz, że może to być problem, zamiast wprost twierdzić, że ponieważ nie jesteś osobą odpowiedzialną, a zatem nie masz pełnych informacji, aby móc składać takie kategoryczne stwierdzenia.

1 na temat zasięgu sieci, jak długo i jak często maszyny w niej pozostają, jakie informacje i / lub funkcje zawierają oraz jak dobrze są zabezpieczone. sub>



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...