Un'acrobazia come questa sarebbe - nella maggior parte degli ambienti - uno show-stopper di HR. La ragione di questo è molto semplice: Sapevate quello che stavate facendo, ed era nessuno delle vostre responsabilità di eseguire il test.

Se vi fosse capitato di imbattervi nel problema in un modo “Le azioni sono apparse nel window explorer”, probabilmente sarebbe andato tutto bene. Ma un professionista della sicurezza deve sapere che eseguire uno scanner di rete su una rete, dove questo non è stato concordato dall'amministratore della rete, è sicuramente sotto la categoria “non bello” a “ostile”. Può anche causare costi reali, ad esempio quando si attiva un falso allarme. Una volta ho sprecato qualche ora cercando di trovare la fonte di una scansione che qualche teppista di qualche altro reparto ha eseguito senza il nostro permesso (o di chiunque altro sulla rete interna).

A seconda delle circostanze, si potrebbe anche immaginare che la rete non sia visibile fino a quando non ci si trova all'interno dell'area aziendale. Una volta ho lavorato su un sito abbastanza grande da non vedere un segnale wifi dall'esterno (senza misure molto particolari). In questo caso ci sarebbe anche una violazione della fiducia. (So che non è ancora una buona idea gestire un wifi aperto, sapete, i ragazzi dell'IT lo sanno, ma non so se la direzione e le risorse umane lo sanno o lo vogliono sapere).

Immagina che ti abbia invitato a casa mia per un bar in giardino e tu sia arrivato e, mentre eravamo in cucina, hai detto

Sono passato ieri mentre eri al lavoro. Quella recinzione non tiene fuori nessuno. Ho notato che il tuo set di altalene non è ancorato correttamente al terreno - potrebbe essere pericoloso se i bambini più grandi dondolano molto forte. Inoltre, la spaziatura sui binari del vostro ponte è troppo larga, in questi giorni il codice specifica X pollici e voi avete Y.

Io starei lì in piedi con la bocca aperta a fissare la vostra maleducazione. Nessuno te l'ha chiesto, non hai controllato se andava bene, ti sei solo intromesso e ora stai criticando. Certo, la sicurezza dei bambini sui set di altalene e sul ponte posteriore è davvero importante. Ma lo sono anche le regole della società educata. Un ospite migliore non invaderebbe il cortile posteriore senza consenso e non spiffererebbe un rapporto di ispezione all'inizio di una conversazione. Invece quell'ospite aspetterebbe fino a raggiungere il cortile posteriore con un bicchiere di limonata e poi direbbe

Ooooh, un'altalena. Ne so qualcosa di queste cose. È ancorata correttamente? Posso controllare?

e

Sapete che al giorno d'oggi le rotaie del ponte dovrebbero essere a Y pollici … Sembra che il tuo potrebbe essere più vecchio … Posso prendere il mio metro e confermare se vuoi?

Ora stai mostrando la tua profonda conoscenza della sicurezza in cortile e che possiedi degli strumenti, ma non stai facendo del male a nessuno.

Ora il punto di questa metafora/analogia non è di corrispondere perfettamente all'atto di controllare un wifi aperto e scoprire alcuni nomi di macchine. È per mostrarvi la risposta emotiva che questo comportamento può suscitare. Vi hanno invitato nei loro uffici per un colloquio. Avete fatto qualcosa che è fuori dalla norma di un'intervista, senza permesso o invito, quando non erano lì per vedervi fare un'intervista. E hai criticato le loro operazioni nello stesso paragrafo in cui hai detto loro cosa avevi fatto. Almeno uno di loro era scioccato e sconvolto. L'esperimento di pensiero di cui sopra serve a farti capire quelle sensazioni di essere scioccato e sconvolto.

Per lasciarti alle spalle la metafora/analogia, come avresti potuto gestire meglio questa situazione? Anziché far trapelare i risultati all'inizio dell'intervista, avreste potuto aspettare fino a discutere l'aspetto della sicurezza e poi dire “molte buone aziende non hanno idea che le loro reti sono vulnerabili ad alcuni degli attacchi più recenti”. Potrei eseguire una scansione di 5 minuti sul vostro wifi degli ospiti, se volete". Naturalmente potreste fare questa offerta con fiducia perché l'avete già fatta nella lobby :-). Ora stai mostrando le tue capacità e i tuoi strumenti, nel giusto contesto e con il permesso. Li hai anche messi in una faccia-save che non significa che sono idioti se trovi qualcosa. Quando lo trovi, puoi dire loro che sai come cambiare le cose in modo che la vulnerabilità sia chiusa. Ora vogliono assumerti invece di offenderti.

Ho detto loro che si tratta di un problema serio e che non devono aspettare che io o chiunque altro venga assunto.

Ho fatto bene a dire loro che l'ho fatto?

Fare la predica a un intervistatore è raramente un buon modo per ottenere un lavoro.

Ho ucciso le mie possibilità con loro?

Non c'è modo di sapere la risposta a questa domanda a meno che non la si senta direttamente da loro.

Dovrei farlo di nuovo con altre opportunità di lavoro (se qualcosa è stato scoperto per caso)?

Attendere fino a quando la sua valutazione non sarà sollecitata in modo specifico, o fino a quando non sarà assunto.

L'esecuzione di una scansione sulla loro rete è stata molto sconsiderata, e in alcuni luoghi avrebbe potuto farvi accusare di un crimine.

Potreste voler leggere il caso di Randall Schwarz , un noto autore tecnico. Negli anni ‘90 era un amministratore di sistema a contratto per il gruppo dei super computer della Intel. Era preoccupato per la sicurezza del gruppo, così ha eseguito un cracker di password su alcuni degli account dei suoi colleghi. Sebbene fosse un appaltatore della Intel, i test di sicurezza e di penetrazione non erano ufficialmente nei suoi compiti, e finì per essere condannato per due reati per le sue attività. Molti pensavano che le condanne fossero un'ingiustizia, e nel 2007 le condanne sono state sigillate. In ogni caso, questo dimostra in che tipo di acque profonde si può finire, quando si decide di dare una mano con le vulnerabilità di sicurezza, senza che gli venga effettivamente chiesto di farlo.

Farò un contrappunto alla maggior parte delle risposte qui. Le altre risposte sono corrette, da un punto di vista strettamente aziendale, siete in torto. Tuttavia, penso che tu abbia fatto quello che hai fatto perché hai fiducia nelle tue capacità, e vai alla ricerca di problemi da risolvere, che sono grandi caratteristiche da avere, ma non si adattano ad ogni cultura aziendale.

Ci saranno alcuni posti che andranno bene con questo, ma una tale vena di indipendenza è anche grande per l'imprenditorialità. Potresti essere adatto ad avviare la tua attività.

Quindi, direi che hai 3 opzioni: 1. 1. Cercate di conformarvi maggiormente alla cultura aziendale, 2. Non conformatevi, ma rischiate di non trovare lavoro, 3. Seguite la strada delle piccole imprese.

Risposta breve:

# Non testare|l'accesso|a qualsiasi cosa senza un'esplicita autorizzazione.

Ho ucciso le mie possibilità con loro?

Sicuramente.

Ps: Downvote quanto volete, ma l'OP ha infranto una delle prime regole dell'IT/Pentesting e questo è l'unico obiettivo della mia risposta.

Sia che tu ottenga il lavoro o meno, e che questo abbia aiutato o ostacolato le tue possibilità, quello che hai fatto è stato poco professionale e forse illegale. Se aveste dato un'occhiata al loro sito web pubblico o se aveste avuto una rete totalmente aperta (senza password), sareste stati su un terreno più solido.

All'epoca non eravate stati assunti, e stavate in effetti attaccando la loro rete alla ricerca di vulnerabilità. Come professionista dovresti sapere di non farlo senza un previo accordo e un'indagine sulle possibili conseguenze. C'è una domanda un po’ correlata sullo stack di sicurezza – che chiede se una società pentestata dovrebbe firmare un contratto che promette di non avere conseguenze negative del test e di coprire eventuali danni incurabili. La risposta accettata dice “Ho fatto cadere i sistemi con una scansione delle porte”. È impossibile sapere cosa farà il codice di qualcun altro, e quindi quali potrebbero essere le conseguenze negative dell'intrappolamento con esso. Si mette a rischio la loro organizzazione, senza preavviso, accordo o giustificazione.

Usare il loro sistema nel modo in cui è destinato ad essere usato e vedere cosa succede, è giustificabile, l'uso non standard non lo è. Ciò include il tentativo di indovinare un nome utente/password – l'uso standard è quello di avere un nome utente e una password, non di cercare di trovarne uno.

Tutte le risposte sono giuste IMHO, sia quelle che incoraggiano il comportamento che quelle che lo scoraggiano, ma mi sfugge qualcosa di importante: il fatto che l'intervista è stata fatta a persone diverse, che per caso hanno obiettivi diversi.

Il capo dell'IT vuole qualcuno in grado di pensare fuori dagli schemi, qualcuno in grado di prendere iniziative, e di identificare facilmente eventuali carenze che potrebbero esserci. Naturalmente è interessato a un profilo di questo tipo.

Il responsabile delle Risorse Umane vuole proteggere l'azienda dai dipendenti. Questo è il lavoro. Identificare qualsiasi danno che un dipendente potrebbe fare e proteggere lo studio da questo. La maggior parte delle volte, è più sul piano legale o relazionale, ma se le Risorse Umane ritengono che ci sia un potenziale dipendente che potrebbe essere abbastanza intelligente da aggirare i titoli standard, al di fuori di una revisione contabile controllata dai capi, allora farà quello per cui è pagato: proteggere lo studio dal (non ancora) dipendente.

Da qui la diversità delle risposte. Se aveste parlato solo con il capo dell'IT, allora (nonostante le questioni legali) il vostro comportamento sarebbe stato intelligente. Questo è ciò di cui ha bisogno. Ma dato che l'HR era presente, avreste dovuto tenere conto del suo ruolo: preservare l'ordine naturale e la gerarchia della società.

Siate consapevoli del fatto che la maggior parte delle società sarà più che disposta a perdere un po’ di efficienza per ottenere un maggiore controllo sui propri dipendenti. Se state cercando un lavoro nell'ambiente aziendale, dovete almeno fingere di rispettare le regole di fronte a coloro che sono pagati per farle rispettare. E cercate di rispettarle davvero, purché ciò non vi impedisca di fare il vostro lavoro. E la prima regola è: non sembrare incontrollabile. Nel mondo aziendale, i manager detengono il potere, e vedono il management come la scienza del controllo (che sia giusto o buono è un altro dibattito che non aprirò).

La trappola è che bisognava formattare il discorso a due pubblici diversi con esigenze e aspettative opposte. Provate a pensare ad entrambi la prossima volta.

Quando si tratta di informazioni o di idee che possediamo, mentre per alcuni potrebbe sembrare contro-intuitivo, è sub-ottimale dire tutto a tutti. Mi ci è voluto più tempo di quanto vorrei ammettere per interiorizzare completamente che non potevo dire nulla e tenerlo per me.

HR non prenderà mai una cosa del genere in un modo diverso da quello che descrivi. Chiunque non capisca NetSec probabilmente considererà lei e il suo commento con estremo sospetto. Le interazioni sia pubbliche che dal palcoscenico e dallo schermo dovrebbero illustrare la verità di questo, c'è tutta una categoria di tropi legati a “specialisti ben intenzionati che cercano di avvertire le persone che non capiscono il potenziale pericolo” che finiscono per essere punite dagli sporchi pagani che hanno tentato di aiutare.

Tienilo per te.

Detto questo, avresti potuto potenzialmente tirare fuori qualcosa di tangenziale e guidare la conversazione fino a dove una versione altamente modificata dei tuoi commenti potrebbe essere percepita come più organica.

Storia vera: Una volta ho lavorato in un posto dove un ragazzo ha trovato una vulnerabilità nel blog dell'intranet dell'azienda. Mentre era a casa, ha postato sul blog da fuori della rete utilizzando la vulnerabilità. Poi, quando è arrivato il giorno dopo, ha inviato la sua brillante scoperta e la prova che era possibile all'IT. Gli è stato subito dato lo status di eroe e un enorme bonus, aumento e promozione. Scherzo, è stato immediatamente licenziato.

Potete ignorare ogni parola di questa risposta se volete ricordare questa frase di cinque parole: **“Avere ragione raramente cambia qualcosa”.

Proverò ad aggiungere un'altra prospettiva.

Ho fatto bene a dire loro che l'ho fatto?

Ci sono paesi in cui unirsi e scansionare la rete è illegale per cominciare. Immaginate di aver trovato una porta LAN nella sede e di aver usato un cavo ethernet per connettervi alla loro rete.

È possibile che le Risorse Umane lo sappiano perché sono più consapevoli delle leggi in materia.

È responsabilità delle Risorse Umane gestire tali responsabilità legali per l'azienda. È possibile che sia questo il motivo per cui non sembravano entusiasti.

Dal punto di vista di chi gestisce la sicurezza delle informazioni: quello che avete fatto non è stato intelligente.

Era per dimostrare che siete esperti di sicurezza? In questo caso, se vi limitate a dimostrare che potete

• connettervi a un WiFi aperto
• che alcune delle loro macchine erano su quella rete

Se lo etichettate come un problema di sicurezza, allora, scusate, non ne sapete molto di sicurezza. Nemmeno questo responsabile IT lo sa. Questo probabilmente un giorno esploderà.

Quindi quella mossa non è stata una buona mossa.

Forse era per mostrare proattività? Beh, in questo caso non dovreste davvero lavorare nel campo della sicurezza perché farete del male alla vostra azienda facendo queste cose. Ci sono delle regole di ingaggio nella sicurezza e ci si aspetta che un dipendente le segua. Non sei un hacker, non sei un cacciatore di taglie. Non devi fare queste cose.

Comunque la guardi, è stata una mossa stupida se volevi essere assunto.

Vediamo un po’. Dal mio punto di vista voi:

1. Scoperto una rete aperta; (OK)
2. 2. Collegato ad essa; (OK)
3. 3. Ha scoperto di aver bisogno di una userid/password; (OK)
4. Dispositivi interrogati intorno a voi in un apparente tentativo di hacking; (NON OK)
5. Se ne vantava (STUPID!)

Ora, parliamo delle vostre domande individualmente:

1. 1. Ho fatto bene a dire loro che l'ho fatto? No, se avevi il desiderio di lavorare per quella società. Si noti anche che la maggior parte delle aziende per cui ho lavorato mostra un avviso quando ci si connette o si effettua il login che dice qualcosa come “L'accesso non autorizzato non è consentito”. Contatteremo le autorità e vi perseguiremo se ci provate". Si noti anche che l'ignoranza non è una scusa.
2. 1. Ho ucciso le mie possibilità con loro? Se fossi il responsabile delle assunzioni non ti toccherei con un palo di 3 metri. Sei un hacker ammesso, ne sei orgoglioso, e un incidente di sicurezza in attesa di accadere.

3. Dovrei farlo di nuovo con altre opportunità di lavoro (se qualcosa viene scoperto per caso)? Dipende. Vuoi trovare un lavoro o vuoi metterti in mostra? Se il primo, non farlo mai più. Se la seconda - beh, è la tua vita, amico…

4. Come posso ottenere un vantaggio nel colloquio con questo tipo di informazioni? Non si può. Tutto quello che puoi fare è rendere le persone nervose, e le persone che sono nervose per quello che hai fatto, possono farlo, o potrebbero farlo, non ti assumeranno. Guardate le notizie - ogni poche settimane un'altra azienda viene violata, le carte di credito e altre informazioni personali vengono rubate, e sembrano degli idioti, e i loro clienti potrebbero voltarsi e denunciarli. Come persona che lavora nel reparto IT di un importante rivenditore posso dirvi che questa è una delle cose che preoccupa le persone come me. Se pensiamo che lei possa essere un problema, non sarà assunto. Fine della storia.

In bocca al lupo.

Per quanto riguarda le vostre possibilità, dipende fortemente dai poteri del responsabile IT e del responsabile delle risorse umane. Dipende anche dal modo in cui lo avete presentato. Se si trattava di “Ho visto diversi computer con XYZ, qualunque sia il nome, collegati a una rete non protetta”, era più che altro un insulto a chi ha permesso ai proprietari di connettersi alla rete. Se era “Ho visto il tuo computer, mr. Averagejoe, connesso alla rete non protetta” era un insulto diretto a mr. Averagejoe.

Se stai per diventare un esperto di sicurezza, una paranoia non è obbligatoria, ma aiuta. Il tuo controllo su chi è lì con te (nella rete aperta) mostra chiaramente il tuo atteggiamento verso la tua possibile posizione. Ecco perché il responsabile IT è rimasto impressionato.

D'altra parte la vostra presentazione delle vostre scoperte è stata piuttosto scortese. Ecco perché il responsabile delle Risorse Umane ti sostiene e ti controbatte.

Forse hai versato l'olio in una lotta aperta tra i responsabili IT che spingono i problemi di sicurezza a fermarsi e gli altri con l'atteggiamento “Di cosa diavolo stanno parlando quelli strani? Qualcosa come il discorso di Moss sul non disabilitare il firewall in IT Crowd S2E1.

La prossima volta, fate questo controllo preferibilmente quando vi viene chiesto nell'intervista. Se non riuscite a resistere, tenete i risultati fino al momento in cui i trasgressori sono fuori dalla portata vocale e state discutendo solo con lo staff IT.

Ciò pregiudicherà le vostre possibilità perché avete dimostrato di non comprendere il concetto di _area di responsabilità. _ Voi:

• non avete spiegato come siete stati autorizzati a farlo (indipendentemente da ciò che le leggi possono dire: dovete convincere loro, non il giudice) e l'impatto delle vostre azioni in termini non tecnici
• avete iniziato a dire loro (invece di limitarvi a suggerire) come dovrebbero fare le cose senza essere la persona responsabile di quelle cose o un consulente a contratto

• In ambienti consolidati, ogni area e compito ha una persona responsabile (praticamente sempre, una sola persona; le decisioni di gruppo sono tipicamente giustificate solo per questioni complesse e strategiche piuttosto che per compiti quotidiani). Questa persona è l'unica che può prendere decisioni in quell'area. Questo per assicurarsi che abbia il quadro completo e che gli venga applicata una visione unificata.
• Se non siete quella persona e vedete un problema, il vostro compito è quello di rapportarglielo e lasciarglielo se qualcosa deve essere fatto.
• Questo perché anche se sapete che questo è un problema, non avete il quadro completo per essere in grado di soppesare tutti i pro e i contro, e non vi assumete la responsabilità delle vostre azioni. Come altri hanno detto, la sicurezza è un esercizio di gestione del rischio: vale la pena di fare qualcosa solo se è meno costoso che non farla.
• (Anticipare i commenti degli aspiranti ribelli:) Scavalcare le loro teste è possibile e a volte può essere la strada da percorrere per ottenere qualcosa, ma è un'attività seria e rischiosa, poiché è necessario in qualche modo convincere i superiori a sostenere i costi piuttosto elevati di mettere in discussione la competenza di un subordinato importante (fare una valutazione indipendente delle loro capacità e del loro lavoro è tempo, denaro e malcontento duraturo di quella persona, a prescindere dal metodo e dal risultato).

• Quello che avete detto loro sulla scansione fondamentalmente suonava ad una persona non tecnica: “Ho violato la vostra rete e potenzialmente ho interrotto la vostra attività - tutto solo perché ne avevo voglia”.

• Questo è ciò che ha provocato una reazione difensiva. “No, la nostra attività è certamente abbastanza protetta se siamo ancora in attività, e di certo non potresti violarla così facilmente! Quello che lei sostiene non può essere vero ed è una semplice diffamazione ("perché questo danneggerebbe la nostra reputazione se gli altri ci credessero (a prescindere dal fatto che sia vero o meno), quindi non la prendiamo affatto bene)”

• E una persona con una tale mentalità non è certo una persona che vuole vedere nel raggio di un miglio dalla sua infrastruttura critica.

• Ora, ovviamente non è quello che ha fatto lei. Ma non siete riusciti a trasmetterlo in un modo che loro possano capire.

• Avreste dovuto dire qualcosa del genere: “Mentre aspettavo nell'atrio, ho notato una rete wifi aperta con il nome della vostra azienda. Poiché il mio lavoro comprenderà la sicurezza delle informazioni, ho colto l'occasione per farmi un'idea delle vostre attuali pratiche. Ho notato questo e questo, che è potenzialmente una vulnerabilità, anche se dipende "1. Se sembrano ancora terrorizzati, aggiungete qualcosa del tipo: "Posso dire con fiducia (e i tuoi colleghi lo confermerebbero) che questo non potrebbe assolutamente disturbare nulla con una stabilità di, tipo, un'installazione di Windows”

• Questo dimostrerebbe che sei stato autorizzato a farlo perché si suppone e ci si aspetta che i buoni candidati siano proattivi nella ricerca dell'azienda; hai soppesato i rischi e hai preso una decisione informata; e stai semplicemente suggerendo che questo potrebbe essere un problema piuttosto che affermare apertamente che, dato che non sei tu il responsabile e quindi non hai tutte le informazioni per poter fare affermazioni così categoriche.

1sull'estensione della rete, su quanto tempo e con quale frequenza le macchine vi rimangono, che tipo di informazioni e/o funzionalità contengono e quanto bene sono protette.