Een stunt als deze zou - in de meeste omgevingen - een show-stopper van HR zijn. De reden hiervoor is heel eenvoudig: Je wist wat je deed, en het was _n van je verantwoordelijkheden om de test uit te voeren.

Als je toevallig op een “The shares showed up in the windows explorer” manier tegen het probleem aanliep, zou het waarschijnlijk ok zijn geweest. Maar een beveiligingsprofessional moet weten dat het draaien van een netwerkscanner op een netwerk, waar dit niet is goedgekeurd door de beheerder van het netwerk, zeker onder de categorie “niet leuk” tot “vijandig” valt. Het kan ook echte kosten veroorzaken, bijvoorbeeld wanneer u een vals alarm veroorzaakt. Ik heb ooit een paar uur verspild aan het zoeken naar de bron van een scan die een of andere punker van een andere afdeling zonder onze toestemming heeft uitgevoerd (of iemand anders op het interne netwerk).

Afhankelijk van de omstandigheden zou men zich ook kunnen voorstellen dat het netwerk niet zichtbaar is totdat je binnen het bedrijfsgebied bent. Ik heb ooit op een site gewerkt die groot genoeg was om geen wifi-signaal van buitenaf te zien (zonder zeer speciale maatregelen). In dat geval zou er zelfs sprake zijn van een vertrouwensbreuk. (Ik weet dat het nog steeds geen goed idee is om een open wifi te runnen, weet je, IT jongens weten het, maar ik weet niet of het management en HR het weten of willen horen).

Stel je voor dat ik je bij mij thuis uitnodigde voor een achtertuinbar be que en je kwam aan en, terwijl we in de keuken waren, zei

Ik kwam gisteren langs terwijl je aan het werk was. Dat hek houdt niemand buiten. Ik merkte dat je schommelset niet goed in de grond verankerd is - dat zou onveilig kunnen zijn als grotere kinderen echt hard schommelen. Ook is de afstand op je dekrails te groot, tegenwoordig geeft de code X inches aan en heb je Y.

Ik zou daar staan met mijn mond open te staren naar je onbeschoftheid. Niemand heeft het je gevraagd, je hebt niet gecontroleerd of het oké was, je bent gewoon binnengedrongen en nu heb je kritiek. Tuurlijk, de veiligheid van kinderen op schommelsets en achterdek is echt belangrijk. Maar de regels van de beleefde maatschappij zijn dat ook. Een betere gast zou de achtertuin niet binnenvallen zonder toestemming en zou niet vroeg in een gesprek een inspectierapport uitwissen. In plaats daarvan zou die gast wachten tot hij de achtertuin bereikt met een glas limonade en dan zeggen

Ooooh, een schommelset. Daar weet ik wel wat van. Is het goed verankerd? Mag ik even kijken?

en

Je weet dat de dekrails tegenwoordig Y inches moeten zijn… Het lijkt erop dat de jouwe misschien ouder is… Ik kan mijn meetlint pakken en bevestigen als je wilt?

Nu laat je je diepe kennis van de veiligheid in de achtertuin zien en dat je gereedschap bezit, maar je doet niemand kwaad.

Nu is het punt van deze metafoor/analogie niet perfect overeen te komen met de daad van het controleren van een open wifi en het ontdekken van een aantal machinenamen. Het is om je de emotionele reactie te laten zien die dit gedrag kan uitlokken. Ze nodigden u uit in hun kantoren voor een interview. U deed iets wat buiten de norm van een interview valt, zonder toestemming of uitnodiging, wanneer ze er niet waren om u te zien doen. En u bekritiseerde hun operaties in dezelfde paragraaf waarin u hen vertelde wat u had gedaan. Tenminste één van hen was geschokt en van streek. Het gedachte-experiment hierboven is om je te leiden naar een begrip van die gevoelens van geschoktheid en ontsteltenis.

Om de metafoor/analogie achter je te laten, hoe had je dit beter kunnen aanpakken? In plaats van je resultaten in het begin van het interview te vertroebelen, had je kunnen wachten tot je het veiligheidsaspect had besproken en dan zeggen: “veel goede bedrijven hebben geen idee dat hun netwerken kwetsbaar zijn voor sommige van de nieuwere aanvallen. Ik kan een 5 minuten durende scan uitvoeren op uw gastwifi als u dat wilt.” Je zou dit aanbod natuurlijk met vertrouwen kunnen doen omdat je het al in de lobby hebt gedaan :-). Nu laat je je vaardigheden en je tools zien, in de juiste context en met toestemming. Je zet ze zelfs een gezicht op, zodat het niet betekent dat ze idioten zijn als je iets vindt. Als je het vindt, kun je ze vertellen dat je weet hoe je dingen moet veranderen, zodat de kwetsbaarheid wordt weggenomen. Nu willen ze je inhuren in plaats van beledigd te zijn.

Ik heb ze verteld dat dit een serieus probleem is en dat ze niet moeten wachten tot ik of iemand anders is aangenomen.

Heb ik gelijk als ik zeg dat ik dat heb gedaan?

Een gesprekspartner voordragen is zelden een goede manier om een baan te krijgen.

Heb ik mijn kansen met hen verknald?

Er is geen manier om het antwoord daarop te weten, tenzij je rechtstreeks van hen hoort.

Moet ik het opnieuw doen met andere vacatures (als er per ongeluk iets is ontdekt)?

Wacht tot je beoordeling specifiek wordt gevraagd, of tot je wordt aangenomen.

Het uitvoeren van een scan op hun netwerk was zeer onverstandig, en op sommige locaties had je van een misdrijf kunnen worden beschuldigd.

Misschien wil je de zaak van Randall Schwarz , een bekende techneut, eens doornemen. In de jaren negentig was hij een contractsysteembeheerder voor de supercomputergroep bij Intel. Hij maakte zich zorgen over de veiligheid in de groep, dus hij voerde een wachtwoordkraker uit op enkele van de accounts van zijn collega’s. Hoewel hij een aannemer van Intel was, waren beveiliging en penetratietesten niet officieel in zijn takenpakket, en hij werd uiteindelijk veroordeeld voor twee misdrijven voor zijn activiteiten. Velen dachten dat de veroordelingen een onrechtvaardigheid waren, en in 2007 werden de veroordelingen verzegeld. Hoe dan ook, het laat zien in wat voor soort diep water je terecht kunt komen, als je besluit om te helpen met beveiligingslekken, zonder dat je daar echt om gevraagd wordt.

Ik zal de meeste antwoorden hier in een tegengestelde richting bekijken. De andere antwoorden zijn juist, vanuit een strikt bedrijfsperspectief, je bent in de fout. Ik denk echter dat je hebt gedaan wat je hebt gedaan omdat je vertrouwen hebt in je capaciteiten, en je gaat op zoek naar problemen om op te lossen, die geweldige eigenschappen hebben, maar die niet in elke bedrijfscultuur passen.

Er zullen een aantal plaatsen zijn die dit goed zullen doen, maar zo'n onafhankelijkheidsstreep is ook geweldig voor het ondernemerschap. Je bent misschien wel geschikt voor het starten van een eigen bedrijf.

Dus, ik zou zeggen dat je 3 opties hebt: 1. 1. Probeer je meer te conformeren aan de bedrijfscultuur, 2. Niet conformeren, maar het risico lopen dat je geen baan krijgt, 3. Ga de route van de kleine bedrijven.

Kort antwoord:

Test niets zonder expliciete toestemming.

_Dood ik mijn kansen met hen? _

Ps: Downvote zoveel als je wilt, maar de OP brak een van de eerste regels in IT/Pentesting en dat is het enige doel van mijn antwoord.

Of je nu de baan krijgt of niet, en of dit je kansen hielp of belemmerde, wat je deed was onprofessioneel en mogelijk illegaal. Als je naar hun publieke website had gekeken of ze een volledig open netwerk hadden gehad (geen wachtwoord), dan was je op een steviger voetstuk terechtgekomen.

Je was toen nog niet ingehuurd, en je viel in feite hun netwerk aan op zoek naar kwetsbaarheden. Als professional moet je weten dat je dat niet moet doen zonder voorafgaande toestemming en onderzoek naar mogelijke gevolgen. Er is een enigszins verwante vraag op de beveiligingsstapel – met de vraag of een Pinksterbedrijf een contract moet ondertekenen waarin wordt beloofd dat het geen negatieve gevolgen van de test zal hebben en dat het eventuele schade zal vergoeden. Het geaccepteerde antwoord luidt: “Ik heb systemen omvergeworpen met een poortscan”. Het is onmogelijk om te weten wat de code van iemand anders gaat doen, en dus wat de negatieve gevolgen kunnen zijn als men zich ermee gaat bemoeien. Je brengt hun organisatie in gevaar, zonder waarschuwing, overeenkomst of rechtvaardiging.

Hun systeem gebruiken zoals het bedoeld is en zien wat er gebeurt, is gerechtvaardigd, niet-standaard gebruik is dat niet. Dat houdt ook in dat je probeert een gebruikersnaam/wachtwoord te raden – standaard gebruik is om een gebruikersnaam en wachtwoord te hebben, niet om te proberen er een te vinden.

Alle antwoorden zijn juist IMHO, zowel diegene die het gedrag aanmoedigen als diegene die het ontmoedigen, maar iets belangrijks missen voor mij : het feit dat het interview met verschillende mensen was, die toevallig verschillende doelen hebben.

De IT baas wil iemand die in staat is om out of the box te denken, iemand die in staat is om initiatieven te nemen, en om gemakkelijk eventuele tekortkomingen te identificeren die er zouden kunnen zijn. Natuurlijk is hij geïnteresseerd in een dergelijk profiel.

De HR baas wil het bedrijf beschermen tegen de werknemers. Dat is het werk. Identificeer eventuele schade die een werknemer zou kunnen aanrichten, en bescherm het bedrijf daartegen. Meestal is het meer op juridisch of relationeel niveau, maar als de HR denkt dat er een potentiële werknemer is die slim genoeg is om de standaard zekerheden te omzeilen, buiten een door de koper gecontroleerde audit, dan zal hij doen waarvoor hij betaald wordt: het kantoor beschermen tegen de (nog niet) werknemer.

Vandaar de diversiteit aan antwoorden. Als u alleen met de IT-baas had gesproken, dan zou uw gedrag (ondanks juridische problemen) slim zijn geweest. Dat is wat hij nodig heeft. Maar aangezien de HR aanwezig was, had je rekening moeten houden met zijn rol : het behoud van de natuurlijke orde en hiërarchie van het bedrijf.

Wees je ervan bewust dat de meeste bedrijven meer dan bereid zullen zijn om wat efficiëntie te verliezen om meer controle te krijgen over hun werknemers. Als u op zoek bent naar een baan in de bedrijfsomgeving, moet u op zijn minst doen alsof u de regels in acht neemt ten overstaan van degenen die worden betaald om ze af te dwingen. En probeer ze ook daadwerkelijk te respecteren, zolang het niet duidelijk is dat het je niet belet om je werk te doen. En de eerste regel is: zie er niet onbeheersbaar uit. In de bedrijfswereld hebben managers de macht, en zien ze het management als de wetenschap van de controle (of het nu goed of juist is, is een ander debat dat ik niet zal openen).

De valkuil is dat je je toespraak moest opmaken voor twee verschillende publieken met tegengestelde noden en verwachtingen. Probeer de volgende keer aan beide te denken.

Als het gaat om informatie of ideeën die we bezitten, terwijl het voor sommigen misschien contra-intuïtief lijkt, is het suboptimaal om iedereen alles te vertellen. Het kostte me meer tijd dan ik zou willen toegeven om me volledig te verinnerlijken dat ik gewoon niets kon zeggen en het voor mezelf kon houden.

HR zal zoiets nooit op een andere manier nemen dan wat je beschrijft. Iedereen die NetSec niet begrijpt, zal jou en je commentaar waarschijnlijk met grote argwaan bekijken. Interacties zowel in het openbaar als van het toneel en het scherm moeten de waarheid hiervan illustreren, er is een hele categorie van tropen die gerelateerd zijn aan “goedbedoelende specialist probeert mensen te waarschuwen die niet begrijpen wat potentieel gevaar is” die uiteindelijk gestraft worden door de ongewassen heidenen die ze probeerden te helpen.

Hou het voor jezelf.

Dat gezegd hebbende, had je mogelijk iets tangentieel gerelateerd naar voren kunnen brengen en het gesprek kunnen sturen naar waar een sterk bewerkte versie van je commentaar als meer organisch zou kunnen worden ervaren.

Ware verhaal: Ik heb ooit gewerkt op een plek waar een man een kwetsbaarheid vond in de intranet blog van het bedrijf. Terwijl hij thuis was, postte hij op de blog van buiten het netwerk met behulp van de kwetsbaarheid. Toen hij de volgende dag binnenkwam, stuurde hij zijn briljante vondst en het bewijs dat het mogelijk was om te ITen. Hij kreeg meteen een heldenstatus en een enorme bonus, verhoging en promotie. Grapje, hij werd onmiddellijk ontslagen.

Je kunt elk woord van dit antwoord negeren als je je deze vijf woordzinnen wilt herinneren: **“Het feit dat je gelijk hebt, verandert zelden iets.”

Ik ga proberen een ander perspectief toe te voegen.

Had ik gelijk toen ik zei dat ik dat deed?

Er zijn landen waar ** toetreden tot en scannen van het netwerk illegaal is om te beginnen**. Stel je voor dat je een LAN-poort hebt gevonden en een ethernetkabel hebt gebruikt om verbinding te maken met hun netwerk.

Het is mogelijk dat HR dit weet omdat ze zich meer bewust zijn van de betrokken wetten.

Het is de verantwoordelijkheid van HR om dergelijke wettelijke verplichtingen voor het bedrijf te beheren. Het is mogelijk dat ze daarom minder enthousiast zijn.

Vanuit het perspectief van iemand die informatiebeveiliging runt: wat je deed was niet slim.

Was het om te laten zien dat je een expert bent op het gebied van beveiliging? In dat geval als je gewoon laat zien dat je

• verbinding kunt maken met een open WiFi
• dat sommige van hun machines op dat netwerk

stonden Als je dit als een beveiligingsprobleem bestempelt, dan weet je helaas niet veel over beveiliging. Deze IT manager weet dat ook niet. Dit zal waarschijnlijk op een dag wel eens gebeuren.

Dus die zet was niet goed.

Misschien was het wel om proactiviteit te tonen? Nou in dat geval moet je echt niet in de beveiliging werken omdat je je bedrijf gaat kwetsen door zulke dingen te doen. Er zijn engagement regels in de beveiliging en van een werknemer wordt verwacht dat hij of zij zich daaraan houdt. Je bent geen hacker, je bent geen premiejager. Je moet deze dingen niet doen.

Hoe je het ook bekijkt, het was een domme zet als je aangenomen wilde worden.

Dus, laten we eens kijken. Vanuit mijn gezichtspunt jij:

1. Ontdekte een open netwerk; (OK)
2. 2. Verbonden aan het; (OK)
3. 3. Ontdekt dat het een userid/wachtwoord nodig had; (OK)
4. Onderzochte apparaten om je heen in een schijnbare hackpoging; (NIET OK)
5. Opgeschept over het (STUPID!)

Nu, laten we uw vragen individueel behandelen:

1. 1. Had ik gelijk toen ik zei dat ik dat deed? Niet als je de wens had om voor dat bedrijf te werken. Merk ook op dat de meeste bedrijven waar ik voor heb gewerkt een waarschuwing laten zien als je verbinding maakt of inlogt met iets als “Onbevoegde toegang is niet toegestaan. We zullen contact opnemen met de autoriteiten en u vervolgen als u het probeert”. Merk ook op dat onwetendheid geen excuus is.

2. Heb ik mijn kansen met hen gedood? Als ik de inhuurmanager was, zou ik je niet aanraken met een 10 voet paal. Je bent een toegegeven hacker, trots op het, en een veiligheidsincident wachtend.

3. Moet ik het weer doen met andere vacatures (als er per ongeluk iets wordt ontdekt)? Dat hangt ervan af. Wil je een baan, of wil je pronken? Als het eerste, doe dit dan nooit meer. Als de laatste - nou ja, het is jouw leven, maatje…

4. Hoe kan ik een voorsprong krijgen in het sollicitatiegesprek met dit soort informatie? Dat kan je niet. Het enige wat je kunt doen is mensen nerveus maken, en mensen die nerveus zijn over wat je hebt gedaan, kan doen, of misschien doet, zullen je niet aannemen. Kijk naar het nieuws - om de paar weken wordt een ander bedrijf gehackt, creditcards en andere persoonlijke informatie worden gestolen, en ze zien er uit als idioten, en hun klanten kunnen zich omdraaien en hen aanklagen. Als iemand die op de IT-afdeling van een grote retailer werkt, kan ik u vertellen dat dit een van de dingen is waar mensen zoals ik zich zorgen over maken. Als we denken dat u zelfs mogelijk een probleem bent, wordt u niet aangenomen. Einde verhaal.

Veel succes.

Wat uw kansen betreft, hangt het sterk af van de bevoegdheden van de IT-manager en de HR-manager. Het hangt ook af van de manier waarop je het presenteert. Als het was “Ik zag verschillende computers met XYZ-wat namen verbonden met een onbeveiligd netwerk” was het meer een belediging voor degene die de eigenaren in staat stelde om verbinding te maken met het netwerk. Als het was “Ik zag uw computer, mr. Averagejoe, verbonden met het onbeveiligde netwerk” dan was het een regelrechte belediging voor mr. Averagejoe.

Als u op het punt staat een beveiligingsman te worden, is een paranoia niet verplicht, maar het helpt wel. Je check wie er bij je is (in het open netwerk) laat duidelijk zien wat je houding is ten opzichte van je mogelijke positie. Daarom was de IT-manager onder de indruk.

Aan de andere kant was je presentatie van je bevindingen nogal onbeleefd. Dat is waarom de HR-manager je steunt en tegenwerkt.

Misschien heb je olie gegoten in een open gevecht tussen IT'ers die de beveiligingsproblemen tegenhouden en de anderen met de houding “Waar hebben die rare mensen het verdomme over? Zoiets als Moss’ praatje over het niet uitschakelen van de firewall in IT Crowd S2E1.

Doe de volgende keer deze controle bij voorkeur als je het vraagt in het interview. Als je het niet kunt weerstaan, houd de bevindingen dan vast aan het moment dat de brekers buiten het vocale bereik zijn en je alleen over het IT-personeel praat.

Dit zal je kansen schaden ** omdat je hebt laten zien dat je het concept van _gebied van verantwoordelijkheid niet begrijpt. _** U:

• heeft niet uitgelegd hoe u daartoe bevoegd was (ongeacht welke wetten er gelden: je moet het overtuigen, niet de rechter) en de impact van je acties in niet-technische termen

• begon hen te vertellen (in tegenstelling tot alleen maar te suggereren) hoe ze de dingen moeten doen zonder de verantwoordelijke voor die dingen of een gecontracteerde consultant

• in gevestigde omgevingen heeft elk gebied en elke taak een persoon die er verantwoordelijk voor is (vrijwel altijd, een enkele persoon; groepsbeslissingen zijn meestal alleen gerechtvaardigd voor complexe, strategische zaken in plaats van alledaagse taken). Die persoon is de enige die beslissingen kan nemen op dat gebied. Dit is om ervoor te zorgen dat ze het hele plaatje hebben en dat er een uniforme visie op wordt toegepast.

• Als je niet die persoon bent en een probleem ziet, is het je taak om het aan hen te rapporteren en aan hen over te laten als er iets aan gedaan moet worden.

• Zelfs als je weet dat dit een probleem is, heb je niet het hele plaatje om alle voors en tegens te kunnen afwegen, en draag je niet de verantwoordelijkheid voor je acties. Zoals anderen al hebben gezegd, is veiligheid een oefening in risicomanagement: iets is alleen de moeite waard om te doen als het minder kostbaar is dan om het niet te doen.

• (Anticiperen op opmerkingen van zogenaamde rebellen:) Over hun hoofd gaan is mogelijk en kan soms de manier zijn om iets gedaan te krijgen, maar het is serieus en riskant omdat je op de een of andere manier de hoger opgeleiden moet overtuigen om de nogal zware kosten te maken van het in vraag stellen van de competentie van een belangrijke ondergeschikte (het doen van een onafhankelijke beoordeling van hun vaardigheden en werk is tijd, geld en blijvende ontevredenheid van die persoon, ongeacht de methode en het resultaat).

• Wat je hen vertelde over de scan klonk in principe voor een niet-technisch persoon: “Ik heb uw netwerk doorbroken en mogelijk uw bedrijf verstoord – alleen maar omdat ik er zin in had”.

• Dit is wat een defensieve reactie uitlokte. “Nee, ons bedrijf is zeker goed genoeg beschermd als we nog steeds in bedrijf zijn, en je zou het zeker niet zo gemakkelijk kunnen doorbreken! Wat je beweert kan niet waar zijn en is gewoon laster (‘want dit zou onze reputatie schaden als anderen het geloven (ongeacht of het waar is), dus daar zijn we zeker niet vriendelijk voor)”

• En een persoon met zo'n mentaliteit is zeker niet iemand die hij of zij binnen een straal van een mijl van zijn of haar kritische infrastructuur wil zien.

• Dat is natuurlijk niet wat je hebt gedaan. Maar je hebt gefaald om dat over te brengen op een manier die zij kunnen begrijpen.

• Je had dit zoiets moeten zeggen: “Toen ik in de lobby stond te wachten, zag ik een open wifi-netwerk met de naam van je bedrijf. Aangezien mijn werk ook informatiebeveiliging zal omvatten, heb ik de gelegenheid te baat genomen om een idee te krijgen van uw huidige praktijken. Ik heb dit en dit opgemerkt, wat een mogelijke kwetsbaarheid is, al hangt het ervan af. "1 Als ze er nog steeds doodsbang uitzien, voeg dan iets toe als: "Ik kan met vertrouwen zeggen (en je collega’s zouden dat bevestigen) dat dit absoluut niets kan verstoren met een stabiliteit van, zoals, een voorraad Windows installatie”

• Dit zou aantonen dat je geautoriseerd bent om dat te doen omdat goede kandidaten verondersteld worden en verwacht worden om proactief te zijn in het onderzoeken van het bedrijf; je hebt de risico’s afgewogen en een weloverwogen beslissing genomen; en je suggereert alleen maar dat dit een probleem zou kunnen zijn in plaats van ronduit te zeggen dat je niet degene bent die verantwoordelijk is en dus niet over de volledige informatie beschikt om zulke categorische uitspraken te kunnen doen.

1 op het bereik van het netwerk, hoe lang en hoe vaak machines er op blijven staan, wat voor informatie en/of functionaliteit ze bevatten en hoe goed ze beveiligd zijn.