Такой трюк - в большинстве случаев - будет шоу-стоппером от HR. Причина этого очень проста: Вы знали, что делаете, и это было none из ваших обязанностей, чтобы выполнить тест.

Если бы вы случайно столкнулись с проблемой в “акции появились в windows explorer” способом, это, вероятно, было бы нормально. Но специалист по безопасности должен знать, что запуск сетевого сканера в сети, где это не было согласовано администратором сети, определенно относится к категории “нехорошо” или “враждебно”. Это также может привести к реальным затратам, например, при ложном срабатывании тревоги. Однажды я потратил несколько часов, пытаясь найти источник сканирования, которое какой-то панк из другого отдела запустил без нашего разрешения (или кто-то еще из внутренней сети).

В зависимости от обстоятельств, можно также представить, что сеть не видна, пока вы не окажетесь внутри компании. Однажды я работал на сайте достаточно большого размера, чтобы вы не видели wifi сигнал снаружи (без особых мер). В этом случае даже произошло бы нарушение доверия. (Я знаю, что все равно не очень хорошая идея запускать открытый wifi, вы знаете, IT парни знают, но я не знаю, знает ли руководство и HR или хочет услышать).

Представьте себе, я пригласил вас к себе домой в бар на заднем дворе быть que, и вы пришли, и, пока мы были на кухне, сказал

Я заходил вчера, пока вы были на работе. Этот забор никого не удерживает. Я заметил, что ваш набор качелей неправильно закреплен на земле - это может быть небезопасно, если большие дети будут качаться очень сильно. Кроме того, расстояние на рельсах вашей палубы слишком велико, в наши дни код указывает X дюймов, и у вас есть Y.

Я бы стоял там с открытым ртом и смотрел на вашу грубость. Никто вас не спрашивал, вы не проверяли, все ли в порядке, вы просто вторгались и теперь критикуете. Конечно, безопасность детей на качелях и задней палубе очень важна. Но и правила вежливого общества тоже. Лучший гость не стал бы вторгаться на задний двор без согласия и не размыл бы отчет о проверке на ранней стадии разговора. Вместо этого гость подождет, пока не достигнет задней палубы с бокалом лимонада, а затем скажет

Ooooh, качели. Я немного знаю об этом. Он правильно закреплен? Могу я проверить?

и

Вы знаете, что в наши дни палубные рельсы должны быть Y дюймов … Похоже, твои могут быть старше… Я могу взять свою измерительную рулетку и подтвердить, если хотите?

Теперь вы показываете свои глубокие знания о безопасности на заднем дворе и о том, что у вас есть инструменты, но вы никому не причиняете вреда.

Теперь смысл этой метафоры/аналогии не в том, чтобы идеально соответствовать акту проверки открытого wifi и обнаружения некоторых названий машин. Она заключается в том, чтобы показать вам эмоциональный ответ, который такое поведение может вызвать. Они пригласили вас на собеседование в свой офис. Вы сделали что-то, что выходит за рамки нормы проведения интервью, без разрешения или приглашения, когда их не было рядом, чтобы увидеть, как вы это делаете. И вы критиковали их действия в том же абзаце, в котором вы рассказали им о том, что вы сделали. По крайней мере, один из них был шокирован и расстроен. Мыслительный эксперимент выше - привести вас к пониманию этих чувств потрясения и расстроенности.

Оставить метафору/аналогию позади, как вы могли бы справиться с этим лучше? Вместо того, чтобы затушевывать результаты в начале интервью, вы могли бы подождать, пока не обсудите аспект безопасности, а затем сказать: “Многие хорошие компании понятия не имеют о том, что их сети уязвимы для некоторых новых атак”. Я мог бы провести 5-минутное сканирование на вашем гостевом Wi-Fi, если хотите". Конечно, Вы могли бы сделать это предложение с уверенностью, потому что Вы уже сделали это в лобби :-). Теперь вы показываете свои навыки и инструменты, в правильном контексте и с разрешения. Вы даже настраиваете их на то, чтобы они не были идиотами, если что-то найдете. Когда Вы найдете это, Вы можете сказать им, что знаете, как изменить вещи так, чтобы уязвимость была закрыта. Теперь они хотят нанять тебя, вместо того, чтобы обижаться.

Я сказал им, что это серьезная проблема и не должен ждать, пока меня или кого-то еще наймут. Я был прав, сказав им, что я это сделал? Лекции для интервьюеров редко являются хорошим способом получить работу. Я убил свои шансы с ними?

Нет способа узнать ответ на этот вопрос, если вы не услышите их напрямую.

Должен ли я делать это снова с другими возможностями работы (если что-то было обнаружено случайно)?

Подождите, пока ваша оценка будет специально запрошена, или пока вы не будете приняты на работу.

Выполнение сканирования в их сети было очень плохо продумано, и в некоторых местах вас могли обвинить в преступлении.

Вы, возможно, захотите прочитать о деле Randall Schwarz , хорошо известного технического автора. В 1990-х годах он был системным администратором по контракту для суперкомпьютерной группы Intel. Его беспокоила безопасность в группе, поэтому он запустил взломщик паролей на некоторых учетных записях своего коллеги. Хотя он был подрядчиком Intel, тестирование на безопасность и проникновение официально не входило в его обязанности, и в итоге он был осужден за два уголовных преступления, связанных с его деятельностью. Многие считали эти приговоры несправедливыми, и в 2007 году они были опечатаны. Независимо от этого, это показывает, в какой глубокой воде вы можете оказаться, когда решите помочь с уязвимостями безопасности, не будучи на самом деле попрошенным сделать это.

Я приму противоположную точку зрения на большинство ответов здесь. Остальные ответы верны, с сугубо корпоративной точки зрения, вы ошибаетесь. Тем не менее, я думаю, что вы сделали то, что сделали, потому что уверены в своих силах, и ищете решения проблем, которые являются большими чертами, но которые не вписываются в каждую корпоративную культуру.

Будут некоторые места, где это будет нормально, но такая полоса независимости также отлично подходит для предпринимательства. Возможно, вы подходите для того, чтобы начать свой собственный бизнес.

Итак, я бы сказал, что у вас есть 3 варианта: 1. Постарайтесь больше соответствовать корпоративной культуре, 2. Не соглашайтесь, но рискуйте не получить какую-нибудь работу, 3. Идите по пути малого бизнеса.

Короткий ответ:

Нельзя test|access|hack ничего без явного разрешения.

_Убил ли я свои шансы с ними?

Скорее всего.

Пс: Делайте сколько угодно ссылок, но ОП нарушило одно из первых правил в IT/Pentesting, и это единственная цель моего ответа.

Независимо от того, получите вы эту работу или нет, и помогло это вам или помешало вашим шансам, то, что вы сделали, было непрофессиональным и, возможно, незаконным. Если бы вы посмотрели их публичный сайт или у них была полностью открытая сеть (без пароля), вы были бы на более прочной позиции.

Вы не были наняты в то время, и вы, по сути, атаковали их сеть в поисках уязвимостей. Как профессионал, вы должны знать, что не следует делать этого без предварительного согласования и расследования возможных последствий. В стеке безопасности есть связанный с этим вопрос – спросить, должна ли компания-взломщик подписывать договор, обещающий не допускать негативных последствий теста и покрывать любой ущерб, нанесенный в результате. Принятый ответ гласит: “Я опрокинул системы с помощью сканирования портов”. Невозможно узнать, что собирается делать чужой код, и каковы могут быть негативные последствия интракции с ним. Вы подвергаете их организацию риску, без предупреждения, соглашения или оправдания.

Использование их системы так, как она предназначена для использования, и видеть, что происходит, является оправданным, нестандартное использование - нет. Это включает в себя попытку угадать имя пользователя/пароль - стандартное использование заключается в том, что НАСТОЯЩИЕ имя пользователя и пароль, а не в том, чтобы пытаться их найти.

Есть несколько действительно хороших ответов на вопрос о том, почему это было неправильно с точки зрения Infosec, и несколько более обобщенных по этике проведения сканирования без разрешения, но я постараюсь рассмотреть “правильный способ” подхода к подобным ситуациям, основываясь на том, как бы я подумал об этом в интервью, если бы оказался в подобной ситуации.

Был ли я прав, сказав им, что я это сделал? Убил ли я свои шансы вместе с ними? Должен ли я повторить это с другими вакансиями (если что-то было обнаружено случайно)? Как я могу получить преимущество на собеседовании с подобной информацией?

Здесь происходит пара вещей, особенно когда дело доходит до получения преимущества.

Во-первых, есть ли у вас этический императив для обсуждения вопросов безопасности, которые вы заметили (и я думаю, что этика уже была в общем и целом рассмотрена другими).

Во-вторых, наступаете ли вы на пальцы ног, когда указываете на что-то неправильное.

В-третьих, возможно ли, что вы пугаете людей.

Наконец, это создаст негативное впечатление о вас как о кандидате в связи с соответствующим взаимодействием, даже если вы правы.

Изменения всегда должны исходить из места знания, и вы don’t знаете все об окружающем context в интервью

Как пример, в интервью по разработке программного обеспечения, у меня были аргументы, что мы должны использовать язык xyz.

С технической точки зрения, конечно, есть место для улучшений, и одним из таких улучшений может быть изменение в языке. Я мог бы привести аргументы о ценности перехода на определенные языки в течение всего дня. Но споря об этом как о кандидате на работу, кандидат выглядит очень наивным в отношении окружающих проблем, которые могли бы привести к языку, который мы используем, не говоря уже о технических трудностях перехода на другой язык сейчас, и это также встречается как самонадеянность и, возможно, указывает на мелкое мышление.

Вы не знаете, почему WIFI был создан таким образом, так что не предположите, что это без намерения.

Вопрос - это нормально. Я очень ценю вопросы во время интервью. Заметить вещи - это great. Вы можете использовать ** that**, если появится соответствующее открытие:

“Я заметил, что у вас есть открытый WIFI SSID, так что я подумал, что, может быть, он предназначен для гостевой сети, и я мог бы проверить электронную почту на нем и подключиться ненадолго. Как только я увидел страницу с паролем и понял, что он должен быть предназначен для внутренней сети, я отключился, но не мог не заметить, что он не казался безопасным. Как человеку, которому небезразлична информационная безопасность, мне было любопытно, знаете ли вы, почему она настроена таким образом?”

Копать глубже без приглашения - это очень not здорово. Я думаю, что это было достаточно освещено в других ответах, но чтобы повторить Ответ Кейт Грегори , это в лучшем случае будет выглядеть как “жутко”. Люди могут сколько угодно спорить с ее аналогией (не говоря уже о технике, я думаю, что она захватила ее сердце), но она достаточно близка к тому, что будет чувствовать большинство непрофессионалов, особенно, когда вы начнете дребезжать от машин, которые вы видели. Это первая психологическая реакция отвращения собирается потопить вас, независимо от того, насколько “правильным” вы являетесь.

В лучшем случае, если связанное с этим открытие естественно происходит_ (т.е. только если разговор действительно продолжается, когда вы поднимаете первую часть), вы можете спросить, если они рассматривают возможность проведения некоторых сканирований, чтобы проверить, кто находится в опасности через этот WIFI, и каковы их предпочитаемые инструменты тестирования уязвимости. Это дает ясное окно (и возможность им задать связанные с этим вопросы о ваших собственных предпочтениях) в вашем навыке… но не нажимайте на него. Вы не глава IT-отдела, вы пришли на собеседование, и хотя вы можете не согласиться с тем, что они делают, это также не ваше место, чтобы спорить за что-то другое unless invite, потому что вы можете с таким же успехом выставить себя дураком в их конкретном контексте.

Если бы вас спросили “О, это интересно, что бы вы сделали”, это было бы вашим открытием для обсуждения сканирования, которое вы могли бы провести, чтобы показать уязвимости, и как вы затем выдвинули бы предложение об изменении WIFI, предполагая, что не было внешних факторов, о которых вы не знали, как о ком-то, не являющемся частью компании, связанном с конкретной установкой, что потребовало бы ее настройки таким образом: и если это так, как вы могли бы смягчить их с помощью VLAN, внутреннего межсетевого экрана, и т.д., но это на самом деле потребовало бы знания более подробной информации. Открытость в отношении того, что вы не знаете в контексте, обнадеживает: с деталями о том, что вам нужно узнать об окружающей среде, это может помочь показать степень ваших соответствующих навыков и знаний, и вашей проницательной гибкости для учета различных ситуаций.

Не оскорбляйте (даже случайно или непреднамеренно) людей

Это идет в одном ряду с предыдущим, но я действительно хочу сфокусироваться на этом на мгновение: начните с предположения, что разведданные в других. Это лестно. Противоположное - оскорбительно. Если что-то не является “умным” со стороны, begin с предположением, что есть другие причины с основой интеллекта и навыков со стороны тех, кто вовлечен. Даже если вы не засовываете свою ногу в рот ужасно, упустив из виду что-то как возможность, в конечном счете, быть правым не будет иметь значения после того, как вы только что закончили мусорить кого-то, кого вы просите нанять вас.

Не теряйте из виду цель

Если вы хотите, чтобы изменения произошли, быть защитником для себя и ваши обобщенные взгляды и взгляды и навыки (и как они согласуются с вашим интервьюеров / компании, что потребует, чтобы заставить их говорить об этом: так спросите!), not для специфических изменения, которые вы хотите осуществить, когда это всего лишь одна деталь.

Если видя вероятный провал в безопасности увольняет вас, отлично. Но вы не можете быть настолько сосредоточены на этой конкретной проблеме, что вы срываете собеседование таким образом, что вы выглядите слабее, как общий кандидат. Это не решит проблему. Нанятие может. Так что переориентируйте свою связанную с этим заботу и интенсивность на самозащиту, а не на относительно менее значимую туда-сюда, на одну единственную деталь безопасности. У вас будет достаточно времени, чтобы выступить в защиту этой конкретной проблемы, как только вы будете приняты на работу.

Почувствуйте людей (и, надеюсь, создать естественные открытия)

Вы не только не знаете технический контекст и окружающие ограничения, которые приводят к ситуации, как эта открытая WIFI сеть, но вы, что более важно, не знаете людей, с которыми вы говорите, их личности, и их участие и мнения по этому и подобным вопросам.

Одно дело предлагать свой опыт и приводить примеры, другое - подталкивать. Согласие в себе и ваши навыки хороши (это здорово), но pushiness редко то, что интервьюер ищет, по моему собственному опыту.

Так что просто помните, что эти люди - незнакомые люди, с которыми у вас было короткое время, чтобы познакомиться в очень узком, очень скованном смысле этого слова. Не давите на них: узнайте, что они думают вместо этого.

Вместо того, чтобы отталкиваться от них по поводу вашего мнения на данную техническую тему (которое может легко выглядеть негативным для кого-то менее технического, и может легко подтолкнуть вас на наземные мины с кем-то более техническим), спросите их, что они do в настоящее время по отношению к этой теме, и, если необходимо, тогда спросите, каково мнение человека. Это показывает изощренность знаний, чтобы знать, о чем спрашивать, не давя на ваши мнения и мысли по ним, и дает вам некоторое пространство, чтобы прочувствовать их.

В конечном счете, это обеспечивает лучшие возможности, потому что вы можете сделать что-то вроде упоминания о том, что WIFI трудно использовать в смешанной среде (предполагая, что тема всплывет), а затем спросить, что они делают как компания, и каковы личные предпочтения интервьюера по отношению к этому вопросу. Это, возможно, предоставляет возможные вакансии для более раннего гипотетического заявления, которое я предложил, но это также предупреждает вас, если, возможно, будет лучше вообще ничего не говорить.

Даже больше, чем просто вакансии, это также помогает раскрыть динамику между разными интервьюерами. Когда у тебя интервьюируют несколько человек, ты находишься в центре внимания, и трудно оценить все, что происходит хорошо. Задавая вопросы, а затем спрашивая мнения, вы получаете возможность (дискретно, так как вы должны быть сосредоточены на том, кто говорит в то время как они говорят) наблюдать за тем, что происходит. У Вас будет возможность переключить (или даже напрямую) внимание между разными людьми, или, по крайней мере, оглянуться вокруг, чтобы оценить консенсус/ и т.д. в отношении данных Вам ответов. Это будет зависеть, в зависимости от степени, от того, насколько “на рельсах” формат интервью.

Оставьте место для разговора, чтобы дышать

Да, вы здесь для того, чтобы защищать вас, но только крики о том, насколько вы хороши, не обязательно делают это эффективно. Ваше резюме должно уже говорить за себя в технических и эмпирических терминах, то, что вы действительно здесь для того, чтобы говорить за себя, как с кем-то работать, как с коллегой и коллегой.

И вот ключ к этому: как говорят в письменной форме: “покажите, не говорите”.

Если они спрашивают ваше мнение или позицию по поводу чего-то, дайте это, конечно. Но когда их не спрашивают, вместо этого ПОСТАНОВЛЯЙТЕ их как свое открытие. Пусть это естественным образом приведет к тому, что они будут спрашивать ваше собственное мнение (или нет). Вы покажете столько же сопутствующих знаний в вопросах на темы, сколько вы бы попытались высказать свое мнение, но что более важно, это встречается менее претенциозно и дает вам место, чтобы выглядеть больше похожим на кого-то, с кем было бы хорошо работать по сопутствующим вопросам, а не на кого-то, кто просто попытается надавить на всех остальных, думая, что они уже знают все, что нужно знать.

Есть технические вещи, брошенные в большинстве лично собеседования, но в идеале это просто проверка того, соответствует ли ваше резюме, и на самом деле конечная цель собеседования на этом этапе - выяснить, будешь ли ты тем, с кем они хотят работать. Мы пропустили технически грамотных людей из-за того, как они действовали во время интервью, и как они подходили (или даже не подходили) к соответствующему взаимодействию. Потому что работа - это нечто большее, чем просто бумажные знания и базовая техническая компетентность. Любой может запустить сканер ручек. Не каждый может определить, когда и как эффективно сделать это. […] […] […] […] […] […] […] […] […] […]

Все ответы правильные IMHO, как те, которые поощряют поведение, так и те, которые его отталкивают, но упускают что-то важное для меня: тот факт, что интервью было с разными людьми, у которых случайно были разные цели.

IT-босс хочет, чтобы кто-то мог мыслить нестандартно, кто-то мог проявлять инициативу, и легко выявлять любые недостатки, которые могут быть. Конечно, его интересует такой профиль.

HR-босс хочет защитить фирму от сотрудников. Это и есть работа. Выявить любой вред, который может нанести сотрудник, и защитить фирму от него. В большинстве случаев, это больше на юридическом уровне или на уровне отношений, но если HR чувствует, что есть потенциальный сотрудник, который может быть достаточно умным, чтобы обойти стандартные ценные бумаги, вне аудита, контролируемого руководством, то он будет делать то, за что ему платят: защищать фирму от (еще не) сотрудника.

Отсюда и разнообразие ответов. Если бы вы разговаривали только с IT-боссом, то (несмотря на юридические вопросы) ваше поведение было бы умным. Это то, что ему нужно. Но поскольку HR присутствовал, вы должны были принять во внимание его роль: сохранить естественный порядок и иерархию корпорации.

Имейте в виду, что большинство корпораций с лихвой готовы потерять некоторую эффективность, чтобы получить больший контроль над своими сотрудниками. Если вы ищете работу в корпоративной среде, вы должны, по крайней мере, притворяться, что уважаете правила перед теми, кому платят за их соблюдение. И постарайтесь на самом деле уважать их до тех пор, пока это, очевидно, не мешает вам делать свою работу. И первое правило: не выглядите неконтролируемым. В корпоративном мире менеджеры держат власть, и рассматривают менеджмент как науку контроля (правильно это или хорошо - еще один спор, который я не открою).

Ловушка в том, что вам пришлось отформатировать свое выступление перед двумя разными аудиториями с противоположными потребностями и ожиданиями. Попробуйте подумать об обоих в следующий раз.

Когда речь идет об информации или идеях, которыми мы обладаем, в то время как для некоторых это может показаться контр-интуитивно, это неоптимально, чтобы рассказать всем обо всем. Мне потребовалось больше времени, чем я хотел бы признать, чтобы полностью усвоить, что я просто не могу ничего сказать и держать это при себе.

HR никогда не воспримет что-то подобное иначе, чем то, что вы описываете. Любой, кто не понимает NetSec, скорее всего, будет относиться к вам и вашим комментариям с крайними подозрениями. Взаимодействие, как публичное, так и со сцены и с экрана должно иллюстрировать правду, существует целая категория трофеев, связанных с “благонамеренными попытками специалиста предупредить людей, которые не понимают потенциальной опасности”, которые в конечном итоге будут наказаны немытыми язычниками, которым они пытались помочь.

Держите это при себе.

Тем не менее, вы могли бы потенциально поднять что-то тангенциально связанное и направить разговор туда, где сильно отредактированная версия ваших комментариев может быть воспринята как более органичная.

Правдивая история: Однажды я работал в месте, где парень нашел уязвимость во внутрисетевом блоге компании. Пока он был дома, он разместил в блоге информацию об этой уязвимости, используя внешнюю сеть. Затем, когда он пришел на следующий день, он отправил свою блестящую находку и доказательство того, что это возможно в IT. Ему сразу же дали статус героя и огромный бонус, повышение и продвижение по службе. Шучу, его сразу же уволили.

Можно не обращать внимания на каждое слово этого ответа, если вы хотите запомнить эту фразу из пяти слов: *** Быть правым редко что-нибудь меняет. ***

Я попробую добавить другую точку зрения.

Был ли я прав, сказав им, что я сделал это?

Есть страны, где *присоединение и сканирование сети является незаконным, чтобы начать с *. Представьте себе, что вы нашли LAN порт в помещении и использовали кабель ethernet для подключения к их сети.

Возможно, HR знает это, так как они более осведомлены о законах, связанных с этим.

Это ответственность HR является управление такой юридической ответственности для компании. Возможно, поэтому они выглядели менее энтузиастами.

С точки зрения того, кто управляет информационной безопасностью: то, что вы сделали, было неразумно.

Было ли это, чтобы показать, что вы эксперт в области безопасности? В этом случае, если вы просто покажете, что можете

• подключиться к открытому WiFi
• что некоторые из их машин были в этой сети

Если вы пометите это как проблему безопасности, то, к сожалению, вы мало что знаете о безопасности. Этот IT-менеджер тоже не знает. Скорее всего, однажды он взорвется.

• так что этот ход был не очень удачным.

Может быть, это было для того, чтобы показать проактивность? Ну, в таком случае вам действительно не стоит работать в безопасности, потому что вы собираетесь навредить вашей компании, делая такие вещи. В области безопасности существуют правила найма, и от сотрудника ожидается, что он будет их соблюдать. Вы не хакер, не охотник за головами. Вы не должны делать таких вещей.

Как бы вы на это не посмотрели, это был глупый шаг, если вы хотите, чтобы вас наняли.

Итак, давайте посмотрим. С моей точки зрения, вы:

1. Обнаружена открытая сеть; (OK)
2. Подключено к ней; (OK)
3. Обнаружено, что нужны имя пользователя/пароль; (OK)
4. Окружающие Вас устройства в явной попытке взлома; (NOT OK)
5. Хвастались этим (STUPID!)

. Теперь давайте рассмотрим Ваши вопросы индивидуально:

1. Был ли я прав, сказав им, что я это сделал? Нет, если у вас было желание работать в этой компании. Также обратите внимание, что большинство компаний, в которых я работал, при подключении или входе в систему выдают предупреждение, в котором говорится что-то вроде “Неавторизованный доступ не разрешен”. Мы свяжемся с властями и привлечем вас к ответственности, если вы попробуете". Также обратите внимание, что невежество не является оправданием.

2. Я убил свои шансы с ними? Если бы я был менеджером по найму, я бы не трогал вас 10-футовым шестом. Ты признанный хакер, гордишься этим, и инцидент с безопасностью ждет своего часа.

3. Должен ли я повторить это с другими вакансиями (если что-то обнаружится случайно)? Это зависит. Ты хочешь устроиться на работу, или ты хочешь похвастаться? Если первая, никогда больше так не делай. Если второе - ну, это твоя жизнь, приятель…

4. Как я могу получить преимущество на собеседовании с такой информацией? Ты не можешь. Все, что вы можете сделать, это заставить людей нервничать, а люди, которые нервничают из-за того, что вы сделали, могут сделать или могут сделать, не возьмут вас на работу. Посмотрите на новости - каждые несколько недель взламывают другую компанию, крадут кредитные карты и другую личную информацию, и они выглядят идиотами, и их клиенты могут обернуться и подать на них в суд. Как человек, работающий в IT-отделе крупного ритейлера, я могу сказать вам, что это одна из вещей, которая беспокоит таких людей, как я. Если мы думаем, что у вас даже может быть проблема, вас не возьмут на работу. Конец истории.

Удачи.

Что касается Ваших шансов, то они сильно зависят от полномочий IT-менеджера и HR-менеджера. Это также зависит от того, как вы это преподнесли. Если бы это было “Я видел несколько компьютеров с XYZ-какими бы именами не были подключены к незащищенной сети”, это было бы скорее оскорблением для того, кто позволил владельцам подключиться к сети. Если это было “Я видел ваш компьютер, mr. Averagejoe, подключенный к незащищенной сети”, то это было прямое оскорбление mr. Averagejoe.

Если вы собираетесь стать парнем из службы безопасности, то паранойя не является обязательной, но она помогает. Проверка того, кто там с вами (в открытой сети), ясно показывает ваше отношение к вашей возможной позиции. Вот почему IT-менеджер был впечатлен.

С другой стороны, ваша презентация ваших выводов была довольно грубой. Вот почему HR-менеджер поддерживает и против вас.

Может быть, вы залили нефть в открытой борьбе между ИТ-парнями, настаивая на вопросах безопасности, чтобы остановить, и другие с отношением “Что, черт возьми, странные говорят о?”. Что-то вроде разговора Мосса о том, чтобы не отключать брандмауэр в IT Crowd S2E1.

В следующий раз, сделайте эту проверку предпочтительно, когда спрашивают в интервью. Если вы не можете устоять, придержите результаты до того момента, когда нарушители окажутся вне голосового диапазона, и вы будете обсуждать только IT-персонал.

Это повредит вашим шансам **потому что вы продемонстрировали неспособность понять концепцию _области ответственности. Вы:

• не смогли объяснить, как вы были уполномочены делать это (независимо от того, что законы могут говорить: вам нужно убедить их, а не судью) и влияние ваших действий в нетехнических терминах

• начал говорить им (а не просто предлагать), как они должны делать вещи, не будучи лицом, ответственным за эти вещи или контрактный консультант

• В установленных условиях, каждая область и задача имеет лицо, ответственное за это (практически всегда, один человек; групповые решения, как правило, оправданы только для сложных, стратегических вопросов, а не повседневные задачи). Этот человек - единственный, кто может принимать решения в этой области. Это необходимо для того, чтобы у него была целостная картина и единое видение.

• Если вы не являетесь этим человеком и видите проблему, ваша работа заключается в том, чтобы отчитаться об этом перед ним и оставить это им, если с этим что-то нужно сделать.

• Это потому, что даже если вы знаете, что это проблема, у вас нет целостной картины, чтобы взвесить все “за” и “против”, и вы не будете нести ответственность за свои поступки. Как говорили другие, безопасность - это упражнение по управлению рисками: что-то стоит делать только в том случае, если это дешевле, чем не делать.

• (Предвосхищающие комментарии потенциальных повстанцев:) Переступить через их голову возможно и иногда может быть способом сделать что угодно, но это серьезный и рискованный бизнес, так как нужно каким-то образом убедить вышестоящих взять на себя довольно большие расходы, подвергая сомнению компетентность импортирующего подчиненного (делать независимую оценку своих навыков и работы - это время, деньги и длительное недовольство этого человека, независимо от метода и результата).

• то, что вы рассказали им о сканировании, в основном звучало для нетехнологичного человека: “Я взломал вашу сеть и потенциально нарушил ваш бизнес - все только потому, что я чувствовал это”.

• Это то, что вызвало защитную реакцию. “Нет, наш бизнес, безусловно, достаточно хорошо защищен, если мы все еще в бизнесе, и вы, безусловно, не могли бы нарушить его так легко! То, что вы утверждаете, не может быть правдой и является простой клеветой ("потому что это повредит нашей репутации, если другие поверят в это (независимо от того, правда это или нет), так что мы определённо не будем к этому добрыми)!”

• И человек с таким мышлением определённо не тот, кого он хочет видеть в радиусе мили от своей критической внутренней структуры.

• Это, конечно, не то, что вы сделали. Но вы не смогли передать это таким образом, чтобы они могли понять.

• Вы должны были сказать это что-то вроде: “Когда я ждал в вестибюле, я заметил открытую беспроводную сеть с названием вашей компании. Поскольку моя работа будет включать в себя информационную безопасность, я воспользовался возможностью, чтобы получить представление о Вашей текущей практике. Заметили это и это, что является потенциальной уязвимостью, хотя это зависит”.1 Если они все еще выглядят испуганными, добавьте что-нибудь вроде: “Я могу с уверенностью сказать (и ваши коллеги подтвердят), что это абсолютно ничего не может нарушить со стабильностью, например, стоковой установки Windows”

• Это бы показало, что вы были уполномочены делать это, потому что хорошие кандидаты должны быть проактивными в исследовании компании; вы действительно взвесили риски и приняли обоснованное решение; и вы просто предполагаете, что это может быть проблемой, а не утверждаете это открыто, так как вы не единственный ответственный и, следовательно, не имеете полной информации, чтобы быть в состоянии сделать такие категоричные заявления.

1 на охват сети, как долго и как часто машины остаются в ней, какая информация и/или функциональность они содержат и насколько хорошо они защищены.