2018-05-20 12:11:22 +0000 2018-05-20 12:11:22 +0000
195
195

面接の前に企業のオープンWiFiでセキュリティテストをしても良いのでしょうか?

私はXYZという組織のIT職の面接に招待されたのですが、ロビーで待っている間にXYZというオープンWiFiネットワークを見つけました。接続すると、ユーザー名とパスワードを要求するウェブページが表示されました。接続されているデバイスをFing(アンドロイドのアプリ)でスキャンしてみると、XYZ-HR-1とXYZ-FN-1という名前のノートパソコンがいくつかありました。

面接では、私のポジションはセキュリティ面を伴うので、オープンネットワークは彼らのネットワークにセキュリティ上の脆弱性があることを伝えました。

IT担当者は感心していましたが、人事担当者はそうではなく、防御的な行動をとり、私はまだ採用されていないので、彼らのネットワークのセキュリティを確認したいと言いました。私は、これは深刻な問題であり、私や他の誰かが雇われるまで待つべきではないことを彼らに言った。私は彼らとの私のチャンスを殺してしまったのでしょうか?私は他の仕事の機会(偶然に何かが発見された場合)で再びそれを行う必要がありますか?どのように私はこのような情報を面接で優位に立つことができますか?

回答 (14)

295
295
295
2018-05-20 14:17:20 +0000

このようなスタントは、ほとんどの環境では、人事部の目立ちたがり屋になるでしょう。この理由は非常に単純です。あなたは自分が何をしているかを知っていて、テストを実行することはあなたの責任ではありませんでした。しかし、セキュリティの専門家は、ネットワークの管理者によって同意されていないネットワーク上でネットワークスキャナを実行することは、間違いなく「親切ではない」から「敵対的」の範疇に入ることを知っておく必要があります。また、誤報を誘発した場合など、実際のコストが発生する可能性があります。私はかつて、他の部署のチンピラが私たちの許可なしに実行したスキャンのソースを見つけるために数時間を無駄にしたことがあります(社内ネットワークの他の誰にも許可されていません)。私は以前、外からwifiの電波が見えないくらいの広さのサイトで仕事をしたことがあります(よほど特別な対策をしない限り)。その場合は、背任行為すらありました。(オープンなwifiを運用するのはまだよくない、IT系の人は知っていると思うが、経営陣や人事が知っているのか、聞きたいのかはわからない)。

218
218
218
2018-05-20 12:58:32 +0000

想像してみてください、私があなたを裏庭のバービーキューのために私の家に招待し、あなたが到着し、私たちがキッチンにいる間に、&002&002 > 昨日、あなたが仕事に行っている間に立ち寄ったと言ったとします。あのフェンスは誰も入れないよ。私はあなたのブランコが適切に地面に固定されていないことに気づいた - それは大きな子供たちが本当にハードスイングした場合、安全ではない可能性があります。また、あなたのデッキレールの間隔が広すぎます。最近のコードはXインチを指定し、あなたはYを持っています。誰も聞いてないし、確認もしていない、ただ侵入しただけなのに、今は批判している。確かにブランコやバックデッキでの 子供の安全は重要だが でも礼儀正しい社会のルールもそうだ 良い客は、同意なしに裏庭に侵入したりしないし、会話の中で早口で点検報告をしたりしない。その代わりに、その客はレモネードを飲みながら、裏庭に着くまで待ってから、「

」と言うでしょう。私はこれらについて少し知っています。ちゃんと固定されていますか?と言ってみてください。それはあなたが古いかもしれないように見えます… 笑

今、あなたは裏庭の安全性についての深い知識を示していて、道具を持っていることを示していますが、あなたは誰も傷つけていません。それは、この行動が引き出すことができる感情的な反応を示すことです。彼らは面接のために彼らのオフィスにあなたを招待しました。彼らはあなたがそれをするのを見るためにそこにいなかったときに、あなたは許可も招待もなく、面接の規範の外にある何かをしました。そして、あなたは自分がしたことを彼らに話したのと同じ段落で彼らの業務を批判した。少なくとも一人はショックを受け、動揺していました。上記の思考実験は、それらのショックを受けて動揺している気持ちを理解するためのものです。

比喩・類推は置いておくとして、あなたはどのようにしてこれをうまく処理できたでしょうか?面接の早い段階で自分の結果をぼやけて話すのではなく、セキュリティ面について話し合うまで待ってから、「多くの優良企業は、自社のネットワークが新しい攻撃のいくつかに対して脆弱であることを知らない」と言った方が良かったのではないでしょうか。もしよろしければ、ゲストの無線LANで5分間のスキャンを実行します。あなたはもちろん、すでにロビーでそれをやったので、自信を持ってこの申し出をすることができます:-)。今、あなたはあなたのスキルとツールを、適切なコンテキストで、許可を得て示しています。あなたは、何かを見つけたとしても、それは彼らがバカであることを意味しないことを彼らの顔をセーブ設定することさえしています。それを見つけたら、その脆弱性が閉ざされるように、あなたは物事を変える方法を知っていることを伝えることができます。これで彼らは気分を害する代わりに、あなたを雇いたいと思うようになります。

77
77
77
2018-05-20 12:18:42 +0000

私は、これは深刻な問題であり、私や他の誰かが採用されるまで待つべきではないことを彼らに伝えました。

私がそうしたことを彼らに伝えたことは正しかったのでしょうか?

面接官に講義をすることは、仕事を得るための良い方法であることはめったにありません。

直接彼らから聞かない限り、その答えを知る方法はありません。

他の仕事の機会(何かが偶然に発見された場合)でもう一度やるべきでしょうか?

あなたの評価が具体的に勧誘されるまで、またはあなたが採用されるまで待ちましょう。

62
62
62
2018-05-20 19:09:39 +0000

彼らのネットワーク上でスキャンを実行することは非常に賢明ではなく、場所によっては犯罪に問われる可能性がありました。1990年代、彼はインテルのスーパーコンピュータグループの契約システム管理者でした。彼はグループ内のセキュリティを心配していたので、同僚のアカウントにパスワードクラッカーをかけていました。彼はインテルの契約社員だったが、セキュリティと侵入テストは正式には職務ではなく、その活動のために2つの重罪で有罪判決を受けた。多くの人がこの有罪判決は不公平だと考え、2007年に有罪判決は封印された。いずれにしても、実際に依頼されずにセキュリティの脆弱性に手を貸すことにした場合、どのような深い水の中で終わることができるかを示しています。

36
36
36
2018-05-20 16:26:56 +0000

ここでは、ほとんどの回答に対抗する視点でお答えします。他の回答は正解で、厳密には企業側から見れば、あなたは間違っています。しかし、自分の能力に自信があるからこそやったことだと思いますし、自分で課題を探して修正していくというのは、素晴らしい特性だと思いますが、どの社風にも合うわけではないと思います。起業にも向いているかもしれません。

ということで、あなたには3つの選択肢があると思います。1. 1.もっと社風に合わせようとする、2.合わせないが、仕事をもらえないリスクを冒す、3.スモールビジネスの道に進む。

32
32
32
2018-05-21 09:14:54 +0000

短い答え:

Don’t test|access|hack anything without an explicit authorization.

_Did I kill my chance with them? _

Most certainly.

Ps: Belownvote as much as you want, but the OP broke one of the first rules of IT/Pentesting and it’s only objective of my answer.

16
16
16
2018-05-20 16:54:26 +0000

あなたが仕事を得るかどうか、そしてそれがあなたのチャンスを助けたかどうか、妨げたかどうかにかかわらず、あなたがしたことはプロ意識に欠け、おそらく違法なことでした。もしあなたが彼らの公開ウェブサイトを見ていたか、彼らが完全にオープンなネットワーク(パスワードなし)を持っていたならば、あなたはより強固な基盤を持っていたでしょう。 セキュリティスタックに関連した質問があります – ペンテスト会社はテストの結果が否定的な結果をもたらさないことを約束して、損害を補償する契約を結ぶべきかどうかを尋ねています。受け入れられた答えは、「ポートスキャンでシステムを破壊したことがある」というものです。他人のコードが何をしようとしているのか、そしてそれを扱うことでどのような負の結果になるのかを知ることは不可能です。あなたは警告も同意も正当化もせずに、彼らの組織を危険にさらすことになります。標準的な使用法は、ユーザー名とパスワードを持つことであり、それを見つけようとすることではありません。

13
13
13
2018-05-21 12:17:05 +0000

全ての答えは正しいですが、私にとって重要なことを見逃しています:インタビューが異なる目標を持っている異なる人々と一緒に行われたという事実。もちろん、彼はそのようなプロフィールに興味を持っています。それが仕事です。従業員がどんな害を及ぼすかを見極めて、それから会社を守る。ほとんどの時間、それは法的か関係のレベルの多くですが、HRが標準的な有価証券をバイパスするのに十分に賢いかもしれない潜在的な従業員があると感じれば、真鍮によって制御される監査の外で、彼は彼が何をするために支払われているかを行います: (まだ)従業員から会社を保護します。もしあなたがITのボスとだけ話していたならば、(法的な問題はともかく)あなたの行動は巧妙だったでしょう。それは彼が必要とするものです。しかし、人事が存在していたように、あなたは考慮に入れて彼の役割を取っている必要があります:企業の自然な秩序と階層を維持するために。あなたが企業の設定で仕事を探している場合は、少なくともそれらを強制するために支払われている人の前でルールを尊重する偽のものでなければなりません。そして、自分の仕事の妨げにならない限り、実際にルールを尊重するようにしましょう。そして、第一のルールは、コントロールできないように見えてはいけない。このように、スピーチでは、自分の意見を述べることで、自分の意見を述べることができるようになっています。プレゼンでは、「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」「自分は何をしているのか」などなど。

7
7
7
2018-05-21 16:15:42 +0000

私たちが持っている情報やアイデアに関しては、直観的ではないと思われるかもしれませんが、誰にでも全てを話すのは最適ではありません。何も言わずに内緒にしておくことができるということを完全に理解するまでには、私は認めるよりも長い時間がかかりました。NetSecを理解していない人は誰でも、あなたとあなたのコメントを極端に疑って見ている可能性が高いです。このことの真実は、公共の場でもステージやスクリーンからの対話でも説明されているはずですが、「良識ある専門家が潜在的な危険性を理解していない人々に警告を与えようとする」ことに関連して、彼らが助けようとした洗脳されていない異教徒によって罰せられることになってしまう、というようなトロフィーがあります。私はかつて、ある男が会社のイントラネットブログの脆弱性を発見した場所で働いていました。彼は家にいる間に、その脆弱性を利用してネットワークの外からブログに投稿していました。そして次の日に出社した彼は、その見事な発見と、それが可能であることの証明をIT部門に送りました。彼はすぐにヒーローステータスを与えられ、巨大なボーナス、昇給、昇進が与えられました。冗談ですが、彼はすぐに解雇されました。**“正しいことはほとんど何も変わりません。

6
6
6
2018-05-20 14:10:26 +0000

私は別の視点を追加しようと思います。

私がそうしたと言ったのは正しかったのでしょうか?

ネットワークへの参加とスキャンが違法である国があります**。また、そのような場合には、その国の法律に違反している可能性がありますので、そのような場合には、その国の法律に違反している可能性があります。だからこそ、あまり熱心ではないように見えたのかもしれません。

5
5
5
2018-05-21 15:59:08 +0000

情報セキュリティを実行している人の視点から:あなたがしたことは巧妙ではありませんでした。

それはあなたがセキュリティの専門家であることを示すためのものでしたか?あなただけの場合は、あなたができることを示している場合は、その場合には&002&002 - オープンWiFi&002に接続する - 彼らのマシンのいくつかは、そのネットワーク上にあったことを&002&002あなたは、セキュリティの問題としてこれをタグ付けした場合、申し訳ありませんが、あなたはセキュリティについて多くを知っていません。このITマネージャーはどちらかではありません。これはおそらくいつか爆発するでしょうね。まあ、その場合は、セキュリティの仕事はやめたほうがいいですね。セキュリティにはエンゲージメントルールがあり、従業員はそれに従うことが期待されています。あなたはハッカーではありませんし、賞金稼ぎでもありません。これらのことをしてはいけないのです。

どう見ても、採用されたかったのであれば、それは愚かな行動でした。

2
2
2
2018-05-24 21:03:21 +0000

では、見てみましょう。私から見たあなた:&002&002 1. オープンネットワークを発見しました;(OK) 2. それに接続しました; (OK) 3. それはユーザーID/パスワードを必要とする発見; (OK) 4.明らかなハッキングの試みであなたの周りのデバイスを尋問; (NOT OK) 5.それについて自慢しました(STUPID!)

今、あなたの質問を個別にカバーしてみましょう:

  1. 私はそのようなことをしたことを伝えて正解だったのでしょうか?あなたがその会社で働きたいと思っていたのであれば、そうではありません。また、私が働いていたほとんどの会社では、接続時やログイン時に「不正アクセスは許可されていません」などと警告が表示されることにも注意してください。試してみたら、当局に連絡して起訴します」というような警告が表示されています。また、無知は言い訳にならないので注意してください。私は彼らとのチャンスを潰してしまったのでしょうか?私が採用担当者だったら、10フィートの棒であなたに触らないでしょう。あなたはハッカーであり、それを誇りに思っているし、セキュリティ事件が起こるのを待っています。他の仕事の機会(偶然に何かが発見された場合)でもう一度やるべきですか?それは依存します。就職したいのか、それとも自慢したいのか?前者の場合は、二度とこれをしないでください。後者の場合 - まあ、それはあなたの人生、バディです…

4.どのように私はこの種の情報を面接でエッジを得ることができますか?あなたはできません。あなたができることは、人々が神経質になり、あなたが何をしてきたかについて神経質になっている人々は、あなたを雇うことはありません、することができます。ニュースを見てください - 数週間ごとに別の会社がハッキングされ、クレジットカードやその他の個人情報が盗まれ、彼らはバカのように見え、彼らの顧客は振り向いて彼らを訴えるかもしれません。大手小売店のIT部門で働いている者として、これは私のような人々を心配させることの一つだと言えます。もしあなたが問題を抱えていると思われるならば、あなたは採用されません。話は終わりです。

1
1
1
2018-05-22 12:57:17 +0000

あなたのチャンスについては、ITマネージャーと人事マネージャーの力に大きく左右されます。また、それはあなたがそれをどのように提示したかにもよります。もしそれが「XYZ-whateverという名前のコンピュータが何台も安全でないネットワークに接続されているのを見ました」であれば、所有者がネットワークに接続することを許可した人への侮辱というよりも、「あなたのコンピュータ、Mr.Averagejoeが安全でないネットワークに接続されているのを見ました」ということになります。それが “I saw your computer, mr.Averagejoe, connected to the unsecured network "であった場合、それはmr.Averagejoeへのストレートな侮辱でした。あなたのチェックは、(オープンネットワークで)あなたと一緒にそこにいる人は明らかにあなたの可能性のある位置に対するあなたの態度を示しています。それが IT マネージャが感銘を受けた理由です。

多分、あなたはセキュリティ問題を止めようとするIT担当者と、"変な奴が何を言っているんだ?"という態度で他の人との間のオープンな戦いに油を注いだのでしょう。IT Crowd S2E1でファイアウォールを無効にしないことについてのモスの話のような何か。

次回は、面接で尋ねられたときに、できればこのチェックをしてください。あなたが抵抗することができない場合は、違反者が声の範囲外であり、あなたが唯一のITスタッフを議論している瞬間に、調査結果を保持します。

0
0
0
2018-05-30 23:45:58 +0000

これはあなたのチャンスを傷つけるでしょう **あなたが責任の領域の概念を理解していないことを示したからです。 あなたは、あなたの行動がどのように権限を与えられたかを説明することができませんでした(法律が何と言おうと関係ありません。あなたは裁判官ではなく、them,を説得する必要があります)と非技術的な用語であなたの行動の影響&002 - 彼らはそれらのことのための責任者または契約コンサルタントであることなく、どのように物事を行うべきか、それらを(単に提案するとは対照的に)伝え始めました&002 * * * *

  • 確立された環境では、すべての領域とタスクは、それに責任を負う人を持っています(事実上常に、一人の人;グループの決定は、通常、複雑な、戦略的な問題ではなく、日常的なタスクのためにのみ保証されています)。その担当者は、その分野の意思決定を行うことができる唯一の人物です。これは、彼らが全体像を持っていて、統一されたビジョンが適用されていることを確認するためのものです。他の人が言っているように、セキュリティはリスク管理の練習です:何かを行うことは、それを行うことは、それをしないよりもコストが少ない場合にのみ行う価値があります。
  • (反逆者からのコメントを予期して:) 彼らの頭の上に行くことは可能であり、時には何かを成し遂げるために行く方法かもしれませんが、それは深刻でリスクの高いビジネスです。

  • あなたがスキャンについて彼らに言ったことは、基本的に非技術者に聞こえました。"私はあなたのネットワークを突破し、潜在的にあなたのビジネスを混乱させた - 私はそれのように感じたので、すべての"。"いいえ、私たちのビジネスは確かに私たちがまだビジネスをしている場合は十分に保護されており、あなたは確かにこのように簡単にそれを破ることはできませんでした!"と、あなたが主張していることは、あなたがそれを破ることはできません。あなたが主張していることは真実であることはできませんし、明白な名誉毀損です('cuzこれは他の人がそれを信じている場合、私たちの評判を傷つけるだろう(それが真実であるかどうかに関係なく)ので、私たちは間違いなくそれに親切に取っていません)!"
  • そして、そのような考え方を持つ人は確かに彼らの重要なインフラストラクチャの1マイルの半径内で見たい人ではありません。
  • さて、それはもちろんあなたがしたことではありません。しかし、あなたは彼らが理解できる方法でそれを伝えることに失敗しました。"私はロビーで待っていたとき、私はあなたの会社の名前を持つオープンwifiネットワークに気づいた。私の仕事は情報セキュリティが含まれますので、私はあなたの現在の慣行のアイデアを得るために機会を取った。これとこれは潜在的に脆弱性の可能性があることに気付きました。"これは、良い候補者は会社を積極的に調査することを期待されているので、あなたがリスクを考慮し、十分な情報を得た上で決断をしたことを示していますし、あなたは責任者ではないので、そのようなカテゴライズされた発言をすることができる完全な情報を持っていないので、これが問題である可能性があると明言するのではなく、単に問題である可能性があることを示唆しているだけです。

1on the outreach of the network, how long and how often machines stay on it, what kind of information and/or functions of they contain and how well they are secure.