Un tel coup de théâtre serait - dans la plupart des environnements - un coup de maître de la part des RH. La raison en est très simple : Vous saviez ce que vous faisiez, et c'était aucune de vos responsabilités de faire le test.

Si vous étiez tombé sur le problème d'une manière “Les actions sont apparues dans l'explorateur de fenêtres”, cela aurait probablement été bon. Mais un professionnel de la sécurité doit savoir que faire fonctionner un scanner de réseau sur un réseau, lorsque cela n'a pas été accepté par l'administrateur du réseau, est définitivement dans la catégorie “pas sympa” à “hostile”. Cela peut également entraîner un coût réel, par exemple lorsque vous déclenchez une fausse alarme. Une fois, j'ai perdu quelques heures à essayer de trouver la source d'un scan qu'un punk d'un autre service a fait fonctionner sans notre permission (ou celle de quelqu'un d'autre sur le réseau interne).

Selon les circonstances, on peut aussi imaginer que le réseau n'est pas visible tant que l'on n'est pas dans la zone de l'entreprise. J'ai déjà travaillé sur un site suffisamment grand pour que vous ne puissiez pas voir un signal wifi de l'extérieur (sans mesures très spéciales). Dans ce cas, il y aurait même un abus de confiance. (Je sais que ce n'est toujours pas une bonne idée de faire fonctionner un wifi ouvert, vous savez, les informaticiens le savent, mais je ne sais pas si la direction et les RH le savent ou veulent l'entendre).

Imagine que je t'invite chez moi pour un bar de jardin et que tu arrives et que, pendant que nous étions dans la cuisine, tu dises

Je suis passé hier pendant que tu étais au travail. Cette clôture n'empêche personne d'entrer. J'ai remarqué que ta balançoire n'est pas correctement ancrée dans le sol - cela pourrait être dangereux si des enfants plus grands se balançaient très fort. De plus, l'espacement sur les rails de votre terrasse est trop grand, de nos jours le code spécifie X pouces et vous avez Y.

Je serais là, la bouche ouverte, à regarder votre impolitesse. Personne ne vous a demandé, vous n'avez pas vérifié si c'était bon, vous avez juste fait intrusion et maintenant vous critiquez. Bien sûr, la sécurité des enfants sur les balançoires et sur la terrasse arrière est très importante. Mais les règles de politesse de la société le sont aussi. Un meilleur invité n'envahirait pas l'arrière-cour sans son consentement et ne laisserait pas échapper un rapport d'inspection au début d'une conversation. Au lieu de cela, il attendrait d'atteindre l'arrière-cour avec un verre de limonade et dirait ensuite

Ooooh, une balançoire. Je m'y connais un peu. Est-il bien ancré ? Puis-je vérifier ?

et

Vous savez que de nos jours, les rails de pont sont censés être en Y … Il semble que les vôtres soient plus anciens… Je peux prendre mon mètre ruban et confirmer si vous voulez ?

Maintenant, vous montrez votre connaissance approfondie de la sécurité dans les jardins et que vous possédez des outils, mais vous ne faites de mal à personne.

Maintenant, le but de cette métaphore/analogie n'est pas de correspondre parfaitement à l'acte de vérifier un wifi ouvert et de découvrir quelques noms de machines. Il s'agit de vous montrer la réponse émotionnelle que ce comportement peut susciter. Ils vous ont invité dans leurs bureaux pour un entretien. Vous avez fait quelque chose qui sort de la norme d'une interview, sans permission ou invitation, alors qu'ils n'étaient pas là pour vous voir le faire. Et vous avez critiqué leurs opérations dans le même paragraphe où vous leur avez dit ce que vous aviez fait. Au moins l'un d'entre eux a été choqué et bouleversé. L'expérience de pensée ci-dessus doit vous amener à comprendre ces sentiments de choc et de contrariété.

Pour laisser la métaphore/analogie derrière vous, comment auriez-vous pu mieux gérer cela ? Au lieu d'étaler vos résultats au début de l'entretien, vous auriez pu attendre de discuter de l'aspect sécurité et dire ensuite “beaucoup de bonnes entreprises n'ont aucune idée que leurs réseaux sont vulnérables à certaines des nouvelles attaques”. Je pourrais effectuer un scan de 5 minutes sur le wifi de votre invité si vous le souhaitez". Vous pouvez bien sûr faire cette offre en toute confiance, car vous l'avez déjà fait dans le hall :-). Vous montrez maintenant vos compétences et vos outils, dans le bon contexte et avec la permission de l'intéressé. Vous leur montrez même un visage, en leur disant que cela ne veut pas dire qu'ils sont idiots si vous trouvez quelque chose. Quand vous le trouvez, vous pouvez leur dire que vous savez comment changer les choses pour que la vulnérabilité soit fermée. Maintenant, ils veulent vous engager au lieu d'être offensés.

Je leur ai dit que c'était un problème sérieux et qu'il ne fallait pas attendre que moi-même ou quelqu'un d'autre soit engagé.

Ai-je eu raison de leur dire que j'avais fait cela ?

Donner une conférence à un interviewer est rarement un bon moyen d'obtenir un emploi.

Ai-je tué mes chances avec eux ?

Dois-je le refaire avec d'autres offres d'emploi (si quelque chose a été découvert par hasard) ?

Attendez que votre évaluation soit spécifiquement sollicitée, ou que vous soyez embauché.

Il était très mal avisé de procéder à une analyse de leur réseau et, dans certains endroits, cela aurait pu vous valoir d'être accusé d'un crime. Vous voudrez peut-être vous renseigner sur l'affaire Randall Schwarz , un auteur de technologie bien connu. Dans les années 1990, il était administrateur système sous contrat pour le groupe de super-ordinateurs d'Intel. Soucieux de la sécurité du groupe, il a fait fonctionner un craqueur de mots de passe sur les comptes de certains de ses collègues. Bien qu'il ait été un contractant d'Intel, les tests de sécurité et d'intrusion n'étaient pas officiellement dans ses fonctions, et il a fini par être condamné pour deux délits pour ses activités. Beaucoup ont pensé que ces condamnations étaient une injustice, et en 2007, les condamnations ont été scellées. Quoi qu'il en soit, cela vous montre le genre d'eaux profondes dans lesquelles vous pouvez vous retrouver, lorsque vous décidez de donner un coup de main pour remédier aux failles de sécurité, sans qu'on vous le demande.

Je vais prendre un contrepoint à la plupart des réponses ici. Les autres réponses sont correctes, d'un point de vue strictement corporatif, vous êtes dans l'erreur. Cependant, je pense que vous avez fait ce que vous avez fait parce que vous avez confiance en vos capacités et que vous cherchez des solutions à des problèmes, ce qui est une bonne chose, mais qui ne s'inscrit pas dans toutes les cultures d'entreprise.

Il y a des endroits où cela ne pose pas de problème, mais une telle indépendance est également très bonne pour l'esprit d'entreprise. Vous pourriez être bien adapté à la création de votre propre entreprise.

Donc, je dirais que vous avez 3 options : 1. Essayez de vous conformer davantage à la culture d'entreprise, 2. ne vous conformez pas, mais risquez de ne pas obtenir certains emplois, 3. choisissez la voie des petites entreprises.

Réponse courte :

Ne testez pas|l'accès|à quoi que ce soit sans une autorisation explicite.

_Ai-je tué mes chances avec eux ?

Très certainement.

Ps : Vote négatif autant que vous voulez, mais le PO a enfreint l'une des premières règles en matière d'IT/Pentesting et c'est le seul objectif de ma réponse.

Que vous ayez obtenu le poste ou non, et que cela ait aidé ou entravé vos chances, ce que vous avez fait était non professionnel et peut-être illégal. Si vous aviez consulté leur site web public ou s'ils avaient eu un réseau totalement ouvert (sans mot de passe), vous auriez été sur un terrain plus solide. Vous n'aviez pas été engagé à l'époque, et vous étiez en fait en train d'attaquer leur réseau à la recherche de vulnérabilités. En tant que professionnel, vous devriez savoir qu'il ne faut pas faire cela sans accord préalable et sans avoir étudié les conséquences possibles. Il y a une question quelque peu connexe sur la pile de sécurité – demandant si une société pentest devrait signer un contrat promettant qu'il n'y aura pas de conséquences négatives du test et qu'il couvrira les dommages subis. La réponse acceptée est : “J'ai renversé des systèmes avec un scan de port”. Il est impossible de savoir ce que le code de quelqu'un d'autre va faire, et donc quelles pourraient être les conséquences négatives de l'intraction avec ce code. Vous mettez leur organisation en danger, sans avertissement, accord ou justification.

Utiliser leur système de la manière dont il est censé être utilisé et voir ce qui se passe, est justifiable, une utilisation non standard ne l'est pas. Cela inclut le fait d'essayer de deviner un nom d'utilisateur/mot de passe – l'usage standard consiste à Avoir un nom d'utilisateur et un mot de passe, et non à essayer d'en trouver un.

Toutes les réponses sont bonnes, tant celles qui encouragent le comportement que celles qui le découragent, mais il me manque quelque chose d'important : le fait que l'entretien a été mené avec différentes personnes, qui ont des objectifs différents.

Le responsable informatique veut quelqu'un capable de penser différemment, quelqu'un capable de prendre des initiatives et d'identifier facilement les lacunes éventuelles. Bien sûr, il est intéressé par un tel profil.

Le patron des RH veut protéger l'entreprise contre les employés. C'est son métier. Identifier tout préjudice qu'un employé pourrait causer et protéger l'entreprise contre ce préjudice. La plupart du temps, c'est plutôt au niveau juridique ou relationnel, mais si les RH estiment qu'il y a un employé potentiel qui pourrait être assez intelligent pour contourner les titres standards, en dehors d'un audit contrôlé par les hauts dirigeants, alors il fera ce pour quoi il est payé : protéger l'entreprise contre l'employé (pas encore).

D'où la diversité des réponses. Si vous n'aviez parlé qu'au responsable informatique, votre comportement aurait été intelligent (en dépit des questions juridiques). C'est ce dont il a besoin. Mais comme le RH était présent, vous auriez dû tenir compte de son rôle : préserver l'ordre et la hiérarchie naturels de l'entreprise.

Soyez conscient que la plupart des entreprises seront plus que prêtes à perdre de l'efficacité pour contrôler davantage leurs employés. Si vous recherchez un emploi dans le cadre de l'entreprise, vous devrez au moins faire semblant de respecter les règles devant ceux qui sont payés pour les faire respecter. Et essayez de les respecter réellement tant que cela ne vous empêche pas manifestement de faire votre travail. Et la première règle est : ne pas avoir l'air incontrôlable. Dans le monde de l'entreprise, les dirigeants détiennent le pouvoir et considèrent la gestion comme la science du contrôle (que ce soit bien ou non est un autre débat que je n'ouvrirai pas).

Le piège est que vous avez dû formater votre discours devant deux publics différents ayant des besoins et des attentes opposés. Essayez de penser aux deux la prochaine fois.

Lorsqu'il s'agit d'informations ou d'idées que nous possédons, alors que pour certains cela peut sembler contre-intuitif, il est sous-optimal de tout dire à tout le monde. Il m'a fallu plus de temps que je ne voudrais l'admettre pour intérioriser complètement le fait que je ne pouvais rien dire et le garder pour moi.

HR ne prendra jamais une telle chose autrement que ce que vous décrivez. Toute personne qui ne comprend pas NetSec est susceptible de vous considérer, vous et votre commentaire, avec une extrême méfiance. Les interactions, tant en public que sur scène et à l'écran, devraient illustrer cette vérité. Il existe toute une catégorie de tropes liés au fait que “des spécialistes bien intentionnés essaient d'alerter les gens qui ne comprennent pas le danger potentiel” et qui finissent par être punis par les païens non lavés qu'ils ont tenté d'aider.

Gardez cela pour vous.

Cela dit, vous auriez pu potentiellement évoquer quelque chose de tangentiellement lié et orienter la conversation vers une version très éditée de vos commentaires qui pourrait être perçue comme plus organique.

Histoire vraie : J'ai travaillé une fois dans un endroit où un type a trouvé une vulnérabilité sur le blog intranet de l'entreprise. Alors qu'il était à la maison, il a posté sur le blog depuis l'extérieur du réseau en utilisant la vulnérabilité. Puis, quand il est arrivé le lendemain, il a envoyé sa brillante trouvaille et la preuve que c'était possible à l'informatique. Il a immédiatement obtenu le statut de héros et a reçu une énorme prime, une augmentation et une promotion. Je plaisante, il a été immédiatement renvoyé.

Vous pouvez ignorer chaque mot de cette réponse si vous voulez vous souvenir de cette phrase de cinq mots : **“Avoir raison change rarement quelque chose.”

Je vais essayer d'ajouter une autre perspective.

Ai-je eu raison de leur dire que j'ai fait cela ?

Il y a des pays où la connexion et le balayage du réseau sont illégaux pour commencer. Imaginez que vous trouviez un port LAN sur place et utilisiez un câble ethernet pour vous connecter à leur réseau.

Il est possible que les RH le sachent puisqu'elles sont plus au courant des lois concernées.

Il est de la responsabilité des RH de gérer ces responsabilités légales pour l'entreprise. Il est possible que ce soit la raison pour laquelle ils ont semblé moins qu'enthousiastes à ce sujet.

Du point de vue de quelqu'un qui dirige la sécurité de l'information : ce que vous avez fait n'était pas intelligent.

Était-ce pour montrer que vous êtes un expert en sécurité ? Dans ce cas, si vous montrez simplement que vous pouvez

• vous connecter à un réseau WiFi ouvert
• que certaines de leurs machines se trouvaient sur ce réseau

Si vous qualifiez cela de problème de sécurité, alors, désolé, vous ne savez pas grand-chose sur la sécurité. Ce responsable informatique ne le sait pas non plus. Cela va probablement exploser un jour.

Ce n'était donc pas une bonne décision.

Peut-être était-ce pour faire preuve de proactivité ? Dans ce cas, vous ne devriez vraiment pas travailler dans la sécurité, car vous allez nuire à votre entreprise en faisant de telles choses. Il existe des règles d'engagement dans la sécurité et un employé est censé les respecter. Vous n'êtes pas un hacker, vous n'êtes pas un chasseur de primes. Vous ne devez pas faire ces choses.

Quelle que soit la manière dont vous considérez les choses, c'était une décision stupide si vous vouliez être embauché.

Alors, voyons voir. De mon point de vue, vous :

1. Découvert un réseau ouvert ; (OK)
2. Vous vous y êtes connecté ; (OK)
3. découvert qu'il avait besoin d'un identifiant et d'un mot de passe ; (OK)
4. interrogé les appareils autour de vous dans une tentative apparente de piratage ; (PAS OK)
5. vous en êtes vanté (STUPID !)

Maintenant, abordons vos questions individuellement :

1. Ai-je eu raison de leur dire que j'ai fait cela ? Pas si vous aviez le moindre désir de travailler pour cette entreprise. Notez également que la plupart des entreprises pour lesquelles j'ai travaillé affichent un avertissement lorsque vous vous connectez ou vous vous connectez, qui dit quelque chose comme “L'accès non autorisé n'est pas autorisé”. Nous contacterons les autorités et vous poursuivrons en justice si vous essayez". Notez également que l'ignorance n'est pas une excuse.

2. Est-ce que j'ai tué mes chances avec eux ? Si j'étais le responsable de l'embauche, je ne vous toucherais pas avec un bâton de 10 pieds. Vous êtes un hacker reconnu, fier de l'être, et un incident de sécurité en attente.

3. Dois-je le refaire avec d'autres offres d'emploi (si quelque chose est découvert par accident) ? Cela dépend. Voulez-vous obtenir un emploi ou voulez-vous vous montrer ? Dans le premier cas, ne recommencez jamais. Si c'est le second - eh bien, c'est votre vie, mon pote…

4. Comment puis-je prendre l'avantage lors de l'entretien avec ce genre d'informations ? Vous ne pouvez pas. Tout ce que vous pouvez faire, c'est rendre les gens nerveux, et les personnes qui sont nerveuses à propos de ce que vous avez fait, pouvez faire ou pourriez faire ne vous engageront pas. Regardez les nouvelles - toutes les quelques semaines, une autre entreprise se fait pirater, des cartes de crédit et d'autres informations personnelles sont volées, et ils passent pour des idiots, et leurs clients peuvent se retourner et les poursuivre en justice. En tant que personne travaillant dans le département informatique d'un grand distributeur, je peux vous dire que c'est l'une des choses qui inquiètent les gens comme moi. Si nous pensons que vous peut-être même un problème, vous ne serez pas embauché. Fin de l'histoire.

Bonne chance.

En ce qui concerne vos chances, elles dépendent fortement des pouvoirs du responsable informatique et du responsable des ressources humaines. Cela dépend également de la façon dont vous l'avez présentée. Si c'était “J'ai vu plusieurs ordinateurs avec des noms XYZ, quels qu'ils soient, connectés à un réseau non sécurisé”, c'était plus une insulte à celui qui a permis aux propriétaires de se connecter au réseau. Si c'était “J'ai vu votre ordinateur, M. Averagejoe, connecté à un réseau non sécurisé”, c'était une insulte directe à M. Averagejoe.

Si vous êtes sur le point de devenir un agent de sécurité, la paranoïa n'est pas obligatoire, mais elle aide. Le fait de vérifier qui est là avec vous (dans le réseau ouvert) montre clairement votre attitude vis-à-vis de votre éventuelle position. C'est pourquoi le responsable informatique a été impressionné.

D'autre part, votre présentation de vos conclusions a été assez grossière. C'est pourquoi le responsable des RH vous soutient et vous contrecarre.

Peut-être avez-vous versé de l'huile dans une lutte ouverte entre les informaticiens qui poussent les problèmes de sécurité à s'arrêter et les autres avec l'attitude “Mais de quoi parlent les bizarres ? Quelque chose comme le discours de Moss sur le fait de ne pas désactiver le pare-feu dans IT Crowd S2E1.

La prochaine fois, faites cette vérification de préférence quand on vous le demandera dans l'interview. Si vous ne pouvez pas résister, retenez les conclusions pour le moment, où les intrus sont hors de portée vocale et que vous ne parlez qu'au personnel informatique.

Cela va nuire à vos chances **parce que vous avez démontré une incapacité à comprendre le concept de _domaine de responsabilité. Vous :

• n'avez pas expliqué comment vous étiez autorisé à le faire (indépendamment de ce que les lois peuvent dire : vous devez convaincre _eux, pas le juge) et l'impact de vos actions en termes non techniques
• avez commencé à leur dire (par opposition à simplement suggérer) comment ils devaient faire les choses sans être la personne responsable de ces choses ou un consultant sous contrat

• Dans les environnements établis, chaque domaine et chaque tâche a une personne responsable (pratiquement toujours, une seule personne ; les décisions de groupe ne sont généralement justifiées que pour les questions complexes et stratégiques plutôt que pour les tâches quotidiennes). Cette personne est la seule à pouvoir prendre des décisions dans ce domaine. Si vous n'êtes pas cette personne et que vous constatez un problème, votre travail consiste à le lui signaler et à le lui laisser si quelque chose doit être fait pour le résoudre.
• C'est parce que même si vous savez qu'il s'agit d'un problème, vous n'avez pas une vue d'ensemble pour pouvoir peser le pour et le contre et vous ne porterez pas la responsabilité de vos actes. Comme d'autres l'ont dit, la sécurité est un exercice de gestion des risques : quelque chose ne vaut la peine d'être fait que si le faire coûte moins cher que de ne pas le faire.
• (Anticiper les commentaires des rebelles potentiels :) Il est possible de passer par-dessus leur tête et c'est parfois la voie à suivre pour faire quelque chose, mais c'est une affaire sérieuse et risquée, car il faut d'une manière ou d'une autre convaincre les supérieurs d'assumer les coûts assez élevés de la remise en question des compétences d'un subordonné important (faire une évaluation indépendante de ses compétences et de son travail, c'est du temps, de l'argent et un mécontentement durable de cette personne, quels que soient la méthode et le résultat).

• Ce que vous leur avez dit à propos de l'analyse sonnait essentiellement comme une personne non technique : “J'ai pénétré votre réseau et j'ai potentiellement perturbé votre activité - tout cela parce que j'en avais envie”.
• C'est ce qui a provoqué une réaction défensive. “Non, notre entreprise est certainement assez bien protégée si nous sommes toujours en activité, et vous ne pourriez certainement pas y pénétrer aussi facilement ! Ce que vous prétendez ne peut pas être vrai et est tout simplement diffamatoire (‘car cela nuirait à notre réputation si d'autres le croient (que ce soit vrai ou non), donc nous ne sommes certainement pas d'accord avec cela)”
• Et une personne avec un tel état d'esprit n'est certainement pas quelqu'un qu'elle veut voir dans un rayon d'un mile de son intrastructure critique.
• Ce n'est bien sûr pas ce que vous avez fait. Mais vous n'avez pas réussi à transmettre cela d'une manière qu'ils puissent comprendre.
• Vous auriez dû dire quelque chose comme “Quand j'attendais dans le hall, j'ai remarqué un réseau wifi ouvert au nom de votre société. Comme mon travail comprend la sécurité de l'information, j'ai saisi l'occasion pour me faire une idée de vos pratiques actuelles. J'ai remarqué ceci et cela, ce qui est potentiellement une vulnérabilité, bien que cela dépende”.1 S'ils ont toujours l'air terrifiés, ajoutez quelque chose comme “Je peux dire avec certitude (et vos collègues le confirmeront) que cela ne pourrait absolument pas perturber quoi que ce soit avec une stabilité de, par exemple, une installation Windows de série”
• Cela montrerait que vous avez été autorisé à le faire parce que les bons candidats sont censés et attendus pour être proactifs dans la recherche de l'entreprise ; vous avez bien pesé les risques et pris une décision en connaissance de cause ; et vous suggérez simplement que cela pourrait être un problème plutôt que de le dire car vous n'êtes pas le responsable et n'avez donc pas toutes les informations pour pouvoir faire des déclarations aussi catégoriques.

1sur la portée du réseau, la durée et la fréquence de connexion des machines, le type d'informations et/ou de fonctionnalités qu'elles contiennent et leur degré de sécurité.