2018-05-20 12:11:22 +0000 2018-05-20 12:11:22 +0000
195
195

¿Es aceptable hacer una prueba de seguridad en el WiFi abierto de una empresa antes de una entrevista?

Fui invitado a una entrevista para un puesto de IT en una organización llamada XYZ.

Mientras esperaba en el vestíbulo, encontré una red WiFi abierta llamada XYZ. Me conecté a ella y fui recibido con una página web pidiendo un nombre de usuario y una contraseña. Hice un escaneo de los dispositivos conectados usando Fing (una aplicación en androide) y encontré que hay algunos portátiles con los nombres XYZ-HR-1 y XYZ-FN-1.

En la entrevista, les dije que como mi puesto implica algunos aspectos de seguridad, encontré que la red abierta es una vulnerabilidad de seguridad en su red.

El gerente de TI estaba impresionado pero el representante de RRHH no, y actuó a la defensiva y dijo que no estoy contratado todavía para comprobar la seguridad de su red. Les dije que este es un asunto serio y que no debían esperar hasta que yo o cualquier otra persona fuera contratada.

¿Tenía razón al decirles que yo hice eso? ¿Maté mis posibilidades con ellos? ¿Debería hacerlo de nuevo con otras oportunidades de trabajo (si algo se descubre por accidente)? ¿Cómo puedo ganar ventaja en la entrevista con este tipo de información?

Respuestas (14)

295
295
295
2018-05-20 14:17:20 +0000

Un truco como este sería - en la mayoría de los ambientes - un show-stop de RRHH. La razón de esto es muy simple: Sabías lo que hacías, y no era ninguna de tus responsabilidades realizar la prueba.

Si te hubieras encontrado con el asunto de una manera “Las acciones aparecieron en el explorador de ventanas” probablemente habría estado bien. Pero un profesional de la seguridad necesita saber que ejecutar un explorador de red en una red, donde esto no fue acordado por el administrador de la red, está definitivamente bajo la categoría de “no agradable” a “hostil”. También puede causar un costo real, por ejemplo, cuando se dispara una falsa alarma. Una vez perdí algunas horas tratando de encontrar la fuente de un escaneo que algún punk de algún otro departamento ejecutó sin nuestro permiso (o de cualquier otra persona en la red interna).

Dependiendo de las circunstancias, uno podría también imaginar que la red no es visible hasta que uno está dentro del área de la compañía. Una vez trabajé en un sitio lo suficientemente grande como para que no se viera una señal wifi desde el exterior (sin medidas muy especiales). En ese caso habría incluso un abuso de confianza. (Sé que todavía no es una buena idea hacer funcionar un wifi abierto, ya sabes, los informáticos lo saben, pero no sé si la dirección y RRHH lo saben o quieren oírlo).

218
218
218
2018-05-20 12:58:32 +0000

Imagina que te invito a mi casa para un bar en el patio trasero y llegas y, mientras estábamos en la cocina, dices

Me pasé ayer mientras estabas en el trabajo. Esa valla no mantiene a nadie fuera. Me di cuenta de que tu columpio no está bien anclado en el suelo, lo que podría ser inseguro si los niños más grandes se columpian muy fuerte. Además, el espacio en los rieles de la cubierta es demasiado amplio, el código de estos días especifica X pulgadas y tienes Y.

Estaría parado ahí con la boca abierta mirando tu grosería. Nadie te preguntó, no comprobaste si estaba bien, sólo te entrometías y ahora estás criticando. Claro, la seguridad de los niños en los columpios y en la cubierta trasera es muy importante. Pero también lo son las reglas de la sociedad educada. Un mejor invitado no invadiría el patio trasero sin consentimiento y no soltaría un informe de inspección al principio de una conversación. En vez de eso, ese invitado esperaría hasta llegar al patio trasero con un vaso de limonada y luego diría

Ooooh, un columpio. Sé un poco sobre esto. ¿Está bien anclado? ¿Puedo comprobarlo?

y

Sabes que en estos días los rieles de la cubierta se supone que son de pulgadas Y… Parece que el tuyo podría ser más viejo… Puedo coger mi cinta de medir y confirmarlo si quieres?

Ahora estás mostrando tu profundo conocimiento de la seguridad en el patio trasero y que posees herramientas, pero no estás haciendo daño a nadie.

Ahora el punto de esta metáfora/analogía no se corresponde perfectamente con el acto de comprobar un wifi abierto y descubrir algunos nombres de máquinas. Es mostrarte la respuesta emocional que este comportamiento puede provocar. Te invitaron a sus oficinas para una entrevista. Hiciste algo que está fuera de la norma de una entrevista, sin permiso o invitación, cuando no estaban allí para verte hacerlo. Y criticaste sus operaciones en el mismo párrafo en el que les dijiste lo que habías hecho. Al menos uno de ellos estaba conmocionado y molesto. El experimento de pensamiento anterior es para llevarte a entender esos sentimientos de estar conmocionado y molesto.

Para dejar la metáfora/analogía atrás, ¿cómo podrías haber manejado esto mejor? En lugar de soltar sus resultados al principio de la entrevista, podría haber esperado a discutir el aspecto de la seguridad y luego decir “muchas buenas empresas no tienen ni idea de que sus redes son vulnerables a algunos de los ataques más recientes”. Podría hacer un escaneo de 5 minutos en tu wifi de invitado si quieres". Por supuesto, podrías hacer esta oferta con confianza porque ya lo hiciste en el vestíbulo :-). Ahora estás mostrando tus habilidades y tus herramientas, en el contexto correcto, y con permiso. Incluso les has puesto un salva-caras que no significa que sean idiotas si encuentras algo. Cuando lo encuentres, puedes decirles que sabes cómo cambiar las cosas para que la vulnerabilidad se cierre. Ahora quieren contratarte en lugar de sentirse ofendidos.

77
77
77
2018-05-20 12:18:42 +0000

Les dije que esto es un asunto serio y que no deberían esperar hasta que yo o cualquier otra persona sea contratada.

¿Tenía razón al decirles que hice eso?

Dar una charla a un entrevistador es rara vez una buena manera de conseguir un trabajo.

¿Maté mis posibilidades con ellos?

No hay forma de saber la respuesta a eso a menos que te lo digan directamente.

¿Debería hacerlo de nuevo con otras oportunidades de trabajo (si algo se descubrió por accidente)?

Espere hasta que su evaluación sea solicitada específicamente, o hasta que sea contratado.

62
62
62
2018-05-20 19:09:39 +0000

Ejecutar un escaneo en su red fue muy desacertado, y en algunos lugares podría haber sido acusado de un crimen.

Puede que quieras leer sobre el caso de Randall Schwarz, un conocido autor de tecnología. En los 90’s fue un administrador de sistemas por contrato para el grupo de súper computadoras de Intel. Estaba preocupado por la seguridad del grupo, así que ejecutó un descifrador de contraseñas en algunas de las cuentas de sus colegas. Aunque era un contratista de Intel, la seguridad y las pruebas de penetración no estaban oficialmente en sus deberes, y terminó siendo condenado por dos delitos graves por sus actividades. Muchos pensaron que las condenas eran una injusticia, y en 2007 las condenas fueron selladas. Sin embargo, esto muestra el tipo de aguas profundas en las que puedes terminar, cuando decides ayudar con las vulnerabilidades de seguridad, sin que se te pida hacerlo.

36
36
36
2018-05-20 16:26:56 +0000

Tomaré un punto de vista contrario a la mayoría de las respuestas aquí. Las otras respuestas son correctas, desde un punto de vista estrictamente corporativo, estás equivocado. Sin embargo, creo que hiciste lo que hiciste porque tienes confianza en tus habilidades, y vas en busca de asuntos que arreglar, que son grandes rasgos a tener, pero que no encajan en todas las culturas corporativas.

Habrá algunos lugares que estarán bien con esto, pero tal racha de independencia es también grande para el espíritu empresarial. Podrías ser muy adecuado para empezar tu propio negocio.

Entonces, yo diría que tienes 3 opciones: 1. Tratar de conformarse más a la cultura corporativa, 2. No conformarse, pero arriesgarse a no conseguir algunos trabajos, 3. Seguir el camino de la pequeña empresa.

32
32
32
2018-05-21 09:14:54 +0000

Respuesta corta:

No pruebes|acceso|hacking nada sin una autorización explícita.

¿Maté mis posibilidades con ellos?

Ciertamente.

Ps: Baja la votación todo lo que quieras, pero la OP rompió una de las primeras reglas en IT/Pentesting y ese es el único objetivo de mi respuesta.

16
16
16
2018-05-20 16:54:26 +0000

Tanto si consigues el trabajo como si no, y tanto si esto te ayudó como si obstaculizó tus posibilidades, lo que hiciste fue poco profesional y posiblemente ilegal. Si hubieras mirado su sitio web público o hubieran tenido una red totalmente abierta (sin contraseña), habrías estado en terreno más firme.

No habías sido contratado en ese momento, y en efecto estabas atacando su red en busca de vulnerabilidades. Como profesional debes saber que no debes hacer eso sin un acuerdo previo y una investigación de las posibles consecuencias. Hay una pregunta relacionada en la pila de seguridad – preguntar si una compañía pentest debería firmar un contrato prometiendo no tener consecuencias negativas de la prueba y cubrir cualquier daño incuestionable. La respuesta aceptada dice: “He derribado los sistemas con un escáner de puertos”. Es imposible saber qué va a hacer el código de otra persona, y por lo tanto, qué consecuencias negativas podría tener la intrusión en él. Pones su organización en riesgo, sin advertencia, acuerdo o justificación.

Usar su sistema de la manera en que debe ser usado y ver lo que sucede, es justificable, el uso no estándar no lo es. Eso incluye tratar de adivinar un nombre de usuario/contraseña – el uso estándar es TENER un nombre de usuario y una contraseña, no tratar de encontrar uno.

13
13
13
2018-05-21 12:17:05 +0000

Todas las respuestas son correctas IMHO, tanto las que fomentan el comportamiento como las que lo desalientan, pero se me escapa algo importante: el hecho de que la entrevista fue con personas diferentes, que resulta que tienen objetivos diferentes.

El jefe de IT quiere a alguien capaz de pensar fuera de la caja, alguien capaz de tomar iniciativas, y de identificar fácilmente cualquier deficiencia que pueda haber. Por supuesto que está interesado en ese perfil.

El jefe de RRHH quiere proteger la empresa contra los empleados. Ese es el trabajo. Identificar cualquier daño que un empleado pueda hacer, y proteger a la empresa contra él. La mayoría de las veces, es más a nivel legal o de relación, pero si RRHH cree que hay un empleado potencial que podría ser lo suficientemente inteligente como para evitar los valores estándar, fuera de una auditoría controlada por los jefes, entonces hará lo que se le paga para hacer: proteger la empresa contra el (todavía) empleado.

De ahí la diversidad de respuestas. Si hubiera hablado sólo con el jefe de informática, entonces (a pesar de las cuestiones legales) su comportamiento habría sido inteligente. Eso es lo que necesita. Pero como el RRHH estaba presente, debería haber tenido en cuenta su papel: preservar el orden natural y la jerarquía de la empresa.

Tenga en cuenta que la mayoría de las empresas estarán más que dispuestas a perder algo de eficiencia para ganar más control sobre sus empleados. Si busca un trabajo en el ámbito corporativo, deberá al menos fingir que respeta las reglas frente a aquellos a los que se les paga para hacerlas cumplir. Y tratar de respetarlas de verdad siempre y cuando no te impida obviamente hacer tu trabajo. Y la primera regla es: no parezcas incontrolable. En el mundo corporativo, los gerentes tienen el poder, y ven la gestión como la ciencia del control (si es correcto o bueno es otro debate que no abriré).

La trampa es que tenías que formatear tu discurso a dos audiencias diferentes con necesidades y expectativas opuestas. Intenta pensar en ambas la próxima vez.

7
7
7
2018-05-21 16:15:42 +0000

Cuando se trata de información o ideas que poseemos, mientras que para algunos podría parecer contraintuitivo, no es óptimo contar todo a todo el mundo. Me tomó más tiempo del que me gustaría admitir para internalizar completamente que no podía decir nada y guardármelo para mí mismo.

HR nunca va a tomar algo así de otra manera que no sea lo que describes. Cualquiera que no entienda el NetSec es probable que lo vea a usted y a su comentario con extrema sospecha. Las interacciones tanto del público como del escenario y la pantalla deben ilustrar la verdad de esto, hay toda una categoría de tropos relacionados con “el especialista bien intencionado trata de alertar a la gente que no entiende sobre el peligro potencial” que acaban siendo castigados por los paganos sin lavar a los que trataron de ayudar.

Guárdatelo para ti.

Dicho esto, podrías haber sacado a relucir potencialmente algo relacionado tangencialmente y dirigir la conversación hacia donde una versión altamente editada de tus comentarios podría ser percibida como más orgánica.

Historia real: Una vez trabajé en un lugar donde un tipo encontró una vulnerabilidad en el blog de la intranet de la compañía. Mientras estaba en casa, publicó en el blog desde fuera de la red usando la vulnerabilidad. Luego, cuando llegó al día siguiente, envió su brillante hallazgo y la prueba de que era posible a la IT. Inmediatamente se le dio el estatus de héroe y una enorme bonificación, aumento y promoción. Es broma, fue despedido inmediatamente.

Puedes ignorar cada palabra de esta respuesta si quieres recordar esta frase de cinco palabras: “Tener razón rara vez cambia algo ”

6
6
6
2018-05-20 14:10:26 +0000

Voy a tratar de añadir otra perspectiva.

¿Tenía razón al decirles que hice eso?

Hay países donde unirse y escanear la red es ilegal para empezar. Imagina que encuentras un puerto LAN en el local y usas un cable ethernet para conectarte a su red.

Es posible que RRHH sepa esto ya que son más conscientes de las leyes involucradas.

Es responsabilidad de RRHH manejar tales responsabilidades legales para la compañía. Es posible que sea por eso que parecían menos entusiasmados con esto.

5
5
5
2018-05-21 15:59:08 +0000

Desde la perspectiva de alguien que dirige la seguridad de la información: lo que hiciste no fue inteligente.

¿Fue para demostrar que eres un experto en seguridad? En ese caso, si sólo muestra que puede

  • conectarse a un WiFi abierto
  • que algunas de sus máquinas estaban en esa red

Si etiqueta esto como un problema de seguridad entonces, lo siento, no sabe mucho sobre seguridad. Este director de IT tampoco. Esto probablemente explotará algún día.

Así que ese movimiento no fue bueno.

¿Quizás fue para mostrar proactividad? Bueno, en ese caso no deberías trabajar en seguridad porque vas a perjudicar a tu empresa haciendo esas cosas. Hay reglas de compromiso en la seguridad y se espera que un empleado las siga. No eres un hacker, no eres un cazarrecompensas. No debes hacer estas cosas.

Como sea que lo veas, fue un movimiento estúpido si querías ser contratado.

2
2
2
2018-05-24 21:03:21 +0000

Entonces, veamos. Desde mi punto de vista usted:

  1. Descubrió una red abierta; (OK)
  2. Conectado a ella; (OK)
  3. Descubrió que necesitaba un nombre de usuario/contraseña; (OK)
  4. Interrogó a los dispositivos a su alrededor en un aparente intento de pirateo; (NO OK)
  5. Se jactó de ello (¡Estúpido!)

Ahora, vamos a cubrir sus preguntas individualmente:

  1. ¿Tenía razón al decirles que hice eso? No si tenías algún deseo de trabajar para esa compañía. También tenga en cuenta que la mayoría de las empresas para las que he trabajado muestran una advertencia cuando se conectan o entran en el sistema que dice algo como “El acceso no autorizado no está permitido”. Nos pondremos en contacto con las autoridades y te procesaremos si lo intentas". También tenga en cuenta que la ignorancia no es una excusa.

  2. ¿Maté mis posibilidades con ellos? Si yo fuera el gerente de contrataciones no te tocaría con un palo de 3 metros. Eres un hacker reconocido, orgulloso de ello, y un incidente de seguridad a punto de ocurrir.

  3. ¿Debería hacerlo de nuevo con otras oportunidades de trabajo (si algo se descubre por accidente)? Eso depende. ¿Quieres conseguir un trabajo, o quieres presumir? Si es lo primero, no vuelvas a hacerlo. Si lo segundo… bueno, es tu vida, amigo…

  4. ¿Cómo puedo ganar ventaja en la entrevista con este tipo de información? No puedes. Todo lo que puedes hacer es poner nerviosa a la gente, y la gente que está nerviosa por lo que has hecho, puedes hacer, o puede hacer no te contratará. Mira las noticias - cada pocas semanas otra compañía es hackeada, las tarjetas de crédito y otros datos personales son robados, y parecen idiotas, y sus clientes pueden darse la vuelta y demandarlos. Como alguien que trabaja en el departamento de informática de un gran minorista, puedo decirte que esta es una de las cosas que preocupan a la gente como yo. Si pensamos que incluso puede ser un problema, no serás contratado. Fin de la historia.

La mejor de las suertes.

1
1
1
2018-05-22 12:57:17 +0000

En cuanto a sus posibilidades, depende en gran medida de los poderes del director de TI y del director de RRHH. También depende de la forma en que lo presentas. Si fue “Vi varios ordenadores con XYZ-cualquier nombre conectados a una red no segura” fue más bien un insulto al que permitió a los propietarios conectarse a la red. Si era “Vi su computadora, Sr. Averagejoe, conectada a la red no segura” era un insulto directo al Sr. Averagejoe.

Si estás a punto de ser un tipo de seguridad, la paranoia no es obligatoria, pero ayuda. Tu comprobación de quién está ahí contigo (en la red abierta) muestra claramente tu actitud hacia tu posible posición. Es por eso que el gerente de TI estaba impresionado.

Por otro lado, tu presentación de tus hallazgos fue bastante grosera. Por eso el director de RRHH te apoya y te contrarresta.

Tal vez vertiste aceite en una pelea abierta entre los informáticos que presionaban para que se detuvieran los problemas de seguridad y los otros con la actitud “¿De qué demonios están hablando los raros?” Algo como la charla de Moss sobre no desactivar el cortafuegos en IT Crowd S2E1.

La próxima vez, haz esta comprobación preferentemente cuando te lo pidan en la entrevista. Si no puedes resistirte, mantén los hallazgos al momento, donde los infractores están fuera del rango vocal y estás hablando sólo del personal de IT.

0
0
0
2018-05-30 23:45:58 +0000

Esto perjudicará sus posibilidades **porque ha demostrado una falta de comprensión del concepto de _área de responsabilidad. Usted:

  • no ha explicado cómo se le autorizó a hacerlo (sin importar lo que digan las leyes: usted necesita convencerlos a ellos, no al juez) y el impacto de sus acciones en términos no técnicos
  • comenzó a decirles (en lugar de simplemente sugerirles) cómo deben hacer las cosas sin ser la persona responsable de esas cosas o un consultor contratado

  • En los entornos establecidos, cada área y tarea tiene una persona responsable de ella (prácticamente siempre, una sola persona; las decisiones de grupo normalmente sólo se justifican para asuntos complejos y estratégicos, en lugar de las tareas cotidianas). Esa persona es la única que puede tomar decisiones en esa área. Esto se hace para asegurar que tengan el cuadro completo y que se aplique una visión unificada al mismo.
  • Si no eres esa persona y ves un problema, tu trabajo es informar a ellos y dejarles a ellos si es necesario hacer algo al respecto.
  • Esto se hace porque aunque sepas que es un problema, no tienes el cuadro completo para poder sopesar todos los pros y los contras, y no cargarás con la responsabilidad de tus acciones. Como otros han dicho, la seguridad es un ejercicio de gestión de riesgos: sólo vale la pena hacer algo si hacerlo es menos costoso que no hacerlo.
  • (Anticipando comentarios de posibles rebeldes:) Pasar por encima de ellos es posible y a veces puede ser la manera de conseguir que se haga algo, pero es un asunto serio y arriesgado, ya que hay que convencer de alguna manera a los superiores para que incurran en los costos bastante elevados de cuestionar la competencia de un subordinado importante (hacer una evaluación independiente de sus habilidades y trabajo es tiempo, dinero y el descontento duradero de esa persona, independientemente del método y el resultado). Lo que les dijo sobre el escáner básicamente sonó a una persona no tecnológica: “Rompí su red y potencialmente perturbé su negocio… todo porque me dio la gana”.
  • Esto es lo que provocó una reacción defensiva. “No, nuestro negocio está ciertamente bien protegido si todavía estamos en el negocio, ¡y ciertamente no podríais abrir una brecha tan fácilmente! Lo que dices no puede ser verdad y es una simple calumnia (‘porque esto dañaría nuestra reputación si otros lo creen (sin importar si es verdad), ¡así que definitivamente no nos lo tomamos a pecho!”
  • Y una persona con tal mentalidad no es ciertamente alguien que quiera ver en un radio de una milla de su intrastructura crítica.
  • Ahora, eso no es, por supuesto, lo que hiciste. Pero fallaste en transmitirlo de una manera que ellos puedan entender.
  • Deberías haber dicho algo como: “Cuando estaba esperando en el vestíbulo, noté una red wifi abierta con el nombre de su compañía. Como mi trabajo incluirá la seguridad de la información, aproveché la oportunidad para hacerme una idea de sus prácticas actuales. Noté esto y esto, que es potencialmente una vulnerabilidad, aunque depende. "1 Si todavía se ven aterrorizados, agregue algo como: "Puedo decir con confianza (y sus colegas lo confirmarían) que esto no podría interrumpir absolutamente nada con una estabilidad de, por ejemplo, una instalación de Windows de serie”
  • Esto demostraría que usted estaba autorizado a hacerlo porque se supone y se espera que los buenos candidatos sean proactivos en la investigación de la empresa; usted sopesó los riesgos y tomó una decisión informada; y se limita a sugerir que esto podría ser un problema en lugar de afirmarlo abiertamente, ya que usted no es el responsable y, por lo tanto, no tiene toda la información para poder hacer afirmaciones tan categóricas.

1sobre el alcance de la red, cuánto tiempo y con qué frecuencia las máquinas permanecen en ella, qué tipo de información y/o funcionalidad contienen y qué tan bien están aseguradas.