2018-05-20 12:11:22 +0000 2018-05-20 12:11:22 +0000
195
195

面试前,是否可以在公司开放的WiFi上做一个安全测试?

我应邀参加了一家叫XYZ的公司的IT岗位的面试,在大厅等待的时候,我发现了一个叫XYZ的开放WiFi网络。我连接上它,迎接我的是一个网页,要求输入用户名和密码。我用Fing(安卓上的一个APP)对连接的设备进行了扫描,发现有几台笔记本的名字是XYZ-HR-1和XYZ-FN-1。

在面试的时候,我告诉他们,因为我的职位涉及到一些安全方面的问题,所以我发现这个开放的网络是他们的网络安全漏洞。

IT经理很是佩服,但是HR代表却不以为然,表现得很防备,说我还没被录用,要检查一下他们的网络安全。我告诉他们,这是个很严重的问题,不应该等我或其他人被录用后再去查,

我这样做对吗?我是不是扼杀了我和他们的机会?我是否应该用其他的工作机会再做一次(如果不小心发现了什么问题)?有了这样的信息,我怎么才能在面试中取得优势?

答案 (14)

295
295
295
2018-05-20 14:17:20 +0000

像这样的绝技–在大多数环境下–都会被HR们看在眼里。原因很简单,你知道自己在做什么,而执行测试不属于你的责任。如果你知道你在做什么,而且执行测试不属于你的责任。但作为一个安全专家需要知道,在网络上运行一个网络扫描器,在网络管理员没有同意的情况下,肯定是属于 “不友好 "到 "敌对 "的范畴。它还可能会造成真正的成本,例如,当你触发误报时,可能会造成真正的成本。我曾经浪费了几个小时的时间,试图找到一个扫描的源头,这个扫描是某个其他部门的小混混在没有经过我们(或内部网络上的其他人)同意的情况下运行的。

根据情况,也可以想象,在你进入公司区域内,才会发现网络是不可见的。我曾经在一个工地上工作过,面积足够大,如果没有非常特殊的措施,从外面是看不到wifi信号的。这样的话,甚至会出现失信的情况。我知道开着wifi还是不好办,你知道的,IT的人都知道,但不知道管理层和HR是否知道或想听)。

218
218
218
2018-05-20 12:58:32 +0000

想象一下,我邀请你去我家做后院酒吧,你到了,当我们在厨房里,说

昨天你上班的时候,我顺便去了一趟。那个栅栏没把人挡在外面。我注意到你的秋千架没有正确地固定在地面上–如果大一点的孩子荡秋千可能会很不安全。另外,您的甲板栏杆的间距太宽了,现在的规范规定是X英寸,而您的是Y英寸。没人问你,你也没检查过是否可以,你就这么闯入,现在又来批评。当然,孩子们在秋千架和后甲板上的安全确实很重要。但是,礼貌社会的规则也很重要。一个好一点的客人不会在没有同意的情况下擅自侵入后院,也不会在谈话中早早地说出检查报告。相反,那个客人会等到到了后院,喝了一杯柠檬水,然后说

哦,哦,秋千架。我对这些都有点了解。它固定得好吗?我可以检查一下吗?

你知道这年头的栏杆应该是Y英寸的….. 看起来你的可能是旧的…… 我可以拿起我的卷尺来确认一下,如果你喜欢的话?

现在,你在展示你对后院安全的深刻认识,你拥有工具,但你没有伤害到任何人。而是要告诉你这种行为会引起的情绪反应。他们邀请你去他们的办公室面试。你在没有得到他们的允许和邀请的情况下,做了一些不符合面试规范的事情,在他们不在场的情况下,你做了一些不符合面试规范的事情。而你在告诉他们你所做的事情的同一段中,批评了他们的操作。其中至少有一个人感到震惊和不安。上面的思想实验,就是要引导你去理解那些震惊和不爽的心情,

抛开比喻/类比,你怎么能更好地处理这件事呢?与其在面试的时候一早就模糊地说出你的结果,不如等到讨论到安全方面的时候再说 “很多优秀的公司都不知道他们的网络容易受到一些较新的攻击"。如果你愿意的话,我可以在你的客人wifi上运行5分钟的扫描。” 你当然可以很自信地提出这个提议,因为你已经在大厅里做过了:-)。现在,你在适当的语境下,在得到允许的情况下,展示了你的技能和工具。你甚至给他们设置了一个面子,如果你发现了什么,并不代表他们就是白痴。当你发现后,你可以告诉他们,你知道如何改变事情,这样漏洞就会被关闭。现在他们想雇你,而不是得罪你。

77
77
77
2018-05-20 12:18:42 +0000

我告诉他们,这是个很严重的问题,不应该等到我或其他人被录用后再去做

我告诉他们我这样做对吗?

给面试官讲课是很少有好的办法的

我是不是扼杀了我和他们的机会?

除非你直接听他们说,否则是没有办法知道答案的。

我是否应该用其他的工作机会再来一次(如果是意外发现了什么的话)?

等到你的考核被特别征集,或者被录用后再来一次。

62
62
62
2018-05-20 19:09:39 +0000

在他们的网络上运行一个扫描是非常不明智的,在某些地方可能会让你被指控犯罪。在90年代,他是英特尔公司超级计算机集团的合同系统管理员。他担心集团的安全问题,所以他在一些同事的账户上运行了一个密码破解器。虽然他是英特尔的承包商,但安全和渗透测试并不在他的职责范围内,他最终因其活动被判处两项重罪。很多人认为这个罪名是冤枉的,在2007年,这个罪名被封杀了。不管怎么说,这让你知道,当你决定帮助解决安全漏洞,却没有真正被要求去做的时候,你可能会陷入什么样的水深火热之中。

36
36
36
2018-05-20 16:26:56 +0000

对于这里的大部分答案,我采取的是反面观点。其他的答案都是对的,从严格的企业角度来看,你的回答是对的。但是,我觉得你之所以这么做,是因为你对自己的能力有信心,你去找问题去解决,这些都是很好的特质,但不会适合每一个企业文化,

会有一些地方是没有问题的,但这样的独立精神也很适合创业。你可能很适合自己创业。

所以,我想说你有3个选择。1. 尽量多顺应企业文化,2.不顺应,但冒着找不到一些工作的风险,3.走小企业的路线。

32
32
32
2018-05-21 09:14:54 +0000

简答:

**在没有明确授权的情况下,不要测试|访问|黑客任何东西*。

_我和他们一起杀了我的机会了吗? _

最肯定的是。

Ps:想怎么投就怎么投,但OP违反了IT/测试中的第一条规则之一,这是我回答的唯一目的。

16
16
16
2018-05-20 16:54:26 +0000

不管你是否得到这份工作,也不管这对你的机会是有帮助还是有阻碍,你的做法是不专业的,可能是违法的。如果你看了他们的公开网站,或者他们有一个完全开放的网络(没有密码),你就会有更坚实的基础。作为一个专业人士,你应该知道在没有事先同意和调查可能的后果的情况下不要这样做。 在安全栈上有一个有点相关的问题—-问的是,如果一个Pentest公司是否应该签署一份合同,承诺测试不产生任何负面的后果,并承担任何损失。接受的答案是 “我用端口扫描把系统打翻了"。你不可能知道别人的代码会做什么,因此不可能知道插手可能会产生什么负面的后果。你在没有警告、同意或理由的情况下,将他们的组织置于危险之中。

使用他们的系统是有理由的,非标准的使用方式是有理由的,而非标准的使用方式是没有理由的。这包括试图猜测用户名/密码—标准用法是要有一个用户名和密码,而不是试图找到一个。

13
13
13
2018-05-21 12:17:05 +0000

所有的答案在IMHO中都是对的,无论是鼓励行为的人还是不鼓励行为的人,都是对的,但对我来说,却忽略了一些重要的东西:面试的对象是不同的人,他们的目标不同。当然,他对这样的人当然很感兴趣。

HR老板要的是保护公司的员工。这就是工作内容。发现员工可能做出的任何伤害,并保护公司不受伤害。大多数时候,这更多的是在法律或关系层面上,但如果HR觉得有一个潜在的员工可能聪明到可以绕过标准的证券,在上级控制的审计之外,那么他就会做他的工作:保护公司不被员工伤害。如果你只对IT老板说,那么(尽管有法律问题)你的行为会很聪明。这正是他需要的。

要知道,大多数公司都会很乐意失去一些效率,以获得对员工的控制权。如果你要在企业环境中找工作,你至少要在那些受雇执行规则的人面前假装尊重规则。只要不是明显地妨碍了你的工作,你就应该试着去尊重他们。而第一条规则是:不要看起来不受控制。在企业世界里,经理人掌握着权力,把管理看成是控制的科学(这到底是对的还是好的,我就不展开辩论了)。试着把这两方面都考虑到,下次再来。

7
7
7
2018-05-21 16:15:42 +0000

当涉及到我们所掌握的信息或想法时,虽然对有些人来说可能会觉得是反直觉的,但把所有的事情都告诉大家是次要的。我花了比我愿意承认的时间更长的时间,才完全内化为我可以什么都不说,什么都不说,什么都不说,什么都不说,我就可以了。

HR绝对不会像你描述的那样,把这样的事情当做其他的事情。任何不了解NetSec的人,都会对你和你的评论抱有极大的怀疑。不管是公开的互动,还是舞台和屏幕上的互动,都应该说明了这一点,有一整类与 “善意的专家试图提醒那些不了解潜在危险的人 "相关的陈词滥调,最终被他们试图帮助的未被洗白的异教徒惩罚。我曾经在一个地方工作过,一个人在公司的内网博客中发现了一个漏洞。当他在家的时候,他利用这个漏洞从网络外发布到博客上。然后,当他第二天进来的时候,他把自己高明的发现和证明有可能的证据发给了IT部门。他立刻就被授予了英雄身份,并获得了巨额奖金、加薪和升职。开玩笑,他立刻就被开除了。

如果你想记住这五个字,你可以无视这个答案的每一个字。"做对了很少会改变什么。”“做对了很少会改变什么。

6
6
6
2018-05-20 14:10:26 +0000

我试着补充一个角度。

我告诉他们我这样做对吗

有些国家的加入和扫描网络是违法的,一开始就有。试想一下,你在公司的前提下找到一个局域网端口,用一根以太网线连接到他们的网络上,

有可能HR是知道的,因为他们比较清楚这里面涉及到的法律问题。可能这也是他们似乎不那么热心的原因吧。

5
5
5
2018-05-21 15:59:08 +0000

从一个信息安全运营者的角度来看:你的做法并不高明,

是为了显示你是安全专家吗?如果这样的话,如果你只是表现出你可以

–连接到一个开放的WiFi –他们的一些机器都在那个网络上

如果你把这个标记为安全问题,那么,对不起,你对安全知识不了解。这个IT经理也不懂。这很可能有一天会炸了

所以说,这一招并不是什么好招

也许是为了显示出主动性?那么这样的话,你真的不应该从事保安工作,因为你做这种事情会伤害到你的公司。安全领域有参与规则,员工应该遵守这些规则。你不是黑客,你不是赏金猎人,你不能做这些事情。你一定不要做这些事情。

不管你怎么看,如果你想被录用,那是一个愚蠢的举动。

2
2
2
2018-05-24 21:03:21 +0000

那么,我们来看看。从我的角度看你:

  1. 发现了一个开放的网络;(确定)
  2. 连接到它;(确定)
  3. 发现它需要一个用户名/密码;(OK) 4.对你周围的设备进行审问,显然是黑客入侵;(不OK) 5.吹嘘它(STUPID!)

现在,让我们来逐一谈谈你的问题:

1.我告诉他们我的说法是否正确?我告诉他们我这样做对吗?2.如果你有想在那家公司工作的愿望,就不会。另外要注意的是,我工作过的大多数公司在你连接或登录时都会显示一个警告,上面写着 “不允许未经授权的访问 "之类的内容。如果你尝试的话,我们会联系相关部门,并对你进行起诉"。另外要注意的是,无知不能成为借口。

  1. 我和他们的机会被我扼杀了吗?如果我是用人单位的经理,我不会用十尺竿子打动你。你是个公认的黑客,引以为傲,而且是个安全事故等着你去做。

  2. 如果有其他工作机会,我是否应该再做一次(如果不小心发现了什么)?这个要看情况。你是想找工作,还是想炫耀一下?如果是前者,那就不要再做了。如果是后者–好吧,这是你的命,哥们儿…..

4.有了这样的信息,如何在面试中获得优势?你不可能。你能做的就是让别人紧张,那些对你做过的、能做的、可能做的事情感到紧张的人是不会录用你的。看看新闻–每隔几周就会有另一家公司被黑客入侵,信用卡和其他个人信息被盗用,他们看起来像个傻子,而且他们的客户可能会转身起诉他们。作为一个在大型零售商的IT部门工作的人,我可以告诉你,这是让我这样的人担心的事情之一。如果我们认为你连可能是个问题,你就不会被录用。说完了,

祝你们好运。

1
1
1
2018-05-22 12:57:17 +0000

关于你的机会,很大程度上取决于IT经理和人事经理的权力。这也取决于你的表达方式。如果是 “我看到几台名字为XYZ-whatever的电脑连接到了一个不安全的网络",那更多的是对允许业主连接到网络的人的侮辱。如果是 "我看到你的电脑,Mr.Averagejoe,连接到了不安全的网络",那是对Mr.Averagejoe的直接侮辱。

如果你要做一个安全人员,偏执狂不是必须的,但它是有帮助的。你的检查谁和你在一起(在开放的网络中)清楚地表明了你对自己可能的职位的态度。这也是为什么IT经理对你印象深刻的原因。

另一方面,你对你的检查结果的表述相当粗暴。这也是为什么HR经理挺身而出,反击你的原因。

也许你在IT人推着安全问题停止和其他人以 "怪人在说什么鬼话 "的态度在公开的战斗中浇了油,而其他人则是抱着 "怪人在说什么鬼话?” 有点像Moss在《IT群英会S2E1》里说的不禁用防火墙的事情,

下次最好在面试的时候做这个检查,最好是在面试的时候问。若是你不克不及,那就把检查的结果举行到此刻,在突破者不在发声范围内,而你讨论的只是IT职员。

0
0
0
2018-05-30 23:45:58 +0000

这将伤害你的机会,因为你已经表现出不理解_责任区的概念。 _*你:

–未能解释你是如何被授权这样做的(不管法律怎么说。你需要说服他们,而不是法官),以及你的行为的影响用非技术性的术语 –开始告诉他们(而不是仅仅是建议)他们应该如何做事情,而不是作为负责这些事情的人或签约顾问


–在既定的环境中,每一个领域和任务都有一个人负责(几乎总是一个人;通常只有在复杂的、战略性的事情上才有集体决策的权利,而不是日常的任务)。这个人是唯一一个可以在该领域做出决策的人。 –如果你不是那个人,看到了问题,你的工作就是报告给他们,如果需要做什么事情,就_由他们来做。 -那是因为即使你知道这是一个问题,你也没有全盘考虑,无法权衡所有的利弊,你也不会为自己的行为负责。正如其他人所言,安全是一种风险管理:只有当做一件事的成本比不做这件事的成本低时,才值得去做。 –(预料到会有反叛者的评论:)越过他们的头顶是可能的,有时也可能是做任何事情的方法,但这是很严肃和有风险的事情,因为你需要以某种方式说服上级领导,让他们承担相当高的成本,质疑一个重要的下属的能力(对他们的技能和工作进行独立评估是时间、金钱和对那个人的持久不满,无论方法和结果如何)。


  • 你告诉他们的扫描内容,基本上在一个非技术人员看来,听起来很像。 你所说的不可能是真的,而且是纯粹的诽谤(因为如果别人相信了这句话,会损害我们的声誉(不管是真是假),所以我们肯定不会善罢甘休)!" –有这种心态的人,肯定不是他们希望看到的人在他们的关键基础设施周围一英里范围内的人。但你没能用他们能理解的方式来传达这一点。 -你应该这样说: “当我在大厅等待时,我注意到一个开放的wifi网络,上面有贵公司的名字。因为我的工作内容将包括信息安全,所以我借机了解了一下贵公司目前的做法。注意到了这个和这个,这可能是一个潜在的漏洞,当然这要看情况。"1如果他们还是一脸惊恐的样子,那就补充一些类似的内容。"我可以自信地说(你的同事们会确认),这绝对不可能破坏任何东西的稳定性,比如说,一个存量的Windows安装。” –这将表明你被授权这样做,因为好的候选人应该并被期望积极主动地研究公司;你确实权衡了风险并做出了明智的决定;而你只是暗示这可能是一个问题,而不是直截了当地指出,因为你不是负责任的人,因此没有完整的信息,无法做出这样的断然声明。

1关于网络的外延,机器在网络上停留的时间和频率有多长,它们包含什么样的信息和/或功能,以及它们的安全性如何。