Uma proeza como esta seria - na maioria dos ambientes - um show-stopper dos RH. A razão para isto é muito simples: Você sabia o que estava a fazer, e era nenhuma das suas responsabilidades realizar o teste.

Se por acaso se deparasse com o problema de uma forma “As acções apareceram no explorador de janelas”, provavelmente não teria havido problema. Mas um profissional de segurança precisa de saber que rodar um scanner de rede numa rede, onde isto não foi acordado pelo administrador da rede, está definitivamente na categoria “não agradável” a “hostil”. Também pode causar custos reais, por exemplo, quando se acciona um falso alarme. Uma vez perdi algumas horas a tentar encontrar a origem de um scanner que um punk de outro departamento fez sem a nossa permissão (ou de qualquer outra pessoa na rede interna).

Dependendo das circunstâncias, também se pode imaginar que a rede não é visível até que se esteja dentro da área da empresa. Uma vez trabalhei num site suficientemente grande para que não se visse um sinal wifi do exterior (sem medidas muito especiais). Nesse caso, haveria mesmo uma quebra de confiança. (Sei que ainda não é uma boa ideia gerir um wifi aberto, sabem, os informáticos sabem, mas não sei se a administração e os RH sabem ou querem ouvir).

Imagina que eu te convidei para ires a minha casa para um bar de quintal be que e tu chegaste e, enquanto estávamos na cozinha, disseste

Passei por lá ontem enquanto estavas no trabalho. Essa vedação não deixa ninguém de fora. Reparei que o teu baloiço não está bem ancorado no chão - isso pode não ser seguro se as crianças maiores balançarem com muita força. Além disso, o espaçamento nas calhas do vosso deck é demasiado grande, hoje em dia o código especifica X polegadas e vocês têm Y.

Eu estaria ali de boca aberta a olhar para a vossa rudeza. Ninguém lhe perguntou, não verificou se estava tudo bem, apenas se intrometeu e agora está a criticar. Claro, a segurança das crianças nos baloiços e no convés de trás é muito importante. Mas também o são as regras da sociedade educada. Um convidado melhor não invadiria o quintal sem consentimento e não divulgaria um relatório de inspecção no início de uma conversa. Em vez disso, esse convidado esperaria até chegar ao quintal com um copo de limonada e depois diria

Ooooh, um baloiço. Eu sei um pouco sobre isto. Está bem ancorado? Posso verificar?

e

Sabe que hoje em dia os trilhos do convés são supostamente em Y polegadas … Parece que a sua pode ser mais velha… Posso pegar na minha fita métrica e confirmar se gosta?

Agora está a mostrar o seu profundo conhecimento de segurança no quintal e que possui ferramentas, mas não está a magoar ninguém.

Agora o objectivo desta metáfora/analogia não é corresponder perfeitamente ao acto de verificar um wifi aberto e descobrir alguns nomes de máquinas. É para lhe mostrar a resposta emocional que este comportamento pode provocar. Eles convidaram-no para uma entrevista nos seus escritórios. Você fez algo que está fora da norma de uma entrevista, sem permissão ou convite, quando eles não estavam lá para vê-lo fazer isso. E criticou as operações deles no mesmo parágrafo em que lhes disse o que tinha feito. Pelo menos um deles ficou chocado e chateado. A experiência de pensamento acima é para o levar a uma compreensão desses sentimentos de choque e perturbação.

Para deixar a metáfora/analogia para trás, como poderia ter lidado melhor com isso? Em vez de desfocar os seus resultados no início da entrevista, poderia ter esperado até discutir o aspecto da segurança e depois ter dito “muitas boas empresas não fazem ideia de que as suas redes são vulneráveis a alguns dos ataques mais recentes”. Podia fazer um scan de 5 minutos no seu wifi convidado, se quiser". Claro que poderia fazer esta oferta com confiança, porque já o fez no lobby :-). Agora você está mostrando suas habilidades e suas ferramentas, no contexto certo e com permissão. Até lhes fazes uma cara de salvamento que não significa que sejam idiotas se encontrares alguma coisa. Quando a encontrares, podes dizer-lhes que sabes como mudar as coisas para que a vulnerabilidade seja eliminada. Agora eles querem contratar-te em vez de ficarem ofendidos.

Fiz bem em dizer-lhes que o fiz?

Dar uma conferência a um entrevistador é raramente uma boa forma de conseguir um emprego.

Matei as minhas hipóteses com eles?

Não há forma de saber a resposta a isso a não ser que tenha notícias directas deles.

Devo fazê-lo novamente com outras oportunidades de emprego (se algo foi descoberto por acidente)?

Espere até que a sua avaliação seja especificamente solicitada, ou até que seja contratado.

A execução de um scan na sua rede foi muito imprudente e em alguns locais poderia ter sido acusado de um crime.

Talvez queira ler sobre o caso de Randall Schwarz , um conhecido autor técnico. Nos anos 90, foi administrador de sistemas contratuais do supergrupo de computadores da Intel. Estava preocupado com a segurança no grupo, por isso, correu um cracker de senha em algumas das contas do seu colega. Embora fosse um contratado da Intel, a segurança e os testes de penetração não estavam oficialmente nas suas funções e acabou por ser condenado por dois delitos pelas suas actividades. Muitos pensavam que as condenações eram uma injustiça e, em 2007, as condenações foram seladas. Independentemente disso, mostra-lhe o tipo de águas profundas em que pode acabar, quando decide ajudar com vulnerabilidades de segurança, sem que lhe seja realmente pedido para o fazer.

Vou contrapor aqui a maior parte das respostas. As outras respostas estão correctas, de um ponto de vista estritamente empresarial, estão erradas. No entanto, penso que fez o que fez porque está confiante nas suas capacidades e vai à procura de questões para resolver, que são grandes características a ter, mas que não se enquadram em todas as culturas empresariais.

Haverá alguns lugares que se adequarão a isto, mas uma tal linha de independência também é óptima para o espírito empresarial. Pode ser que se adeqúe bem a iniciar o seu próprio negócio.

Portanto, eu diria que são 3 opções: 1. Tente adaptar-se mais à cultura empresarial, 2. não se conforme, mas arrisque não conseguir alguns empregos, 3. siga o caminho das pequenas empresas.

Resposta curta:

Não testar|acessar|acessar|pirar nada sem uma autorização explícita.

Did I kill my chances with them?

Certamente.

Ps: Baixar o quanto quiser, mas o PO quebrou uma das primeiras regras em IT/Pentesting e esse é o único objectivo da minha resposta.

Quer consiga ou não o emprego, e quer isso ajude ou prejudique as suas hipóteses, o que fez foi pouco profissional e possivelmente ilegal. Se tivesse olhado para o website público deles ou se eles tivessem uma rede totalmente aberta (sem password), estaria em terreno mais firme.

Não tinha sido contratado na altura e estava de facto a atacar a rede deles à procura de vulnerabilidades. Como profissional, deve saber que não o deve fazer sem acordo prévio e investigação das possíveis consequências. Há uma questão algo relacionada na pilha de segurança - perguntar se uma empresa de pentestaria deve assinar um contrato prometendo não haver consequências negativas do teste e cobrir quaisquer danos sofridos. A resposta aceite diz: “Eu derrubei sistemas com um scan à porta”. É impossível saber o que o código de outra pessoa vai fazer e, por conseguinte, quais as consequências negativas de se entrar com ele. Coloca-se a sua organização em risco, sem aviso, acordo ou justificação.

Usar o seu sistema da forma como deve ser usado e ver o que acontece, é justificável, o uso não-padronizado não é. Isso inclui tentar adivinhar um nome de utilizador/senha - o uso padrão é TER um nome de utilizador e senha, não tentar encontrar um.

Todas as respostas são correctas IMHO, tanto as que encorajam o comportamento como as que o desencorajam, mas falham algo importante para mim: o facto de a entrevista ter sido com pessoas diferentes, que por acaso têm objectivos diferentes.

O chefe de TI quer alguém capaz de pensar fora da caixa, alguém capaz de tomar iniciativas, e de identificar facilmente quaisquer deficiências que possam existir. Claro que ele está interessado nesse perfil.

O chefe de RH quer proteger a empresa contra os funcionários. Esse é o trabalho. Identificar qualquer dano que um empregado possa fazer e proteger a empresa contra ele. Na maioria das vezes, é mais a nível jurídico ou de relacionamento, mas se o RH achar que existe um potencial empregado que possa ser suficientemente esperto para contornar os valores mobiliários normais, fora de uma auditoria controlada pela administração, então ele fará o que lhe é pago para fazer: proteger a empresa contra o empregado (ainda não).

Daí a diversidade de respostas. Se tivesse falado apenas com o chefe de TI, então (apesar das questões legais) o seu comportamento teria sido inteligente. É disso que ele precisa. Mas como o RH estava presente, deveria ter tido em conta o seu papel: preservar a ordem natural e a hierarquia da empresa.

Tenha em conta que a maioria das empresas estará mais do que disposta a perder alguma eficiência para ganhar mais controlo sobre os seus empregados. Se está à procura de um emprego na empresa, deve pelo menos fingir respeitar as regras perante aqueles que são pagos para as aplicar. E tente realmente respeitá-las, desde que isso não o impeça, obviamente, de fazer o seu trabalho. E a primeira regra é: não pareça incontrolável. No mundo empresarial, os gestores detêm o poder e vêem a gestão como a ciência do controlo (se é certo ou bom é outro debate que não vou abrir).

A armadilha é que teve de formatar o seu discurso para dois públicos diferentes com necessidades e expectativas opostas. Tente pensar em ambos na próxima vez.

Quando se trata de informação ou ideias que possuímos, embora para alguns possa parecer contra-intuitivo, não é óptimo dizer tudo a todos. Demorei mais tempo do que gostaria de admitir para interiorizar completamente que não podia dizer nada e guardar para mim.

HR nunca vai tomar algo assim de outra forma do que aquilo que descreve. Qualquer pessoa que não compreenda a NetSec é susceptível de o considerar a si e ao seu comentário com extrema desconfiança. Interacções tanto públicas como de palco e ecrã devem ilustrar a verdade disto, há toda uma categoria de tropas relacionadas com “especialistas bem intencionados que tentam alertar as pessoas que não compreendem o perigo potencial” que acabam por ser punidas pelos pagãos não lavados que tentaram ajudar.

Guarde isso para si.

Dito isto, poderia ter trazido à baila algo tangencialmente relacionado e direccionado a conversa para onde uma versão altamente editada dos seus comentários poderia ser vista como mais orgânica.

História verdadeira: Uma vez trabalhei num sítio onde um tipo encontrou uma vulnerabilidade no blogue da intranet da empresa. Enquanto ele estava em casa, ele postou no blog de fora da rede usando a vulnerabilidade. Depois, quando chegou no dia seguinte, enviou o seu brilhante achado e a prova de que era possível para a TI. Foi-lhe imediatamente atribuído o estatuto de herói e um enorme bónus, aumento e promoção. A brincar, ele foi imediatamente despedido.

Pode ignorar cada palavra desta resposta se quiser recordar esta frase de cinco palavras: *“Ter razão raramente muda nada.” *

Vou tentar acrescentar outra perspectiva.

Tinha razão em dizer-lhes que fiz isso?

Há países em que ** aderir e digitalizar a rede é ilegal para começar com**. Imagine que encontrou uma porta LAN no local e usou um cabo ethernet para se ligar à sua rede.

É possível que o HR saiba disto, uma vez que está mais consciente das leis envolvidas.

É da responsabilidade do HR gerir estas responsabilidades legais para a empresa. É possível que seja por isso que pareçam menos entusiasmados com isso.

Da perspectiva de alguém que gere a segurança da informação: o que fez não foi inteligente.

Foi para mostrar que é um especialista em segurança? Nesse caso, se apenas mostrar que consegue

• ligar a um WiFi aberto - que algumas das suas máquinas estavam nessa rede

Se marcar isto como uma questão de segurança, então, desculpe, não sabe muito sobre segurança. Este gestor de TI também não sabe muito. Isto vai provavelmente explodir um dia.

Então essa mudança não foi boa.

Talvez tenha sido para mostrar proactividade? Bem, nesse caso você não deve realmente trabalhar em segurança porque vai prejudicar a sua empresa ao fazer tais coisas. Existem regras de contratação na segurança e espera-se que um funcionário as siga. Não se é um hacker, não se é um caçador de prémios. Não deve fazer estas coisas.

Seja como for, foi uma jogada estúpida se quisesse ser contratado.

Portanto, vejamos. Do meu ponto de vista, você:

1. Descobriu uma rede aberta; (OK)
2. Ligados a ela; (OK)
3. Descobri que precisava de um userid/password; (OK)
4. Dispositivos interrogados à sua volta numa aparente tentativa de hacking; (NÃO OK)
5. Bragged about it (STUPID!)

Agora, vamos cobrir as suas questões individualmente:

1. Eu tinha razão em dizer-lhes que o fiz? Não se tivesse qualquer desejo de trabalhar para essa empresa. Note também que a maioria das empresas para as quais trabalhei afixam um aviso quando se liga ou faz o login que diz algo como “Não é permitido o acesso não autorizado”. Entraremos em contacto com as autoridades e processá-lo-emos se o tentar". Note também que a ignorância não é uma desculpa.

2. Será que matei as minhas hipóteses com eles? Se eu fosse o gerente de contratação não lhe tocaria com um poste de 10 pés. Você é um hacker admitido, orgulhoso disso e um incidente de segurança à espera de acontecer.

3. Devo fazê-lo novamente com outras oportunidades de emprego (se algo for descoberto por acidente)? Isso depende. Quer arranjar um emprego, ou quer exibir-se? Se o primeiro, não volte a fazer isto. Se o segundo - bem, é a sua vida, amigo…

4. Como posso ganhar vantagem na entrevista com este tipo de informação? Não pode. Tudo o que pode fazer é pôr as pessoas nervosas, e as pessoas que estão nervosas com o que fez, pode fazer, ou pode não o contratar. Veja as notícias - de poucas em poucas semanas outra empresa é pirateada, cartões de crédito e outras informações pessoais são roubadas, e eles parecem idiotas, e os seus clientes podem dar meia volta e processá-los. Como alguém que trabalha no departamento de TI de um grande retalhista, posso dizer-vos que esta é uma das coisas que preocupa pessoas como eu. Se acharmos que você poderá ser um problema, não será contratado. Fim da história.

Boa sorte.

Quanto às suas hipóteses, depende fortemente dos poderes do gestor de TI e do gestor de RH. Depende também da forma como o apresentou. Se foi “Vi vários computadores com XYZ - quaisquer que sejam os nomes ligados a uma rede não segura” foi mais um insulto àquele que permitiu que os proprietários se ligassem à rede. Se foi “Eu vi o seu computador, Sr. Averagejoe, ligado à rede não segura” foi um insulto directo ao Sr. Averagejoe.

Se está prestes a ser um tipo de segurança, uma paranóia não é obrigatória, mas ajuda. A sua verificação de quem está lá consigo (na rede aberta) mostra claramente a sua atitude em relação à sua possível posição. É por isso que o gestor de TI ficou impressionado.

Por outro lado, a sua apresentação das suas conclusões foi bastante indelicada. É por isso que o gestor de RH o apoia e o contraria.

Talvez tenha deitado óleo numa luta aberta entre os tipos de TI empurrando as questões de segurança para parar e os outros com a atitude “De que raio é que os esquisitos estão a falar? Algo como a conversa do Moss sobre não desactivar a firewall no IT Crowd S2E1.

Da próxima vez, faça esta verificação de preferência quando lhe for perguntado na entrevista. Se não conseguir resistir, segure as conclusões até ao momento, onde os infractores estão fora do alcance vocal e está a discutir apenas o pessoal de TI.

Isto irá prejudicar as suas hipóteses porquanto demonstrou não compreender o conceito de _área de responsabilidade. _ Você:

• não explicou como foi autorizado a fazer isso (independentemente do que as leis possam dizer: precisa de convencer eles, não o juiz) e o impacto das suas acções em termos não técnicos

• começou a dizer-lhes (em vez de simplesmente sugerir) como devem fazer as coisas sem ser a pessoa responsável por essas coisas ou um consultor contratado

• Em ambientes estabelecidos, cada área e tarefa tem uma pessoa responsável por ela (praticamente sempre, uma única pessoa; as decisões de grupo só se justificam normalmente para assuntos complexos e estratégicos e não para tarefas quotidianas). Essa pessoa é a única que pode tomar decisões nessa área.

• Se não é essa pessoa e vê um problema, o seu trabalho é reportar o problema a ela e disponibilizá-lo a ela se for necessário fazer algo a esse respeito.

• Isso porque mesmo que saiba que isto é um problema, não tem o quadro completo para ser capaz de pesar todos os prós e contras e não terá a responsabilidade pelas suas acções. Como outros já disseram, a segurança é um exercício de gestão de risco: algo só vale a pena fazer se for menos dispendioso do que não o fazer.

• (Comentários antecipados de pretensos rebeldes:) Passar por cima das suas cabeças é possível e, por vezes, pode ser o caminho a seguir para fazer alguma coisa, mas é um assunto sério e arriscado, uma vez que é preciso convencer os superiores a incorrer nos custos bastante elevados de questionar a competência de um subordinado importante (fazer uma avaliação independente das suas competências e do seu trabalho é tempo, dinheiro e descontentamento duradouro dessa pessoa, independentemente do método e do resultado).

• O que lhes disse sobre o scanner soou basicamente a uma pessoa que não tem conhecimentos técnicos: “Eu violei a sua rede e potencialmente perturbei o seu negócio - tudo só porque me apeteceu”.
• Foi isto que provocou uma reacção defensiva. “Não, o nosso negócio está certamente suficientemente bem protegido se ainda estivermos no negócio, e certamente que não o conseguirias violar tão facilmente! O que afirma não pode ser verdade e é pura calúnia (‘porque isto prejudicaria a nossa reputação se outros acreditassem nisso (independentemente de ser verdade), por isso não estamos, definitivamente, a aceitar isso)”
• E uma pessoa com tal mentalidade não é certamente alguém que queira ver num raio de 1,5 km da sua infra-estrutura crítica.
• Agora, claro que não foi isso que fez. Mas não conseguiu transmitir isso de uma forma que eles possam compreender.
• Devia ter dito algo do género: “Quando estava à espera no lobby, reparei numa rede wifi aberta com o nome da sua empresa. Como o meu trabalho vai incluir segurança da informação, aproveitei a oportunidade para ter uma ideia das vossas práticas actuais. Reparei nisto e nisto, o que é potencialmente uma vulnerabilidade, embora dependa”.1 Se ainda parecem aterrorizados, acrescentem algo do género: “Posso dizer com confiança (e os vossos colegas confirmariam) que isto não poderia absolutamente perturbar nada com uma estabilidade de, tipo, uma instalação de Windows em stock”
• Isto mostraria que estavam autorizados a fazer isso porque os bons candidatos são supostos e espera-se que sejam pró-activos na investigação da empresa; pesaram os riscos e tomaram uma decisão informada; e estão apenas a sugerir que isto pode ser um problema, em vez de afirmarem abertamente que, uma vez que não são os responsáveis e, portanto, não têm toda a informação para serem capazes de fazer afirmações tão categóricas.

1 sobre o alcance da rede, quanto tempo e com que frequência as máquinas permanecem nela, que tipo de informação e/ou funcionalidade contêm e quão bem estão seguras.