Ein Stunt wie dieser wäre – in den meisten Umgebungen – ein Hingucker für die Personalabteilung. Der Grund dafür ist ganz einfach: Sie wussten, was Sie taten, und es lag nicht in Ihrer Verantwortung, den Test durchzuführen.

Wenn Sie zufällig auf das Problem in der Art "Die Freigaben wurden im Windows-Explorer angezeigt" gestoßen wären, wäre es wahrscheinlich in Ordnung gewesen. Aber ein Sicherheitsexperte muss wissen, dass das Betreiben eines Netzwerkscanners in einem Netzwerk, dem der Administrator des Netzwerks nicht zugestimmt hat, definitiv unter die Kategorie „nicht nett“ bis „feindlich“ fällt. Es kann auch echte Kosten verursachen, zB wenn Sie einen Fehlalarm auslösen. Ich habe einmal ein paar Stunden damit verschwendet, die Quelle eines Scans zu finden, den ein Punk aus einer anderen Abteilung ohne unsere Erlaubnis (oder irgendjemand anderen im internen Netzwerk) durchgeführt hat.

Unter Umständen könnte man sich auch vorstellen, dass das Netzwerk erst im Firmenbereich sichtbar ist. Ich habe einmal an einer Site gearbeitet, die groß genug ist, dass Sie von außen kein WLAN-Signal sehen würden (ohne ganz besondere Maßnahmen). In diesem Fall läge sogar ein Vertrauensbruch vor. (Ich weiß, dass es immer noch keine gute Idee ist, ein offenes WLAN zu betreiben, wissen Sie, IT-Leute wissen, aber ich weiß nicht, ob das Management und die Personalabteilung es wissen oder hören wollen).

Stellen Sie sich vor, ich hätte Sie zu mir nach Hause zu einer Bar im Hinterhof eingeladen, und Sie kamen an und sagten, während wir in der Küche waren

Ich bin gestern vorbeigekommen, als Sie bei der Arbeit waren. Dieser Zaun hält niemanden fern. Mir ist aufgefallen, dass Ihre Schaukel nicht richtig im Boden verankert ist – das könnte gefährlich sein, wenn größere Kinder sehr stark schaukeln. Außerdem ist der Abstand auf Ihren Deckschienen zu groß, heutzutage gibt der Code X Zoll an und Sie haben Y.

Ich würde mit offenem Mund dastehen und deine Unhöflichkeit anstarren. Niemand hat dich gefragt, du hast nicht nachgesehen, ob es in Ordnung ist, du hast dich nur eingemischt und jetzt kritisierst du. Sicher, die Sicherheit von Kindern auf Schaukeln und auf dem Achterdeck ist wirklich wichtig. Aber so sind die Regeln der feinen Gesellschaft. Ein besserer Gast würde nicht ohne Zustimmung in den Hinterhof eindringen und nicht früh in einem Gespräch mit einem Inspektionsbericht herausplatzen. Stattdessen würde dieser Gast warten, bis er mit einem Glas Limonade den Hinterhof erreicht, und dann sagen

Ooooh, eine Schaukel. Ich weiß ein wenig über diese. Ist es richtig verankert? Darf ich nachsehen?

und

Sie wissen, dass Deckschienen heutzutage Y Zoll sein sollen ... Es sieht so aus, als ob Ihre älter sein könnten ... Ich kann mein Maßband nehmen und bestätigen, wenn Sie möchten?

Jetzt zeigen Sie Ihr tiefes Wissen über die Sicherheit im Garten und dass Sie Werkzeuge besitzen, aber Sie verletzen niemanden.

Nun, der Sinn dieser Metapher/Analogie besteht nicht darin, perfekt mit dem Vorgang des Auscheckens eines offenen WLANs und dem Entdecken einiger Maschinennamen zu korrespondieren. Es soll Ihnen zeigen, welche emotionale Reaktion dieses Verhalten hervorrufen kann. Sie haben Sie zu einem Vorstellungsgespräch in ihre Büros eingeladen. Sie haben etwas getan, das außerhalb der Norm eines Interviews liegt, ohne Erlaubnis oder Einladung, wenn sie nicht da waren, um zu sehen, wie Sie es tun. Und Sie kritisierten ihre Operationen in demselben Absatz, in dem Sie ihnen erzählten, was Sie getan hatten. Mindestens einer von ihnen war schockiert und verärgert. Das obige Gedankenexperiment soll Sie dazu bringen, diese Gefühle von Schock und Aufregung zu verstehen.

Um die Metapher/Analogie hinter sich zu lassen, wie hätten Sie das besser handhaben können? Anstatt Ihre Ergebnisse früh im Interview herauszuplatzen, hätten Sie warten können, bis der Sicherheitsaspekt besprochen wurde, und dann sagen können: „Viele gute Unternehmen haben keine Ahnung, dass ihre Netzwerke für einige der neueren Angriffe anfällig sind.“ Ich könnte eine 5-Minuten-Runde machen Scannen Sie Ihr Gäste-WLAN, wenn Sie möchten." Dieses Angebot könnten Sie natürlich getrost machen, denn Sie haben es bereits in der Lobby gemacht :-). Jetzt zeigen Sie Ihre Fähigkeiten und Ihre Werkzeuge im richtigen Kontext und mit Erlaubnis. Sie haben ihnen sogar einen Gesichtsschutz gegeben, dass es nicht bedeutet, dass sie Idioten sind, wenn Sie etwas finden. Wenn Sie es finden, können Sie ihnen sagen, dass Sie wissen, wie man Dinge ändert, damit die Schwachstelle geschlossen wird. Jetzt wollen sie dich einstellen, anstatt beleidigt zu sein.

Ich sagte ihnen, dass dies ein ernstes Problem sei und sie nicht warten sollten, bis ich oder jemand anderes eingestellt werde.

Hatte ich Recht, ihnen zu sagen, dass ich das getan hatte?

Einen Interviewer zu belehren ist selten ein guter Weg, um einen Job zu bekommen.

Habe ich meine Chancen mit ihnen getötet?

Es gibt keine Möglichkeit, die Antwort darauf zu erfahren, es sei denn, Sie hören direkt von ihnen.

Soll ich es bei anderen Stellenangeboten wiederholen (wenn etwas zufällig entdeckt wurde)?

Warten Sie, bis Ihre Beurteilung ausdrücklich angefordert wird oder bis Sie eingestellt werden.

Das Ausführen eines Scans in ihrem Netzwerk war sehr unklug und hätte an einigen Orten dazu führen können, dass Sie einer Straftat angeklagt wurden.

Vielleicht möchten Sie sich über den Fall von Randall Schwarz , einem bekannten Tech-Autor, informieren. In den 1990er Jahren war er Vertragssystemadministrator für die Supercomputer-Gruppe bei Intel. Er machte sich Sorgen um die Sicherheit in der Gruppe, also ließ er einen Passwort-Cracker auf einigen Konten seiner Kollegen laufen. Obwohl er ein Auftragnehmer von Intel war, gehörten Sicherheits- und Penetrationstests offiziell nicht zu seinen Aufgaben, und er wurde schließlich für seine Aktivitäten wegen zweier Verbrechen verurteilt. Viele hielten die Verurteilungen für ungerecht, und 2007 wurden die Verurteilungen besiegelt. Unabhängig davon zeigt es Ihnen, in welch tiefem Wasser Sie landen können, wenn Sie sich entscheiden, bei Sicherheitslücken auszuhelfen, ohne dass Sie dazu aufgefordert werden.

Ich werde den meisten Antworten hier einen Gegenstandpunkt einnehmen. Die anderen Antworten sind richtig, aus rein unternehmerischer Sicht liegen Sie falsch. Ich denke jedoch, dass Sie das getan haben, weil Sie von Ihren Fähigkeiten überzeugt sind und nach Problemen suchen, die Sie beheben können, was großartige Eigenschaften sind, aber nicht in jede Unternehmenskultur passen.

Es wird einige Orte geben, die damit gut zurechtkommen, aber eine solche Unabhängigkeitssträhne ist auch großartig für das Unternehmertum. Vielleicht sind Sie gut geeignet, um Ihr eigenes Unternehmen zu gründen.

Also, ich würde sagen, Sie haben 3 Möglichkeiten: 1. Versuchen Sie, sich mehr an die Unternehmenskultur anzupassen, 2. Passen Sie sich nicht an, aber riskieren Sie, einige Jobs nicht zu bekommen, 3. Gehen Sie den Weg des Kleinunternehmens.

Kurze Antwort:

Testen|greifen|hacken Sie nichts ohne ausdrückliche Genehmigung .

Habe ich meine Chancen mit ihnen getötet?

Ganz bestimmt.

Ps: Stimmen Sie ab, so viel Sie wollen, aber das OP hat gegen eine der ersten Regeln in IT/Pentesting verstoßen, und das ist das einzige Ziel meiner Antwort.

Während ich in der Lobby wartete, fand ich ein offenes WLAN-Netzwerk namens XYZ. Ich stellte eine Verbindung her und wurde mit einer Webseite begrüßt, auf der nach einem Benutzernamen und einem Passwort gefragt wurde. Ich habe mit Fing (einer App auf Android) einen Scan der angeschlossenen Geräte durchgeführt und festgestellt, dass es einige Laptops mit den Namen XYZ-HR-1 und XYZ-FN-1 gibt.

Ich denke, was du getan hast, war in Ordnung. Es war ein offenes Netzwerk, und Sie haben darauf zugegriffen und sich umgesehen. Solange das, was Sie getan haben, im Rahmen dessen lag, wofür das Netzwerk bestimmt war. Das Scannen nach Geräten war an manchen Orten möglicherweise illegal.

Als Bewerber, der sich auf ein Vorstellungsgespräch vorbereitet. Es liegt an Ihnen, das Unternehmen, die Kultur und den Hintergrund zu recherchieren. Sammeln Sie Wissen, das Sie im Vorstellungsgespräch verwenden können, um zu erklären, warum sie Sie einstellen sollten.

Du hast Wissen gesammelt, aber du hast es nicht weise eingesetzt.

Hatte ich Recht, ihnen zu sagen, dass ich das getan hatte?

In solchen Fällen. Verwenden Sie das, was Sie gelernt haben, um überzeugende Fragen zu stellen und überzeugende Antworten zu geben, aber zeigen Sie nicht mit dem Finger auf andere, machen Sie keine Anschuldigungen oder bemängeln Sie irgendetwas , das mit dem Unternehmen oder den Menschen zu tun hat.

• Sie können über die Risiken eines offenen Netzwerks sprechen, ohne ihr Netzwerk zu erwähnen.
• Sie können über die Risiken sprechen, die mit Geräten in diesem Netzwerk verbunden sind.
• Sie können teilen, wie Sie das Problem beheben würden.
• Sie können Ihre Vorstellung von einem besseren Netzwerk teilen.

Sie nutzen das, was Sie wissen, weil es Sie für ihre aktuellen Herausforderungen relevant macht, aber Sie tun es auf eine nette, freundliche und professionelle Art und Weise.

Fragen Sie sich jetzt, ob Sie den Job immer noch wollen, basierend auf dem, was Sie herausgefunden haben. Stellen Sie Fragen, die die Natur der Unternehmenskultur offenbaren.

• Fragen Sie, wie gehen Sie mit der Entdeckung einer Sicherheitslücke um?
• Fragen Sie, welche Freiheiten habe ich, um Änderungen umzusetzen?
• Fragen Sie, wer Ihr aktuelles IT-System implementiert hat. Werde ich dieser Person Bericht erstatten?
• Fragen Sie, wie messen Sie den Erfolg meiner IT-Bemühungen?

Sie haben festgestellt, dass es bereits Probleme im Unternehmen gibt. Graben Sie tiefer, um zu sehen, ob es immer noch das Richtige für Sie ist.

Unabhängig davon, ob Sie den Job bekommen oder nicht, und ob dies Ihre Chancen verbessert oder beeinträchtigt hat, war das, was Sie getan haben, unprofessionell und möglicherweise illegal. Wenn Sie sich ihre öffentliche Website angesehen hätten oder sie ein völlig offenes Netzwerk (kein Passwort) gehabt hätten, wären Sie auf festerem Boden gestanden.

Sie waren zu diesem Zeitpunkt noch nicht eingestellt worden und griffen tatsächlich ihr Netzwerk an, um nach Schwachstellen zu suchen. Als Fachmann sollten Sie wissen, dass Sie dies nicht ohne vorherige Absprache und Untersuchung möglicher Konsequenzen tun sollten.

Es gibt eine etwas verwandte Frage zum Sicherheitsstapel – die Frage, ob ein Pentest-Unternehmen einen Vertrag unterzeichnen sollte, in dem es verspricht, keine negativen Folgen des Tests zu haben und alle entstandenen Schäden zu decken. Die akzeptierte Antwort lautet "Ich habe Systeme mit einem Port-Scan umgeworfen". Es ist unmöglich zu wissen, was der Code eines anderen tun wird und welche negativen Folgen es haben könnte, sich darauf einzulassen. Sie gefährden ihre Organisation ohne Vorwarnung, Zustimmung oder Rechtfertigung.

Es ist vertretbar, ihr System so zu verwenden, wie es verwendet werden soll, und zu sehen, was passiert, eine nicht standardmäßige Verwendung ist es nicht. Dazu gehört auch der Versuch, einen Benutzernamen/ein Passwort zu erraten – die Standardnutzung besteht darin, einen Benutzernamen und ein Passwort zu HABEN, nicht zu versuchen, einen zu finden.

Es gibt einige wirklich gute Antworten darauf, warum dies aus Sicht von Infosec falsch war, und etwas allgemeinere Antworten auf die Ethik des Ausführens eines Scans ohne Autorisierung, aber ich werde versuchen, den "richtigen Weg" zu finden Gehen Sie Situationen wie diese so an, wie ich es in einem Vorstellungsgespräch in Betracht gezogen hätte, wenn ich mich in einer ähnlichen Situation befunden hätte.

Hatte ich Recht, ihnen zu sagen, dass ich das getan hatte? Habe ich meine Chancen mit ihnen getötet? Soll ich es bei anderen Stellenangeboten wiederholen (wenn etwas zufällig entdeckt wurde)? Wie kann ich mir mit solchen Informationen einen Vorteil im Vorstellungsgespräch verschaffen?

Hier passieren einige Dinge, insbesondere wenn es darum geht, einen Vorteil zu erlangen.

Haben Sie zum einen einen ethischen Imperativ, Sicherheitsfragen zu diskutieren, die Ihnen aufgefallen sind (und ich denke, die Ethik wurde bereits von anderen allgemein angesprochen).

Zweitens: Treten Sie auf Zehenspitzen, wenn Sie auf etwas Falsches hinweisen.

Drittens schleichen Sie möglicherweise Menschen aus.

Wird dies schließlich aufgrund der damit verbundenen Interaktion einen negativen Eindruck von Ihnen als Kandidat erwecken, auch wenn Sie Recht haben?

Veränderung sollte immer von einem Ort des Wissens ausgehen, und in einem Vorstellungsgespräch weiß man nicht alles über die Rahmenbedingungen

Als Beispiel habe ich in Interviews zur Softwareentwicklung argumentiert, dass wir die Sprache xyz verwenden sollten.

Aus technischer Sicht gibt es natürlich Raum für Verbesserungen, und eine dieser Verbesserungen könnte eine Änderung der Sprache sein. Ich könnte argumentieren, welchen Wert es hat, den ganzen Tag auf bestimmte Sprachen umzusteigen. Aber als Stellenbewerber zu argumentieren, lässt den Kandidaten sehr naiv erscheinen, was die damit verbundenen Bedenken betrifft, die zu der von uns verwendeten Sprache geführt haben könnten, ganz zu schweigen von den technischen Hürden, jetzt zu einer anderen Sprache zu wechseln, und es wirkt auch so anmaßend und möglicherweise ein Hinweis auf oberflächliches Denken .

Sie wissen nicht, warum das WLAN so eingerichtet wurde, also gehen Sie nicht davon aus, dass es ohne Absicht ist.

Fragen ist in Ordnung. Ich schätze Fragen in Vorstellungsgesprächen sehr. Dinge zu bemerken ist großartig . Sie könnten das verwenden , wenn eine verwandte Eröffnung erscheint:

"Mir ist aufgefallen, dass Sie eine offene WLAN-SSID haben, also dachte ich, es sei vielleicht als Gastnetzwerk gedacht und ich könnte E-Mails darauf abrufen und mich kurz verbinden. Sobald ich dies tat, sah ich die Passwortseite und erkannte, dass es als ein gemeint sein musste internes Netzwerk, also habe ich die Verbindung getrennt, konnte aber nicht umhin zu bemerken, dass es nicht sicher zu sein schien. Als jemand, der sich sehr um Informationssicherheit kümmert, war ich neugierig, ob Sie wissen, warum es so eingerichtet ist?"

Uneingeladen tiefer zu graben ist sehr viel nicht großartig. Ich denke, das wurde in anderen Antworten ausreichend behandelt, aber um Kate Gregorys Antwort zu wiederholen , wird es bestenfalls als "gruselig" rüberkommen. Die Leute können über ihre Analogie so viel argumentieren, wie sie wollen (technische Aspekte beiseite, ich denke, es hat den Kern davon eingefangen), aber es ist nah genug daran, wie sich die meisten Laien fühlen werden, besonders wenn Sie anfangen, Maschinen abzuklappern, die Sie gesehen haben. Diese erste psychologische Abneigungsreaktion wird Sie versinken lassen, egal wie „richtig“ Sie sind.

Höchstens, wenn eine entsprechende Öffnung auf natürliche Weise auftritt (dh nur wenn das Gespräch tatsächlich fortgesetzt wird, wenn Sie den ersten Teil aufrufen), können Sie fragen, ob sie erwogen haben, einige Scans durchzuführen, um zu überprüfen, ob jemand über dieses WIFI gefährdet ist, und welche bevorzugte Schwachstellentest-Tools sind. Das gibt ein klares Fenster (und die Möglichkeit für sie, entsprechende Fragen zu Ihren eigenen Vorlieben zu stellen) zu Ihren verwandten Fähigkeiten … aber drängen Sie es nicht. Sie sind nicht der IT-Leiter, Sie sind hier für ein Vorstellungsgespräch, und obwohl Sie möglicherweise nicht einverstanden sind mit dem, was sie tun, ist es auch nicht Ihre Stelle, für etwas anderes zu argumentieren, es sei denn, Sie werden eingeladen , weil Sie sich genauso gut zum Narren halten könnten sich in ihrem spezifischen Kontext.

Wenn Sie gefragt werden „Oh, das ist interessant, was würden Sie tun“, wäre dies Ihre Eröffnung, um die Scans zu diskutieren, die Sie durchführen könnten, um die Schwachstellen aufzuzeigen, und wie Sie dann einen Vorschlag für eine Änderung des WLAN vorlegen würden, vorausgesetzt, es gäbe keine Externalitäten, die Ihnen als jemand außerhalb des Unternehmens nicht bewusst waren, bezogen auf die bestimmte Installation, die eine Einrichtung wie folgt erforderlich machte: und wenn ja, wie Sie sie über VLANs, interne Firewalls usw. abmildern könnten, aber es wäre wirklich erforderlich Näheres wissen . Es ist ermutigend, offen zu sein, was Sie in Bezug auf den Kontext nicht wissen: Mit Details darüber, was Sie über die Umgebung lernen müssten, kann dies helfen, den Grad Ihrer damit verbundenen Fähigkeiten und Kenntnisse und Ihre anspruchsvolle Flexibilität zu zeigen, um unterschiedliche Situationen zu berücksichtigen .

Beleidigen Sie Menschen nicht (auch nicht versehentlich oder unabsichtlich).

Dies geht mit dem Vorhergehenden einher, aber ich möchte mich wirklich für einen Moment darauf konzentrieren: Gehen Sie von einer Vermutung der Intelligenz bei anderen aus. Es ist schmeichelhaft. Das Gegenteil ist beleidigend. Wenn etwas von außen nicht „smart“ erscheint, gehen Sie davon aus , dass es andere Gründe gibt, die auf Intelligenz und Geschick der Beteiligten beruhen. Selbst wenn Sie sich nicht schrecklich den Fuß in den Mund stecken, weil Sie etwas als Möglichkeit übersehen haben, wird es letztendlich keine Rolle spielen, Recht zu haben, nachdem Sie gerade damit fertig sind, jemanden zu ruinieren, den Sie einstellen möchten.

Das Ziel nicht aus den Augen verlieren

Wenn Sie Veränderungen sehen möchten, setzen Sie sich für sich selbst und Ihre allgemeinen Ansichten, Ansichten und Fähigkeiten ein (und wie sie mit Ihren Gesprächspartnern/dem Unternehmen übereinstimmen, was erfordert, dass sie darüber sprechen: also fragen Sie!), nicht für die spezifische Änderung, die Sie implementieren möchten, wenn es sich nur um ein einzelnes Detail handelt.

Wenn Sie eine wahrscheinliche Sicherheitslücke sehen, ist das großartig. Aber Sie können sich nicht so sehr auf dieses spezielle Thema konzentrieren, dass Sie das Vorstellungsgespräch so entgleisen lassen, dass Sie als Gesamtkandidat schwächer aussehen. Das wird das Problem nicht lösen. Angestellt werden könnte. Konzentrieren Sie also Ihre damit verbundene Fürsorge und Intensität wieder darauf, sich für sich selbst einzusetzen, anstatt ein relativ weniger bedeutungsvolles Hin und Her auf ein einzelnes Sicherheitsdetail. Sobald Sie eingestellt sind, haben Sie genügend Zeit, sich für dieses spezielle Thema einzusetzen.

Spüren Sie die Leute auf (und schaffen Sie hoffentlich natürliche Öffnungen)

Sie kennen nicht nur den technischen Kontext und die umgebenden Einschränkungen nicht, die zu einer Situation wie diesem offenen WIFI-Netzwerk führen, sondern Sie kennen vor allem die Personen , mit denen Sie sprechen, ihre Persönlichkeiten und ihre Beteiligung und Meinungen dazu nicht ähnliche Probleme.

Es ist eine Sache, sein Fachwissen anzubieten und Beispiele zu geben, es ist eine andere Sache, Druck auszuüben. Vertrauen in sich selbst und seine Fähigkeiten ist gut (es ist großartig), aber nach meiner eigenen Erfahrung sucht ein Interviewer selten nach Aufdringlichkeit .

Denken Sie also daran, dass diese Leute Fremde sind, die Sie in kurzer Zeit auf sehr enge, sehr eingeschränkte Weise kennengelernt haben. Drängen Sie sich ihnen nicht auf: Finden Sie stattdessen heraus, was sie denken.

Anstatt ihnen Ihre Meinung zu einem bestimmten technischen Thema abzuspielen (was für jemanden mit weniger technischen Kenntnissen leicht negativ aussehen kann und Sie leicht mit jemandem mit mehr technischen Kenntnissen in Landminen treiben kann), fragen Sie sie, was sie derzeit in Bezug auf dieses Thema tun Thema und fragen Sie ggf. nach der Meinung des Einzelnen. Es zeigt die Raffinesse des Wissens, zu wissen, wonach man fragen muss, ohne seine Meinungen und Gedanken darauf zu drängen, und gibt Ihnen etwas Raum, um sie auszudrücken.

Letztendlich bietet dies die besten Möglichkeiten, da Sie beispielsweise Dinge erwähnen können, in denen WLAN in Umgebungen mit gemischter Nutzung schwierig ist (vorausgesetzt, das Thema kommt zur Sprache) und dann fragen, was sie als Unternehmen tun und was die persönlichen Vorlieben des Interviewers sind das. Dies bietet vielleicht mögliche Öffnungen für die frühere hypothetische Aussage, die ich angeboten habe, aber es warnt Sie auch davor, ob es vielleicht am besten wäre, überhaupt nichts zu sagen.

Mehr noch als nur die Eröffnungen hilft dies auch dabei, Dynamiken zwischen verschiedenen Interviewern aufzudecken. Wenn Sie von mehreren Personen interviewt werden, stehen Sie im Mittelpunkt und es ist schwer einzuschätzen, ob alles gut läuft. Das Stellen von Fragen und dann das Stellen von Meinungen gibt Ihnen die Möglichkeit, (auf diskrete Weise, da Ihr Fokus auf demjenigen liegen sollte, der spricht, während er spricht ) zu beobachten, was vor sich geht. Sie haben die Möglichkeit, den Fokus zwischen verschiedenen Personen zu wechseln (oder sogar zu lenken) oder sich zumindest umzusehen, um den Konsens usw. über die Ihnen gegebenen Antworten abzuschätzen. Dies hängt nach und nach davon ab, wie "gleisig" das Interviewformat ist.

Lassen Sie Raum für Gespräche, um zu atmen

Ja, Sie sind hier, um sich für Sie einzusetzen, aber einfach nur zu schreien, wie gut Sie sind, ist nicht notwendigerweise effektiv . Ihr Lebenslauf sollte fachlich und erfahrungsmäßig bereits für sich sprechen, eigentlich sind Sie hier, um als Ansprechpartner, als Mitarbeiter und Kollege für sich selbst zu sprechen.

Und hier ist der Schlüssel dazu: Wie sie schriftlich sagen, "zeigen, nicht nur erzählen".

Wenn sie nach deiner Meinung oder Haltung zu etwas fragen, gib sie auf jeden Fall. Aber wenn es nicht gefragt wird, BITTE sie stattdessen als deine Eröffnung. Lassen Sie das natürlich dazu führen, dass sie nach Ihrer eigenen Meinung fragen (oder nicht). Sie werden genauso viel Wissen zeigen, wenn Sie nach Themen fragen, wie Sie versuchen würden, sich selbst zu überreden, aber was noch wichtiger ist, es kommt weniger anmaßend rüber und gibt Ihnen Raum, eher wie jemand auszusehen, mit dem Sie bei verwandten Themen gut zusammenarbeiten könnten als jemand, der einfach versucht, alle anderen zu übertrumpfen, während er denkt, er wüsste bereits alles, was er wissen muss.

In die meisten persönlichen Vorstellungsgespräche wird technisches Zeug geworfen, aber im Idealfall dient es nur dazu, zu überprüfen, ob Sie Ihrem Lebenslauf gerecht werden oder nicht, und das ultimative Ziel eines Vorstellungsgesprächs in dieser Phase ist es, herauszufinden, ob Sie jemand wären mit denen sie arbeiten wollen. Wir haben ansonsten technisch kompetente Personen übersprungen, weil sie sich während ihres Interviews verhalten haben und wie sie die damit verbundene Interaktion angegangen sind (oder auch nicht getan haben). Denn in einem Job geht es um mehr als Papierwissen und fachliche Grundkompetenz. Jeder kann einen Pen-Scanner betreiben. Nicht jeder kann erkennen, wann der richtige Zeitpunkt dafür ist und wie man effektiv vorgehtVerwenden Sie die Ergebnisse, wenn dies der Fall ist, und treten Sie dabei nicht allen so schrecklich auf die Füße, dass sich niemand mehr darum kümmert und alle nur wollen, dass das Projekt abgebrochen und etwas anderes bearbeitet wird.

In einigen Umgebungen ist die Fähigkeit, durch Projektvertretung und damit verbundene interne politische Lebenszyklen effektiv zu verhandeln, ebenso entscheidend wie das entsprechende technische Wissen. Zeigen Sie also Ihre Kompetenz im Umgang mit Ihren Gesprächspartnern, machen Sie sich zu jemandem, mit dem es sich leicht arbeiten und kommunizieren lässt, der auf die beste Art und Weise selbstbewusst ist und über den man nicht ständig schwatzen muss sich. Und jemand, der genau weiß, wann man etwas pushen muss, wann nicht und wie viel.

Das Schwierigste, was wiederzugewinnen ist, ist Vertrauen

Sie befinden sich in einer Bewerbungssituation: Ihnen wurde ein Grundvertrauen entgegengebracht, zum Vorstellungsgespräch eingeladen zu werden, aber Sie sind noch eine relativ unbekannte Größe, also sehr provisorisch. Alles, was das Ihnen bereits entgegengebrachte Vertrauen in Frage stellt, ist absolut vergiftend für Ihre Chancen als Kandidat. Sie sollten immer davon ausgehen, dass es andere Kandidaten gibt (in meinem Fall beispielsweise führen wir Dinge wie Fehler durch und überarbeiten Suchen, die nicht genügend Interviewkandidaten ergeben, um einen angemessenen Vergleichspool zu bilden). Sie sollten immer davon ausgehen, dass sie fachlich gleich qualifiziert sind.

Beteiligen Sie sich während eines Interviews nicht an Handlungen, die dazu führen könnten, dass jemand, der anwesend ist, Ihre Vertrauenswürdigkeit in Frage stellt. Aktionen, die normalerweise mit einem höheren Maß an Vertrauen verbunden sind, als Sie haben, wurden eindeutig – ich würde sogar ausdrücklich sagen – gewährt (Sie bitten niemanden, dem Sie nicht vertrauen, einen Sicherheitsscan durchzuführen, und standardmäßig beginnen Sie damit, jemandem zu misstrauen die willkürlich ohne Ihre ausdrückliche Einladung und Erlaubnis einen Penetrationsscan gegen Sie durchführen) fallen darunter. Es ist nicht so, dass Ihnen misstraut wird, es ist so, dass Ihnen noch nicht das Maß an Vertrauen entgegengebracht wurde, das mit Handlungen dieser Art verbunden ist. Sie müssen verdienenDas, und vorhergehende Maßnahmen, die mit einem höheren Maß an Vertrauen verbunden sind, wird oft sofort als Grenzüberschreitung angesehen, die auch Ihre Entscheidungsfähigkeit in Frage stellt, und in einer Situation des ersten Eindrucks können Sie sich das nicht leisten.

Selbst wenn Sie das Grundvertrauen, mit dem Sie das Vorstellungsgespräch führen, wiedererlangen können, kann es Sie im Vergleich zu anderen Kandidaten schnell in Gefahr bringen, wenn Sie es jemals in Frage stellen. Es wird selten direkt darüber gesprochen, weil wir Dinge wie Hintergrundüberprüfungen durchführen, um festzustellen, ob wir zu Recht jemandem vertrauen, aber das Gefühl des individuellen und direkten Vertrauens ist entscheidend, um es während eines Interviewprozesses nicht zu verraten, weil es leicht passieren wird über alle anderen Persönlichkeits- und Fähigkeitseindrücke ragen, wenn jemand zu irgendeinem Zeitpunkt wegen einer von Ihnen vorgenommenen Handlung „unwohl“ mit Ihnen wird. Letztendlich ist die Feststellung, ob man Ihnen vertrauen kann, wirklich ein Kernelement eines Vorstellungsgesprächs, wenn Sie wirklich darüber nachdenken.

Alle Antworten sind meiner Meinung nach richtig, sowohl die, die das Verhalten fördern, als auch diejenigen, die es entmutigen, aber ich übersehe etwas Wichtiges für mich: die Tatsache, dass das Interview mit verschiedenen Menschen geführt wurde, die zufällig unterschiedliche Ziele haben.

Der IT-Chef möchte jemanden, der über den Tellerrand hinausblickt, Initiativen ergreift und eventuelle Mängel leicht erkennt. Natürlich ist er an einem solchen Profil interessiert.

Der Personalchef will die Firma vor den Mitarbeitern schützen. Das ist die Aufgabe. Identifizieren Sie jeden Schaden, den ein Mitarbeiter anrichten könnte, und schützen Sie das Unternehmen davor. Meistens ist es eher auf rechtlicher oder Beziehungsebene, aber wenn die Personalabteilung der Meinung ist, dass es einen potenziellen Mitarbeiter gibt, der schlau genug sein könnte, um Standardsicherheiten zu umgehen, außerhalb einer von der Spitze kontrollierten Prüfung, dann wird er tun, wofür er bezahlt wird do : die Firma vor dem (noch nicht) Mitarbeiter schützen.

Daher die Vielfalt der Antworten. Wenn Sie nur mit dem IT-Chef gesprochen hätten, dann wäre Ihr Verhalten (ungeachtet rechtlicher Aspekte) clever gewesen. Das braucht er. Aber da der HR anwesend war, hätten Sie seine Rolle berücksichtigen sollen: die natürliche Ordnung und Hierarchie des Unternehmens zu wahren.

Seien Sie sich bewusst, dass die meisten Unternehmen mehr als bereit sind, an Effizienz einzubüßen, um mehr Kontrolle über ihre Mitarbeiter zu erlangen. Wenn Sie nach einem Job im Unternehmensumfeld suchen, sollten Sie die Einhaltung der Regeln vor denen, die dafür bezahlt werden, zumindest vortäuschen. Und versuchen Sie, sie tatsächlich zu respektieren, solange es Sie nicht offensichtlich daran hindert, Ihre Arbeit zu erledigen. Und die erste Regel lautet: Sieh nicht unbeherrschbar aus. In der Unternehmenswelt haben Manager die Macht und sehen Management als die Wissenschaft der Kontrolle (ob es richtig oder gut ist, ist eine andere Debatte, die ich nicht eröffnen werde).

Die Falle besteht darin, dass Sie Ihre Rede vor zwei unterschiedlichen Zielgruppen mit gegensätzlichen Bedürfnissen und Erwartungen gestalten mussten. Versuchen Sie beim nächsten Mal an beides zu denken.

Wenn ich bei diesem Einstellungsverfahren ein Mitspracherecht hätte, wäre das ein Zeichen gegen Sie. Nicht weil Sie gegen eine Regel verstoßen haben, sondern weil Sie den Leuten sagen, dass sie etwas tun sollen, ohne ihre Bedürfnisse zu verstehen.

IT-Sicherheit ist eine Übung im Risikomanagement. Meistens sind IT-Sicherheitspraktiken keine absoluten Regeln. Sie müssen die Risiken einer bestimmten Praxis gegenüber den Kosten für die Geschäftseffizienz abwägen und dann eine Entscheidung treffen.

Ich kenne die Risiken nicht, die mit der von Ihnen gefundenen Schwachstelle verbunden sind. Es kann etwas sein, was ein Unternehmen niemals tun sollte. Bevor Sie jedoch einem Geschäftsführer sagen, dass er etwas nicht tun soll, sollten Sie Vertrauen in Ihre Meinung aufbauen, indem Sie sich über die Umstände informieren, unter denen die Schwachstelle besteht.

Wenn es um Informationen oder Ideen geht, die wir besitzen, mag es für einige kontraintuitiv erscheinen, aber es ist suboptimal, allen alles zu sagen. Ich brauchte länger, als ich zugeben möchte, um vollständig zu verinnerlichen, dass ich einfach nichts sagen und es für mich behalten konnte.

Die Personalabteilung wird so etwas niemals anders auffassen als das, was Sie beschreiben. Jeder, der NetSec nicht versteht, wird Sie und Ihren Kommentar wahrscheinlich mit äußerstem Misstrauen betrachten. Interaktionen sowohl in der Öffentlichkeit als auch auf der Bühne und auf der Leinwand sollten die Wahrheit veranschaulichen, es gibt eine ganze Kategorie von Tropen im Zusammenhang mit „wohlmeinenden Spezialisten versucht, Menschen zu warnen, die die potenzielle Gefahr nicht verstehen“, die am Ende von den ungewaschenen Heiden bestraft werden sie versuchten zu helfen.

Behalte es für dich.

Das heißt, Sie hätten möglicherweise etwas tangential Verwandtes ansprechen und das Gespräch dorthin lenken können, wo eine stark bearbeitete Version Ihrer Kommentare als organischer wahrgenommen werden könnte.

Wahre Geschichte: Ich habe einmal an einem Ort gearbeitet, an dem ein Typ eine Schwachstelle im Intranet-Blog des Unternehmens gefunden hat. Während er zu Hause war, postete er von außerhalb des Netzwerks in den Blog, indem er die Schwachstelle nutzte. Als er dann am nächsten Tag hereinkam, schickte er seinen brillanten Fund und den Beweis, dass es möglich war, an IT. Er erhielt sofort den Heldenstatus und einen riesigen Bonus, Gehaltserhöhung und Beförderung. Nur ein Scherz, er wurde sofort gefeuert.

Sie können jedes Wort dieser Antwort ignorieren, wenn Sie sich an diesen Satz aus fünf Wörtern erinnern wollen: „Recht zu haben ändert selten etwas.“

Ich werde versuchen, eine andere Perspektive hinzuzufügen.

Hatte ich Recht, ihnen zu sagen, dass ich das getan hatte?

Es gibt Länder, in denen das Betreten und Scannen des Netzwerks von vornherein illegal ist . Stellen Sie sich vor, Sie haben einen LAN-Port in der Prämisse gefunden und ein Ethernet-Kabel verwendet, um sich mit ihrem Netzwerk zu verbinden.

Es ist möglich, dass die Personalabteilung dies weiß, da sie sich der beteiligten Gesetze besser bewusst ist.

Es liegt in der Verantwortung der Personalabteilung, solche rechtlichen Verpflichtungen für das Unternehmen zu verwalten. Es ist möglich, dass sie deshalb weniger begeistert davon schienen.

Aus der Sicht von jemandem, der Informationssicherheit betreibt: Was Sie getan haben, war nicht schlau.

Um zu zeigen, dass Sie ein Experte für Sicherheit sind? In diesem Fall, wenn Sie nur zeigen, dass Sie es können

• Verbinden Sie sich mit einem offenen WLAN
• dass einige ihrer Maschinen in diesem Netzwerk waren

Wenn Sie dies als Sicherheitsproblem kennzeichnen, wissen Sie leider nicht viel über Sicherheit. Dieser IT-Manager auch nicht. Dies wird wahrscheinlich eines Tages explodieren.

Dieser Schritt war also nicht gut.

Vielleicht war es, um Proaktivität zu zeigen? Nun, in diesem Fall sollten Sie wirklich nicht im Sicherheitsbereich arbeiten, da Sie damit Ihrem Unternehmen schaden würden. Es gibt Einsatzregeln im Sicherheitsbereich und von einem Mitarbeiter wird erwartet, dass sie sich daran halten. Sie sind kein Hacker, Sie sind kein Kopfgeldjäger. Sie dürfen diese Dinge nicht tun.

Wie auch immer Sie es sehen, es war ein dummer Schachzug, wenn Sie angestellt werden wollten.

Mal sehen. Du aus meiner Sicht:

1. Ein offenes Netzwerk entdeckt; (OK)
2. Damit verbunden; (OK)
3. Entdeckt, dass es eine Benutzer-ID/ein Passwort benötigt; (OK)
4. Abgefragte Geräte um Sie herum in einem offensichtlichen Hacking-Versuch; (NICHT OK)
5. Prahlte damit (DUMM!)

Lassen Sie uns nun Ihre Fragen einzeln behandeln:

1. Hatte ich Recht, ihnen zu sagen, dass ich das getan hatte? Nicht, wenn Sie Lust hatten, für diese Firma zu arbeiten. Beachten Sie auch, dass die meisten Unternehmen, für die ich gearbeitet habe, eine Warnung anzeigen, wenn Sie sich verbinden oder anmelden, die so etwas wie „Unautorisierter Zugriff ist nicht gestattet. Wir werden die Behörden kontaktieren und Sie strafrechtlich verfolgen, wenn Sie es versuchen.“ Beachten Sie auch, dass Unwissenheit keine Entschuldigung ist.

2. Habe ich meine Chancen mit ihnen getötet? Wenn ich der Personalchef wäre, würde ich Sie nicht mit einer 10-Fuß-Stange berühren. Sie sind ein zugegebener Hacker, stolz darauf, und ein Sicherheitsvorfall, der darauf wartet, passiert zu werden.

3. Soll ich es bei anderen Stellenangeboten wiederholen (wenn etwas zufällig entdeckt wird)? Das hängt davon ab. Willst du einen Job bekommen oder willst du angeben? Wenn ersteres, mach das nie wieder. Wenn letzteres - nun, es ist dein Leben, Kumpel...

4. Wie kann ich mir mit solchen Informationen einen Vorteil im Vorstellungsgespräch verschaffen? Du kannst nicht. Alles, was Sie tun können, ist, die Leute nervös zu machen, und Leute, die nervös darüber sind, was Sie getan haben, tun können oder tun könnten, werden Sie nicht einstellen. Schauen Sie sich die Nachrichten an – alle paar Wochen wird ein anderes Unternehmen gehackt, Kreditkarten und andere persönliche Daten werden gestohlen, und sie sehen aus wie Idioten, und ihre Kunden können sich umdrehen und sie verklagen. Als jemand, der in der IT-Abteilung eines großen Einzelhändlers arbeitet, kann ich Ihnen sagen, dass dies eines der Dinge ist, die Menschen wie mich beunruhigen. Wenn wir glauben, dass Sie sogar ein Problem darstellen könnten , werden Sie nicht eingestellt. Ende der Geschichte.

Viel Glück.

Ihre Chancen hängen stark von den Befugnissen des IT-Leiters und des Personalleiters ab. Es kommt auch darauf an, wie man es präsentiert. Wenn es hieß "Ich habe mehrere Computer mit XYZ-welchen Namen auch immer mit einem ungesicherten Netzwerk verbunden gesehen", war es eher eine Beleidigung für denjenigen, der den Besitzern erlaubte, sich mit dem Netzwerk zu verbinden. Wenn es hieß "Ich habe Ihren Computer gesehen, Mr. Averagejoe, verbunden mit dem ungesicherten Netzwerk", war es eine klare Beleidigung für Mr. Durchschnittstyp.

Wenn Sie im Begriff sind, ein Sicherheitsmann zu werden, ist Paranoia nicht zwingend erforderlich, aber es hilft. Ihr Check, wer bei Ihnen (im offenen Netz) ist, zeigt deutlich Ihre Einstellung zu Ihrer möglichen Position. Deshalb war der IT-Leiter beeindruckt.

Andererseits war Ihre Präsentation Ihrer Ergebnisse ziemlich unhöflich. Deshalb hält Ihnen der Personaler den Rücken frei und kontert.

Vielleicht haben Sie Öl in einen offenen Kampf zwischen IT-Leuten gegossen, die darauf drängen, die Sicherheitsprobleme zu stoppen, und den anderen mit der Einstellung "Was zum Teufel reden die Verrückten?" Etwas wie der Vortrag von Moss über das Nicht-Deaktivieren der Firewall in IT Crowd S2E1.

Führen Sie diese Prüfung beim nächsten Mal vorzugsweise dann durch, wenn Sie im Vorstellungsgespräch danach gefragt werden. Wenn Sie nicht widerstehen können, halten Sie die Ergebnisse auf den Moment fest, in dem die Angreifer außerhalb der Stimmreichweite sind und Sie nur über das IT-Personal sprechen.

Das schadet Ihren Chancen, weil Sie den Begriff des Verantwortungsbereichs nachweislich nicht verstanden haben. Du:

• nicht erklärt hat, wie Sie dazu befugt waren (unabhängig davon, was Gesetze sagen mögen: Sie müssen sie überzeugen , nicht den Richter) und die Auswirkungen Ihrer Handlungen in nicht-technischer Hinsicht
• fing an, ihnen zu sagen (anstatt nur vorzuschlagen), wie sie die Dinge tun sollten, ohne die für diese Dinge verantwortliche Person oder ein beauftragter Berater zu sein

• In etablierten Umgebungen gibt es für jeden Bereich und jede Aufgabe eine verantwortliche Person (fast immer eine einzelne Person; Gruppenentscheidungen sind in der Regel nur für komplexe, strategische Angelegenheiten gerechtfertigt und nicht für alltägliche Aufgaben). Diese Person ist die einzige, die in diesem Bereich Entscheidungen treffen kann. Dadurch soll sichergestellt werden, dass sie das Gesamtbild haben und eine einheitliche Vision darauf angewendet wird.
• Wenn Sie nicht diese Person sind und ein Problem sehen, ist es Ihre Aufgabe, es ihnen zu melden und es ihnen zu überlassen, ob etwas dagegen unternommen werden muss.
  • Denn selbst wenn Sie wissen, dass dies ein Problem ist, haben Sie nicht den Überblick, um alle Vor- und Nachteile abwägen zu können, und Sie tragen nicht die Verantwortung für Ihr Handeln. Wie andere gesagt haben, ist Sicherheit eine Übung im Risikomanagement: Etwas ist nur dann sinnvoll, wenn es weniger kostspielig ist, es zu tun, als es nicht zu tun.
  • (Ich erwarte Kommentare von Möchtegern-Rebellen:) Es ist möglich und manchmal der richtige Weg, um etwas zu erledigen, aber es ist eine ernste und riskante Angelegenheit, da Sie die Vorgesetzten irgendwie davon überzeugen müssen, die ziemlich hohen Kosten auf sich zu nehmen Kosten für die Infragestellung der Kompetenz eines wichtigen Untergebenen (eine unabhängige Bewertung seiner Fähigkeiten und Arbeit ist Zeit, Geld und dauerhafte Unzufriedenheit dieser Person, unabhängig von der Methode und dem Ergebnis).

• Was Sie ihnen über den Scan erzählten, klang für einen Laien im Grunde genommen so: „Ich habe Ihr Netzwerk verletzt und möglicherweise Ihr Geschäft gestört – alles nur, weil ich Lust dazu hatte.“
  • Das hat eine Abwehrreaktion provoziert. „Nein, unser Geschäft ist sicherlich gut genug geschützt, wenn wir noch im Geschäft sind, und Sie könnten es sicherlich nicht so einfach verletzen! Was Sie behaupten, kann nicht wahr sein und ist eine schlichte Verleumdung (weil dies unserem schaden würde Ruf, wenn andere es glauben (unabhängig davon, ob es wahr ist), also nehmen wir das definitiv nicht gut auf)!"
  • Und eine Person mit einer solchen Denkweise ist sicherlich niemand, den sie im Umkreis von einer Meile ihrer kritischen Intrastruktur sehen wollen.
  • Das hast du natürlich nicht getan. Aber Sie haben es versäumt, das so zu vermitteln, dass sie es verstehen können.
  • Sie hätten dies etwa so formulieren sollen: „Als ich in der Lobby wartete, bemerkte ich ein offenes WLAN-Netzwerk mit dem Namen Ihres Unternehmens. Da mein Job Informationssicherheit umfassen wird, nutzte ich die Gelegenheit, um mir ein Bild von Ihren derzeitigen Praktiken zu machen. Ich habe dies und das bemerkt, was möglicherweise eine Schwachstelle ist, obwohl es darauf ankommt." ¹ Wenn sie immer noch verängstigt aussehen, fügen Sie etwas hinzu wie: „Ich kann mit Zuversicht sagen (und Ihre Kollegen würden es bestätigen), dass dies absolut nichts mit einer Stabilität wie einer Standard-Windows-Installation stören könnte.“
    • Dies würde zeigen, dass Sie dazu befugt waren, da von guten Kandidaten erwartet und erwartet wird, dass sie sich proaktiv mit der Recherche des Unternehmens befassen. Sie haben die Risiken abgewogen und eine fundierte Entscheidung getroffen; und Sie deuten lediglich an, dass dies ein Problem sein könnte, anstatt dies direkt zu sagen, da Sie nicht derjenige sind, der dafür verantwortlich ist, und daher nicht über die vollständigen Informationen verfügen, um solche kategorischen Aussagen machen zu können.

¹ _{über die Reichweite des Netzwerks, wie lange und wie oft Maschinen darauf bleiben, welche Art von Informationen und/oder Funktionen sie enthalten und wie gut sie gesichert sind.}