Chociaż nie ma wątpliwości, że słabe hasła są problemem dla Twojej firmy, zdecydowanie odradzam mówienie szefowi o tym, co zrobiłeś.

Twoja firma zdecydowała się nie udostępniać pracownikom tymczasowym witryn i zasobów nie bez powodu. Nie tylko uzyskałeś nieautoryzowany dostęp do bezprzewodowej sieci LAN poprzez odgadnięcie hasła do routera, ale także rozszerzyłeś ten dostęp, sprawdzając poświadczenia w innych zasobach - zasobach, do których nie powinieneś mieć hasła. Wtedy w zasadzie surfowałeś po ramieniu.

Chociaż wydaje się, że polityka Twojego pracodawcy dotycząca dostępu do zasobów firmy i zasad dotyczących haseł zawiera błędy, wszystkie te rzeczy mogą zostać uznane przez Twojego pracodawcę za „włamanie” i zdecydowanie nie podlegały twojej autoryzacji.

Na twoim miejscu wylogowałbym się z sieci WLAN i poprosiłbym pracodawcę o hasło, jeśli chcesz mieć do niego dostęp. Poza tym powinieneś przestać próbować używać haseł innych ludzi na dowolnych punktach dostępu tylko „po to, by sprawdzić, czy użyto tego samego wzorca”. W zależności od systemu prawnego danego kraju możesz napotkać problemy prawne w przypadku tego rodzaju czynów.

Więc co należy zrobić z posiadanymi informacjami?
Jeśli Twój pracodawca poda Ci hasło do usługi lub zasobu, możesz wskazać, że np to hasło byłoby łatwe do odgadnięcia dla innych osób. Nie wspomniałbym jednak tutaj bezpośrednio o innym haśle.
Jeśli twój szef wydaje się zainteresowany, możesz zgłosić się na ochotnika do zbadania najlepszych praktyk dotyczących haseł w firmie. Jeśli traktują to poważnie, wyeliminowałoby to Twoje obawy.
Jeśli w firmie jest informatyk, możesz przekazać mu te obawy, ponieważ prawdopodobnie lepiej zrozumie potrzebę wprowadzenia bezpiecznych zasad dotyczących haseł.

O ile nie otrzymałeś wyraźnego lub dorozumianego (*) upoważnienia do tego, próba odgadnięcia hasła dostępu do zasobów, które nie zostały Ci przyznane jest wrogim działaniem, nawet jeśli hasła są trywialne lub napisane w miejscu, którego nie powinieneś czytać. Jeśli na stronie tytułowej znajdziesz ulotkę z napisem „Poufne - zarezerwowane dla dozwolonych osób”, a mimo to ją przeczytasz, jest to również wrogie działanie.

W przypadku ulotki można powiedzieć, że „Widziałem tam poufny dokument, który ktoś mógł przeczytać i nikt go nie zauważył. Czy naprawdę zawiera poufne informacje, a jeśli tak, to czy nie powinien być przechowywany w bezpieczniejszym miejscu?” -> co oznacza, że ​​widziałem możliwy problem z bezpieczeństwem i ostrzegałem Cię, ale szanowałem znak poufne .

Lub jeśli odkryłeś hasło współpracownika (i jeśli taka historia jest możliwa): „Hej, musiałem zalogować się na komputerze, myślałem o czymś innym i wpisałem hasło, którego używam w domu. Wtedy zdałem sobie sprawę, że jestem zalogowany Twoje konto. Natychmiast się wylogowałem, ale naprawdę powinieneś zmienić to hasło do konta profesjonalnego ”

* Upoważnienie może być dorozumiane, jeśli odpowiadasz za ocenę ogólnego bezpieczeństwa. Ale w takim przypadku powinieneś zapytać, czy możesz kontynuować, gdy tylko znajdziesz trywialne hasło.

Mówię to samo co inni, ale to naprawdę może być dla ciebie problemem prawnym (nie jestem prawnikiem). W Wielkiej Brytanii (*) jednym z odpowiednich aktów jest Computer Misuse Act 1990, który od razu mówi:

1 Nieautoryzowany dostęp do materiałów komputerowych.

(1) Osoba jest winna popełnienia przestępstwa, jeśli…

(a) powoduje, że komputer wykonuje jakąkolwiek funkcję z zamiarem zabezpieczenia dostępu do dowolnego programu lub danych przechowywanych na dowolnym komputerze

(b) dostęp, który zamierza zabezpieczyć [F2 lub umożliwić zabezpieczenie] jest nieuprawniony; oraz

(c) wie w momencie, gdy powoduje, że komputer wykonuje funkcję, o której tu mowa.

tj. jeśli choćby spróbujesz uzyskać dostęp do czegokolwiek, o czym wiesz, że nie powinieneś.

Podsekcja 2 mówi, że nie ma znaczenia, jaki komputer, jakie dane lub jakiego rodzaju dane , nic nie sprawia, że ​​jest OK.

Podrozdział 3 mówi:

(3) Osoba winna popełnienia przestępstwa z tej sekcji będzie odpowiedzialna za—

(a) za doraźnym wyrokiem skazującym w Anglii i Walii na karę pozbawienia wolności na okres nieprzekraczający 12 miesięcy lub na grzywnę nieprzekraczającą ustawowego maksimum lub do obu;

A następnie sekcja 2 akt mówi Nieautoryzowany dostęp z zamiarem popełnienia lub ułatwienia popełnienia dalszych wykroczeń. - popełniłeś czyn nieautoryzowanego dostępu (uzyskanie dostępu do routera), aby móc popełnić kolejny akt nieautoryzowanego dostępu (dostęp do sieci Wi-Fi).

W jednym ze swoich komentarzy piszesz

Żadnej krzywdy nie zamierzasz wyrządzić

Ale sekcja 3 aktu to Nieautoryzowane działania z zamiarem osłabienia lub lekkomyślnie utrudniające działanie komputera itp. - nawet jeśli nie zamierzasz skrzywdzić, jeśli działasz lekkomyślnie, to wystarczy. Dołączenie niezabezpieczonego, nieznanego, nieautoryzowanego urządzenia osobistego (telefonu) do sieci firmowej „może” narazić je na ryzyko wszelkiego rodzaju kryptowalut bla bla.

Mogę mocno wątpić, że będzie to miało zastosowanie do kogoś w małej firmie korzystającego z routera, ale jeśli chcą się z tym kłócić, podjąłeś tymczasową pracę, włamałeś się do ich sieci, poczty e-mail, domeny / hosting witryn internetowych beztrosko naraził swoją sieć, a tym samym działalność firmy, i kto wie, jakich kradzieży, szantażu, wymuszenia lub szkody zamierzałeś popełnić.

A co gorsza, nie rozumieją IT, nie interesuje ich, jaka to frajda, jak ciekawa jest, ani jak poważne lub trywialne były twoje działania, jeśli dostaną niewłaściwy koniec kija, nie będzie to dla ciebie dobre.

Czy mam powiedzieć szefowi, że ich hasła są zbyt złe?

Tak, powinieneś . Ale nie rób tego, chyba że masz powód, by sądzić, że dobrze to przyjmą. I powinno ich to obchodzić. Ale tak nie jest. I to nie jest twoja firma i nie twój problem. Jeśli okażą zainteresowanie, zasugeruj, dlaczego (w zasadzie) przechowywane hasła przeglądarki są ryzykowne, wspólne konta są ryzykowne lub proste hasła są ryzykowne.

Jeśli nie ma kopii zapasowej, zachęć ich do zrobienia kopii zapasowych. „Cześć, czytałem tę wiadomość o tym, że GitLab prawie traci 300 GB danych i pomyślałem, że nie mamy tutaj dobrych kopii zapasowych - moglibyśmy ustawić jedną za $ xyz, co sądzisz? ”

(*) Dostępne są inne jurysdykcje.

Kiedy byłem młody, postawiłem się w twojej sytuacji. Znudziło mi się w pracy tymczasowej i zacząłem szukać słabych punktów bezpieczeństwa. Próbowałem to zakończyć, wysyłając anonimową wiadomość e-mail do administratora systemu, która przyniosła odwrotny skutek w następujący sposób:

• Przestraszyli się, myśląc, że zagrożenie pochodzi z zewnątrz firmy.
• Przeszukali logi systemowe, przesłuchali i prawie zwolnili jednego z moich współpracowników, z którym się przyjaźniłem i który nie miał z czymkolwiek nic wspólnego.
• W końcu wyśledzili to do mnie i zwolnili.
• Miałem duże szczęście, że nie poszło im gorzej.

Fragment o tym, że mój przyjaciel prawie został zwolniony, rzucił mi pętlę. W mojej pychy nie wiedziałem żadnych dodatkowych szkód, jakie mogłem spowodować. Zaskoczyło mnie też, kiedy wezwano mnie do tego pokoju, żeby mnie zwolnić, jak bali się mnie ludzie. Odrzuć wszelkie myśli o ludziach reagujących racjonalnie.

Proponuję natychmiastowe zaprzestanie korzystania z nieautoryzowanego dostępu. Jeśli naprawdę nie możesz wykonywać swojej pracy bez hasła, wskaż to, a jeśli podadzą ci to hasło, wskaż, jakie jest słabe. Poza tym zostaw to w spokoju. Wiem, że to trudne. Pewnego dnia będziesz w lepszej pozycji, aby wpływać na tego rodzaju polityki. Musisz tylko uzbroić się w cierpliwość.

Nie zaczynaj od mówienia o niezabezpieczonych hasłach. Zamiast tego zacznij od wskazania, że ​​korzystanie z komputera innego pracownika w celu uzyskania dostępu do systemów nie jest bezpieczną praktyką, ponieważ naraża to dane innego użytkownika na ryzyko (wypadku, nawet jeśli nie jesteś złośliwy lub wścibski jak ty). Spróbuj ich przekonać, że bezpieczniejsze byłoby podanie haseł potrzebnych do wykonywania pracy. Byłoby to również bardziej wydajne, ponieważ nie musiałbyś blokować pracy drugiego użytkownika. Jeśli chcą, abyś miał dostęp, powinni ci go udzielić. Jeśli to zadziała, możesz skomentować niezabezpieczone hasła, które ci ujawniają. Jeśli obawiają się, że znasz hasła po wyjściu, mogą je wtedy zmienić.

Większość firm dowolnej wielkości posiada mechanizm, za pomocą którego można anonimowo zgłosić wykroczenia pracowników. Można to nazwać integralnością systemu raportowania zgodności.

Tego rodzaju informowanie o nieprawidłowościach jest zalecane, aby chronić firmę przed bardziej szkodliwymi odkryciami.

Sprawdzę, czy Twój pracodawca ma taki system, a jeśli tak, skorzystaj z niego. Podaj imiona i nazwiska zaangażowanych osób, a jeśli uznasz to za stosowne, podaj nawet hasła, których używają.

Gdzie pracuję, takie raporty są mile widziane. Pomógłbyś firmie zabezpieczyć jej dane bez ryzyka dla siebie.

Czy mam powiedzieć szefowi, że ich hasła są zbyt złe?

Kiedy pracuję nad projektem i otrzymuję hasło do serwera / routera itp. oraz to złe hasło Zawsze coś powiem i zalecam używanie silniejszych haseł / menedżera haseł itp.

Myślę, że jest to rozsądne rozwiązanie.

Z mając to na uwadze, chciałem tylko sprawdzić, czy ten sam wzorzec został użyty dla innych typów zasobów, takich jak adres e-mail, konta hostingowe itp. i tak, były.

Tak, zdecydowanie tego nie rób. Jest to niezgodne z prawem i możesz zostać skazany, jeśli Twój pracodawca się o tym dowie.

Mówiąc im, w końcu ujawnisz działania podjęte w celu uzyskania tych informacji, a to może przysporzyć Ci kłopotów.

Jeśli chcesz ich uświadomić, jak ważne są silne hasła, możesz to zrobić bez ujawniania tego, co wiesz.

Chociaż zgadzam się z innymi, że posunąłeś się za daleko w badaniu bezpieczeństwa i nie powinieneś mówić swojemu pracodawcy o hasłach / systemach, które złamałeś, myślę, że masz obowiązek poinformować ich, że ich praktyki bezpieczeństwa wydają się być kiepskie i poproś ich o pozwolenie na dalsze zbadanie.

(ale upewnij się, że masz pisemne zezwolenie na piśmie, poza witryną, zanim przejdziesz dalej)

Szczerze mówiąc, wszystko zależy od osobowości twojego szefa i tego, jak bardzo się znacie / ufacie sobie nawzajem. Jest wielu pracodawców, którzy nie mogliby mniej dbać o swoich pracowników i skorzystaliby z takiej sytuacji, pozywając cię, ale jednocześnie jest wielu, którzy byliby bardzo wdzięczni za takie rady i zaprzyjaźniliby się z wykonaniem dodatkowej pracy.

Możesz powiedzieć coś w rodzaju „Oglądałem samouczki na temat bezpieczeństwa sieci i zastanawiałem się, czy ten system ma takie wady”, a jeśli nie, możesz znaleźć godnego zaufania pracownika, który powie to, co prawdopodobnie byłoby bardziej akceptowany przez szefa.

I wreszcie, zawsze istnieje podejście „nie mów nic” i po prostu wykonuj swoją pracę, pilnuj własnego biznesu i zapomnij o tym. Wydaje się to niewłaściwe, ale w dzisiejszych czasach jest zbyt wielu złych ludzi, którzy chcą skorzystać z naprawdę dobrych uczynków (takich jak wskazanie luk w zabezpieczeniach firmy), że tak naprawdę nie warto ryzykować pójścia do więzienia i zapłacenia grzywny za próbę bycia miłym osobę.

Jedyną osobą, która może wykonać ruch, jesteś Ty, a wszystko zależy od tego, jak dobrze oceniasz osobowość ludzi.

I wreszcie, zawsze istnieje podejście „nie mów nic” i po prostu wykonuj swoją pracę, pilnuj własnego biznesu i zapomnij o tym. Wydaje się to niewłaściwe, ale obecnie jest zbyt wielu złych ludzi, którzy chcą skorzystać z naprawdę dobrych uczynków (takich jak wskazanie luk w zabezpieczeniach firmy), że tak naprawdę nie warto ryzykować pójścia do więzienia i zapłacenia grzywny za próbę bycia miłym osobę.

I to jest dokładnie to, co powinieneś zrobić. Jeśli powiesz słowo, choćby wskazówkę, komukolwiek - komukolwiek!, Nie tylko szefowi czy innym osobom w tej firmie - oddajesz swoje bezpieczeństwo i wolność w jego ręce. Trzymaj buzię na kłódkę, wykonuj swoją pracę i idź gdzie indziej do pracy po zakończeniu kontraktu. Twoja sytuacja jest niebezpieczna . Prokuratorzy są nagradzani za liczbę wyroków skazujących, a nie za zło sprawcy.

Zależy od osobowości Twojego szefa. Czy jest inteligentny, bystry i wyrozumiały? Jeśli tak, możesz mu powiedzieć. Nie będzie to powodem do zwolnienia lub degradacji. Zamiast tego możesz zostać nagrodzony za swój talent i kto wie, może to być również awans.

Ale jeśli osobowość twojego szefa jest raczej zwyczajna, po prostu o tym zapomnij.

Spróbuj zapytać ich o hasło, bo bla bla bla. Jeśli wiedzą, że znasz hasło, możesz im powiedzieć, że jest ono niebezpieczne i najprawdopodobniej zgodzą się na jego zmianę! A ponieważ masz hasło w „dobry” sposób, będziesz W porządku.

Uwaga: weź wszystko, co tam zostało powiedziane z przymrużeniem oka, próbuję wskazać, dlaczego możesz nie potrzebować wysokiego zabezpieczenia, ale to nie znaczy, że nie powinieneś mieć żadnego zabezpieczenia.

Mogę tu grać adwokata diabła, ale bezpieczeństwo to ryzyko kontra nagroda.

Więc jego słabe hasło może nie oznaczać zbyt wiele, najgorszym scenariuszem jest kilka godzin spowolnienia, jeśli ktoś uzyskuje dostęp do systemu informatycznego.

Ale zapomina hasła „h1Ed4H £ 2h ~ zE {G ~ b # 1 $ ù% µ454” i / lub marnuje 5–10 minut dziennie, wprowadzając je i jest sfrustrowany, ponieważ kilka razy popełnia błąd, prawdopodobnie byłby gorszy w dłuższej perspektywie.

Chodzi mi o to, że czasami wpadamy w paranoję bezpieczeństwa i zapominamy, że ryzyko, że ktoś chce zaatakować firma nie jest naprawdę wysoka, a nawet pełna awaria IT może oznaczać tylko konieczność powrotu do papieru na kilka dni.

Jeśli chodzi o to, jak sobie z tym poradzić, proponuję od niechcenia porozmawiać z Twój szef o bezpieczeństwie IT i jeśli jest chudy ks to ważne czy nie. Możesz się spierać, jeśli Twoje punkty się utrzymają.

Jeśli twój szef zgadza się, że bezpieczeństwo IT jest ważne, możesz zapytać go, czy możesz zbadać okolicę, aby sprawdzić, czy są jakieś problemy z bezpieczeństwem. Zrób to, co zrobiłeś, sumiennie i zgłoś go pocztą z każdym napotkanym problemem, jakie to oznacza ryzyko i jak / jak to naprawić.

W większości przypadków problemy z bezpieczeństwem IT pojawiają się nie ze źródeł zewnętrznych, ale od (byłych) pracowników z urazą, więc prawdopodobnie dlatego nie chce, abyś dostawał hasła.