Pytanie:
Czy mam powiedzieć szefowi, że odkryłem ich hasła i są one za słabe?
sysfiend
2017-02-02 22:31:45 UTC
view on stackexchange narkive permalink

Pracuję tymczasowo, więc nie dają mi żadnych haseł, aby uzyskać dostęp do potrzebnych mi witryn i zasobów. Zamiast tego każą mi przenieść się na inny komputer, na którym przebywa zwykły pracownik i gdzie każde hasło jest już ustawione i zapisane w przeglądarce.

Muszę być szczery, wszedłem do routera (ponieważ używają domyślnych danych uwierzytelniających), aby uzyskać hasło WiFi, aby móc go używać na moim telefonie i stwierdziłem, że ma to dużo wspólnego z działalność, którą prowadzi firma ( gdyby była to restauracja, ich hasło to coffe123 ). Mając to na uwadze, chciałem tylko sprawdzić, czy ten sam wzorzec został użyty dla innych typów zasobów, takich jak adres e-mail, konta hostingowe itp. I tak, były.

Podczas rejestracji innej domeny w nowe konto, odgadłem hasło, widząc, że mój szef powoli pisze na klawiaturze i znowu słaby jak f *.

Czy mam im powiedzieć? Obawiam się, że mogę mieć kłopoty, bo za dużo czai się.

Dla wyjaśnienia: to nie jest duża firma, jesteśmy tylko kilkoma pracownikami i nikt oprócz mnie nie zna komputerów i bezpieczeństwa, więc nie ma możliwości anonimowego zgłoszenia problemu lub skontaktowania się z administratorem systemu lub osobą związaną z IT.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/53101/discussion-on-question-by-sysfiend-should-i-tell-my-boss-i-have-discovered-ich).
Powinieneś wpisać w Google „Randal Schwartz za przestępstwo” i bardzo poważnie potraktować wszystkie ostrzeżenia, które ludzie ci tutaj dali.Jego sytuacja była bardzo podobna do twojej.
Myślę, że to pytanie byłoby bardziej na temat w miejscu pracy.stackexchange.com
Czternaście odpowiedzi:
#1
+162
Denis
2017-02-02 23:15:13 UTC
view on stackexchange narkive permalink

Chociaż nie ma wątpliwości, że słabe hasła są problemem dla Twojej firmy, zdecydowanie odradzam mówienie szefowi o tym, co zrobiłeś.

Twoja firma zdecydowała się nie udostępniać pracownikom tymczasowym witryn i zasobów nie bez powodu. Nie tylko uzyskałeś nieautoryzowany dostęp do bezprzewodowej sieci LAN poprzez odgadnięcie hasła do routera, ale także rozszerzyłeś ten dostęp, sprawdzając poświadczenia w innych zasobach - zasobach, do których nie powinieneś mieć hasła. Wtedy w zasadzie surfowałeś po ramieniu.

Chociaż wydaje się, że polityka Twojego pracodawcy dotycząca dostępu do zasobów firmy i zasad dotyczących haseł zawiera błędy, wszystkie te rzeczy mogą zostać uznane przez Twojego pracodawcę za „włamanie” i zdecydowanie nie podlegały twojej autoryzacji.

Na twoim miejscu wylogowałbym się z sieci WLAN i poprosiłbym pracodawcę o hasło, jeśli chcesz mieć do niego dostęp. Poza tym powinieneś przestać próbować używać haseł innych ludzi na dowolnych punktach dostępu tylko „po to, by sprawdzić, czy użyto tego samego wzorca”. W zależności od systemu prawnego danego kraju możesz napotkać problemy prawne w przypadku tego rodzaju czynów.

Więc co należy zrobić z posiadanymi informacjami?
Jeśli Twój pracodawca poda Ci hasło do usługi lub zasobu, możesz wskazać, że np to hasło byłoby łatwe do odgadnięcia dla innych osób. Nie wspomniałbym jednak tutaj bezpośrednio o innym haśle.
Jeśli twój szef wydaje się zainteresowany, możesz zgłosić się na ochotnika do zbadania najlepszych praktyk dotyczących haseł w firmie. Jeśli traktują to poważnie, wyeliminowałoby to Twoje obawy.
Jeśli w firmie jest informatyk, możesz przekazać mu te obawy, ponieważ prawdopodobnie lepiej zrozumie potrzebę wprowadzenia bezpiecznych zasad dotyczących haseł.

ciekawość zabiła kota, mówią ... Chciałem tylko trochę zbadać, nic złego się nie stało.
Zdecydowanie widzę punkt, z którego przyjeżdżasz i myślę, że wiele osób poczuje tę samą ciekawość.Uważam też, że nie chciałeś wyrządzić krzywdy.Jednak inni, którzy patrzą na to z innego nastawienia, często czują się inaczej, co niestety spowodowało wiele problemów w przeszłości.
Czuję się też źle, mając tę wiedzę i nic im nie mówię, żeby w każdej chwili mogli zostać zhakowani przez złego faceta.
Zamiast tego spróbuj poczuć się źle, zdobywając tę wiedzę.(przepraszam, to nie poprawia samopoczucia) Gdybym miał dobre relacje z pracodawcą, wyznałbym i podzielił się wiedzą, ale w twoim przypadku wydaje się, że takie podejście przyniosłoby odwrotny skutek.
Ciekawość nie tylko zabija kota, ale także wczoraj może cię wyrzucić :)
@HankyPanky Nie tylko zwolniony, ale przynajmniej w USA, może również spowodować, że trafisz do więzienia.
@sysfiend Mówisz, że nic się nie stało, ale znam kogoś, kogo omal nie zwolniono za wykrycie błędu w wewnętrznej witrynie internetowej.Nie robił nic złośliwego, korzystał ze strony i znalazł ją, a inna grupa próbowała go wyrzucić za „zhakowanie” ich witryny.
@sysfiend Należy zapoznać się z [Ustawą o oszustwach komputerowych i nadużyciach] (https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act) odpowiednio zapoznać się z przepisami obowiązującymi w danym kraju.tldr: Jeśli jesteś w USA, prawdopodobnie technicznie popełniłeś ** przestępstwo ** w zależności od okoliczności.W tym momencie wypowiedzenie z jakiegoś powodu byłoby najmniejszym z twoich zmartwień.W tym przypadku się to nie wydarzy, ale musisz zrozumieć, że dostęp do systemów komputerowych bez zezwolenia jest bardzo poważnym przestępstwem.
`Nie tylko uzyskałeś nieautoryzowany dostęp do bezprzewodowej sieci LAN przez odgadnięcie hasła do routera ...` Lub, co bardziej prawdopodobne, próbowanie prawdopodobnych haseł, dopóki jedno nie zadziała.Nie jest to coś, do czego należy się przyznać, chociaż wszelkie nieudane próby nadal mogą być gdzieś rejestrowane.
Co kot chciał wiedzieć?
@Denis Uważam, że twoja odpowiedź byłaby (i powinna) zostać wzmocniona odniesieniem do wyroku skazującego Randal Schwartz za przestępstwa za działania uderzająco podobne do PO.OP prawdopodobnie domyślił się tego na podstawie wszystkich komentarzy tutaj, ale przyszli czytelnicy prawdopodobnie przeczytają twoją odpowiedź i dobrze byłoby ostrzec ich przed prawdziwym niebezpieczeństwem, na które grozi, nawet jeśli dobrowolnie podają informacje i nie zamierzają skrzywdzić.
@voo Przypominam sobie, że są ludzie, którzy wyraźnie mają boty, które w zasadzie hakują strony internetowe przy użyciu prostych lub powszechnych metod, a kiedy im się to udaje, oferują właścicielowi witryny informację o włamaniu / luce w zabezpieczeniach za pieniądze.To bardzo podobna sytuacja, więc gdyby byli w USA, czy popełniają przestępstwo w ten sposób, czy w jakim momencie są / byliby?
#2
+40
Serge Ballesta
2017-02-03 01:17:37 UTC
view on stackexchange narkive permalink

O ile nie otrzymałeś wyraźnego lub dorozumianego (*) upoważnienia do tego, próba odgadnięcia hasła dostępu do zasobów, które nie zostały Ci przyznane jest wrogim działaniem, nawet jeśli hasła są trywialne lub napisane w miejscu, którego nie powinieneś czytać. Jeśli na stronie tytułowej znajdziesz ulotkę z napisem „Poufne - zarezerwowane dla dozwolonych osób”, a mimo to ją przeczytasz, jest to również wrogie działanie.

W przypadku ulotki można powiedzieć, że „Widziałem tam poufny dokument, który ktoś mógł przeczytać i nikt go nie zauważył. Czy naprawdę zawiera poufne informacje, a jeśli tak, to czy nie powinien być przechowywany w bezpieczniejszym miejscu?” -> co oznacza, że ​​widziałem możliwy problem z bezpieczeństwem i ostrzegałem Cię, ale szanowałem znak poufne .

Lub jeśli odkryłeś hasło współpracownika (i jeśli taka historia jest możliwa): „Hej, musiałem zalogować się na komputerze, myślałem o czymś innym i wpisałem hasło, którego używam w domu. Wtedy zdałem sobie sprawę, że jestem zalogowany Twoje konto. Natychmiast się wylogowałem, ale naprawdę powinieneś zmienić to hasło do konta profesjonalnego ”


* Upoważnienie może być dorozumiane, jeśli odpowiadasz za ocenę ogólnego bezpieczeństwa. Ale w takim przypadku powinieneś zapytać, czy możesz kontynuować, gdy tylko znajdziesz trywialne hasło.

Historia z ostatniego akapitu może mieć zastosowanie, jeśli proste hasło to coś w rodzaju 123456, ale jeśli jest to [produkt-firmy] 123, nie jest już prawdopodobne, aby OP używał tego hasła w domu.
#3
+29
TessellatingHeckler
2017-02-03 12:20:34 UTC
view on stackexchange narkive permalink

Mówię to samo co inni, ale to naprawdę może być dla ciebie problemem prawnym (nie jestem prawnikiem). W Wielkiej Brytanii (*) jednym z odpowiednich aktów jest Computer Misuse Act 1990, który od razu mówi:

1 Nieautoryzowany dostęp do materiałów komputerowych.

(1) Osoba jest winna popełnienia przestępstwa, jeśli…

(a) powoduje, że komputer wykonuje jakąkolwiek funkcję z zamiarem zabezpieczenia dostępu do dowolnego programu lub danych przechowywanych na dowolnym komputerze

(b) dostęp, który zamierza zabezpieczyć [F2 lub umożliwić zabezpieczenie] jest nieuprawniony; oraz

(c) wie w momencie, gdy powoduje, że komputer wykonuje funkcję, o której tu mowa.

tj. jeśli choćby spróbujesz uzyskać dostęp do czegokolwiek, o czym wiesz, że nie powinieneś.

Podsekcja 2 mówi, że nie ma znaczenia, jaki komputer, jakie dane lub jakiego rodzaju dane , nic nie sprawia, że ​​jest OK.

Podrozdział 3 mówi:

(3) Osoba winna popełnienia przestępstwa z tej sekcji będzie odpowiedzialna za—

(a) za doraźnym wyrokiem skazującym w Anglii i Walii na karę pozbawienia wolności na okres nieprzekraczający 12 miesięcy lub na grzywnę nieprzekraczającą ustawowego maksimum lub do obu;

A następnie sekcja 2 akt mówi Nieautoryzowany dostęp z zamiarem popełnienia lub ułatwienia popełnienia dalszych wykroczeń. - popełniłeś czyn nieautoryzowanego dostępu (uzyskanie dostępu do routera), aby móc popełnić kolejny akt nieautoryzowanego dostępu (dostęp do sieci Wi-Fi).

W jednym ze swoich komentarzy piszesz

Żadnej krzywdy nie zamierzasz wyrządzić

Ale sekcja 3 aktu to Nieautoryzowane działania z zamiarem osłabienia lub lekkomyślnie utrudniające działanie komputera itp. - nawet jeśli nie zamierzasz skrzywdzić, jeśli działasz lekkomyślnie, to wystarczy. Dołączenie niezabezpieczonego, nieznanego, nieautoryzowanego urządzenia osobistego (telefonu) do sieci firmowej „może” narazić je na ryzyko wszelkiego rodzaju kryptowalut bla bla.

Mogę mocno wątpić, że będzie to miało zastosowanie do kogoś w małej firmie korzystającego z routera, ale jeśli chcą się z tym kłócić, podjąłeś tymczasową pracę, włamałeś się do ich sieci, poczty e-mail, domeny / hosting witryn internetowych beztrosko naraził swoją sieć, a tym samym działalność firmy, i kto wie, jakich kradzieży, szantażu, wymuszenia lub szkody zamierzałeś popełnić.

A co gorsza, nie rozumieją IT, nie interesuje ich, jaka to frajda, jak ciekawa jest, ani jak poważne lub trywialne były twoje działania, jeśli dostaną niewłaściwy koniec kija, nie będzie to dla ciebie dobre.

Czy mam powiedzieć szefowi, że ich hasła są zbyt złe?

Tak, powinieneś . Ale nie rób tego, chyba że masz powód, by sądzić, że dobrze to przyjmą. I powinno ich to obchodzić. Ale tak nie jest. I to nie jest twoja firma i nie twój problem. Jeśli okażą zainteresowanie, zasugeruj, dlaczego (w zasadzie) przechowywane hasła przeglądarki są ryzykowne, wspólne konta są ryzykowne lub proste hasła są ryzykowne.

Jeśli nie ma kopii zapasowej, zachęć ich do zrobienia kopii zapasowych. „Cześć, czytałem tę wiadomość o tym, że GitLab prawie traci 300 GB danych i pomyślałem, że nie mamy tutaj dobrych kopii zapasowych - moglibyśmy ustawić jedną za $ xyz, co sądzisz? ”

(*) Dostępne są inne jurysdykcje.

http://www.theregister.co.uk/2005/10/06/tsunami_hacker_convicted/ - rzeczywista sprawa, w której ktoś został postawiony w stan oskarżenia i uznany za winnego zrobienia znacznie mniejszego, niż opisuje to pytanie ...
Prawa są podobne w Stanach Zjednoczonych, chociaż różnią się w zależności od stanu.
@Chris Nieautoryzowany dostęp do komputerów w USA może być bardzo łatwo przestępstwem, więc przepisy w USA są generalnie nawet poważniejsze niż wersja brytyjska, tak jak je czytam (skrajny przykład można znaleźć w sprawie Aarona Swarca, w której naruszenie tego samego prawaOP jest winny, co skutkuje liczeniem wielu przestępstw i maksymalnym zagrożeniem karnym do 50 lat więzienia).
Przeskanowałem tę odpowiedź dość szybko i przegapiłem część dotyczącą maksymalnie 12 miesięcy wyroku.Przez „Prawa są podobne” nie wnioskowałem nic o surowości kary.
@ChrisSchneider Nie zacytowałem wszystkiego, przestępstwa z różnych części czynu, które łączyłem, mają różne kary.Przestępstwa powodujące „poważną szkodę dla dobra ludzi lub bezpieczeństwa narodowego” lub stwarzające ryzyko „poważnego uszczerbku na zdrowiu ludzi” lub „dożywotniego pozbawienia wolności”.
Trochę o tym, co nie szkodzi: Systemy prawne generalnie nie przejmują się pojęciem braku złych zamiarów, tylko że ustawa została złamana.
To ironiczne, że wykorzystywanie prawnych zagrożeń do ukrywania słabych zabezpieczeń tylko * pogarsza * bezpieczeństwo wobec rzeczywistych wrogich aktorów.
Przy hasłach zapisanych w przeglądarce zastanawiam się, czy kliknięcie w łatwo dostępny przycisk „pokaż hasła” w ustawieniach przeglądarki liczy się jako nadużycie komputera ...
Tak, ustawę o oszustwach komputerowych i nadużyciach można * łatwo * przywołać tutaj.W Stanach Zjednoczonych wiele razy zdarzało się, że nasze prawa dotyczące „hakowania” były stosowane nawet w [głupszych okolicznościach] (https://en.wikipedia.org/wiki/Aaron_Swartz#JSTOR).
#4
+22
One big regret
2017-02-05 23:19:11 UTC
view on stackexchange narkive permalink

Kiedy byłem młody, postawiłem się w twojej sytuacji. Znudziło mi się w pracy tymczasowej i zacząłem szukać słabych punktów bezpieczeństwa. Próbowałem to zakończyć, wysyłając anonimową wiadomość e-mail do administratora systemu, która przyniosła odwrotny skutek w następujący sposób:

  • Przestraszyli się, myśląc, że zagrożenie pochodzi z zewnątrz firmy.
  • Przeszukali logi systemowe, przesłuchali i prawie zwolnili jednego z moich współpracowników, z którym się przyjaźniłem i który nie miał z czymkolwiek nic wspólnego.
  • W końcu wyśledzili to do mnie i zwolnili.
  • Miałem duże szczęście, że nie poszło im gorzej.

Fragment o tym, że mój przyjaciel prawie został zwolniony, rzucił mi pętlę. W mojej pychy nie wiedziałem żadnych dodatkowych szkód, jakie mogłem spowodować. Zaskoczyło mnie też, kiedy wezwano mnie do tego pokoju, żeby mnie zwolnić, jak bali się mnie ludzie. Odrzuć wszelkie myśli o ludziach reagujących racjonalnie.

Proponuję natychmiastowe zaprzestanie korzystania z nieautoryzowanego dostępu. Jeśli naprawdę nie możesz wykonywać swojej pracy bez hasła, wskaż to, a jeśli podadzą ci to hasło, wskaż, jakie jest słabe. Poza tym zostaw to w spokoju. Wiem, że to trudne. Pewnego dnia będziesz w lepszej pozycji, aby wpływać na tego rodzaju polityki. Musisz tylko uzbroić się w cierpliwość.

Nadal nie jestem pewien, czy potrzebuje dostępu do Wi-Fi w swojej komórce.Zajmuje się bezpieczeństwem, ale decyduje się wejść do routera bez pozwolenia, aby uzyskać hasło Wi-Fi, aby połączyć swoją komórkę (czyli niezabezpieczone urządzenie) z siecią firmową, i najprawdopodobniej bez pozwolenia?
może powinieneś był być szczery wcześniej ?!chociaż rozbawiony przerażoną częścią!
Tak z ciekawości, czy Twoja nazwa użytkownika ma związek z tym, co opisałeś?Również +1, dobra odpowiedź.Miło i szczerze, że się podzielisz.
Nie wyszedłeś, kiedy zaczęli dochodzenie?Mogłem uniknąć ostrzału.
#5
+15
Sinc
2017-02-03 03:31:44 UTC
view on stackexchange narkive permalink

Nie zaczynaj od mówienia o niezabezpieczonych hasłach. Zamiast tego zacznij od wskazania, że ​​korzystanie z komputera innego pracownika w celu uzyskania dostępu do systemów nie jest bezpieczną praktyką, ponieważ naraża to dane innego użytkownika na ryzyko (wypadku, nawet jeśli nie jesteś złośliwy lub wścibski jak ty). Spróbuj ich przekonać, że bezpieczniejsze byłoby podanie haseł potrzebnych do wykonywania pracy. Byłoby to również bardziej wydajne, ponieważ nie musiałbyś blokować pracy drugiego użytkownika. Jeśli chcą, abyś miał dostęp, powinni ci go udzielić. Jeśli to zadziała, możesz skomentować niezabezpieczone hasła, które ci ujawniają. Jeśli obawiają się, że znasz hasła po wyjściu, mogą je wtedy zmienić.

#6
+10
Chenmunka
2017-02-03 00:25:15 UTC
view on stackexchange narkive permalink

Większość firm dowolnej wielkości posiada mechanizm, za pomocą którego można anonimowo zgłosić wykroczenia pracowników. Można to nazwać integralnością systemu raportowania zgodności.

Tego rodzaju informowanie o nieprawidłowościach jest zalecane, aby chronić firmę przed bardziej szkodliwymi odkryciami.

Sprawdzę, czy Twój pracodawca ma taki system, a jeśli tak, skorzystaj z niego. Podaj imiona i nazwiska zaangażowanych osób, a jeśli uznasz to za stosowne, podaj nawet hasła, których używają.

Gdzie pracuję, takie raporty są mile widziane. Pomógłbyś firmie zabezpieczyć jej dane bez ryzyka dla siebie.

To naprawdę mała firma i tylko ja mam wiedzę komputerową.Nawet gdyby taka polityka istniała, zostałbym zdemaskowany.
Nie radziłbym zgłaszać faktycznie używanych haseł.Jeśli są to hasła domyślne, będzie to oczywiste.Jeśli potrzebne są dalsze badania, nie chcesz, aby ludzie „testowali” hasła do kont zarządzania.
Duża firma może sprawdzić logi i dowiedzieć się, czy ktoś ostatnio był w tej części sieci bez autoryzacji.Naprawdę zły pomysł, aby być anonimowym po popełnieniu przestępstwa.Hej gliniarze, ktoś właśnie prowadzi pijany autostradą 64 ... czekajcie, to ja.
@blankip Każda mała firma warta cholerstwa sprawdzi również swoje dzienniki lol.
#7
+5
JMK
2017-02-03 20:33:45 UTC
view on stackexchange narkive permalink

Czy mam powiedzieć szefowi, że ich hasła są zbyt złe?

Kiedy pracuję nad projektem i otrzymuję hasło do serwera / routera itp. oraz to złe hasło Zawsze coś powiem i zalecam używanie silniejszych haseł / menedżera haseł itp.

Myślę, że jest to rozsądne rozwiązanie.

Z mając to na uwadze, chciałem tylko sprawdzić, czy ten sam wzorzec został użyty dla innych typów zasobów, takich jak adres e-mail, konta hostingowe itp. i tak, były.

Tak, zdecydowanie tego nie rób. Jest to niezgodne z prawem i możesz zostać skazany, jeśli Twój pracodawca się o tym dowie.

#8
+4
eV-
2017-02-02 23:35:18 UTC
view on stackexchange narkive permalink

Mówiąc im, w końcu ujawnisz działania podjęte w celu uzyskania tych informacji, a to może przysporzyć Ci kłopotów.

Jeśli chcesz ich uświadomić, jak ważne są silne hasła, możesz to zrobić bez ujawniania tego, co wiesz.

#9
+4
symcbean
2017-02-03 04:11:03 UTC
view on stackexchange narkive permalink

Chociaż zgadzam się z innymi, że posunąłeś się za daleko w badaniu bezpieczeństwa i nie powinieneś mówić swojemu pracodawcy o hasłach / systemach, które złamałeś, myślę, że masz obowiązek poinformować ich, że ich praktyki bezpieczeństwa wydają się być kiepskie i poproś ich o pozwolenie na dalsze zbadanie.

(ale upewnij się, że masz pisemne zezwolenie na piśmie, poza witryną, zanim przejdziesz dalej)

#10
+3
Bwinzey
2017-02-04 10:59:50 UTC
view on stackexchange narkive permalink

Szczerze mówiąc, wszystko zależy od osobowości twojego szefa i tego, jak bardzo się znacie / ufacie sobie nawzajem. Jest wielu pracodawców, którzy nie mogliby mniej dbać o swoich pracowników i skorzystaliby z takiej sytuacji, pozywając cię, ale jednocześnie jest wielu, którzy byliby bardzo wdzięczni za takie rady i zaprzyjaźniliby się z wykonaniem dodatkowej pracy.

Możesz powiedzieć coś w rodzaju „Oglądałem samouczki na temat bezpieczeństwa sieci i zastanawiałem się, czy ten system ma takie wady”, a jeśli nie, możesz znaleźć godnego zaufania pracownika, który powie to, co prawdopodobnie byłoby bardziej akceptowany przez szefa.

I wreszcie, zawsze istnieje podejście „nie mów nic” i po prostu wykonuj swoją pracę, pilnuj własnego biznesu i zapomnij o tym. Wydaje się to niewłaściwe, ale w dzisiejszych czasach jest zbyt wielu złych ludzi, którzy chcą skorzystać z naprawdę dobrych uczynków (takich jak wskazanie luk w zabezpieczeniach firmy), że tak naprawdę nie warto ryzykować pójścia do więzienia i zapłacenia grzywny za próbę bycia miłym osobę.

Jedyną osobą, która może wykonać ruch, jesteś Ty, a wszystko zależy od tego, jak dobrze oceniasz osobowość ludzi.

#11
+2
wam
2017-02-05 04:51:50 UTC
view on stackexchange narkive permalink

I wreszcie, zawsze istnieje podejście „nie mów nic” i po prostu wykonuj swoją pracę, pilnuj własnego biznesu i zapomnij o tym. Wydaje się to niewłaściwe, ale obecnie jest zbyt wielu złych ludzi, którzy chcą skorzystać z naprawdę dobrych uczynków (takich jak wskazanie luk w zabezpieczeniach firmy), że tak naprawdę nie warto ryzykować pójścia do więzienia i zapłacenia grzywny za próbę bycia miłym osobę.

I to jest dokładnie to, co powinieneś zrobić. Jeśli powiesz słowo, choćby wskazówkę, komukolwiek - komukolwiek!, Nie tylko szefowi czy innym osobom w tej firmie - oddajesz swoje bezpieczeństwo i wolność w jego ręce. Trzymaj buzię na kłódkę, wykonuj swoją pracę i idź gdzie indziej do pracy po zakończeniu kontraktu. Twoja sytuacja jest niebezpieczna . Prokuratorzy są nagradzani za liczbę wyroków skazujących, a nie za zło sprawcy.

Nie jestem pewien, dlaczego ktokolwiek miałby to głosować przeciw, jest dokładnie poprawny.
#12
+2
Ron Zepplin
2017-02-06 01:22:43 UTC
view on stackexchange narkive permalink

Zależy od osobowości Twojego szefa. Czy jest inteligentny, bystry i wyrozumiały? Jeśli tak, możesz mu powiedzieć. Nie będzie to powodem do zwolnienia lub degradacji. Zamiast tego możesz zostać nagrodzony za swój talent i kto wie, może to być również awans.

Ale jeśli osobowość twojego szefa jest raczej zwyczajna, po prostu o tym zapomnij.

#13
+1
Kryštof Píštěk
2017-02-05 20:10:36 UTC
view on stackexchange narkive permalink

Spróbuj zapytać ich o hasło, bo bla bla bla. Jeśli wiedzą, że znasz hasło, możesz im powiedzieć, że jest ono niebezpieczne i najprawdopodobniej zgodzą się na jego zmianę! A ponieważ masz hasło w „dobry” sposób, będziesz W porządku.

#14
-1
satibel
2017-02-07 16:43:17 UTC
view on stackexchange narkive permalink

Uwaga: weź wszystko, co tam zostało powiedziane z przymrużeniem oka, próbuję wskazać, dlaczego możesz nie potrzebować wysokiego zabezpieczenia, ale to nie znaczy, że nie powinieneś mieć żadnego zabezpieczenia.


Mogę tu grać adwokata diabła, ale bezpieczeństwo to ryzyko kontra nagroda.

Więc jego słabe hasło może nie oznaczać zbyt wiele, najgorszym scenariuszem jest kilka godzin spowolnienia, jeśli ktoś uzyskuje dostęp do systemu informatycznego.

Ale zapomina hasła „h1Ed4H £ 2h ~ zE {G ~ b # 1 $ ù% µ454” i / lub marnuje 5–10 minut dziennie, wprowadzając je i jest sfrustrowany, ponieważ kilka razy popełnia błąd, prawdopodobnie byłby gorszy w dłuższej perspektywie.

Chodzi mi o to, że czasami wpadamy w paranoję bezpieczeństwa i zapominamy, że ryzyko, że ktoś chce zaatakować firma nie jest naprawdę wysoka, a nawet pełna awaria IT może oznaczać tylko konieczność powrotu do papieru na kilka dni.


Jeśli chodzi o to, jak sobie z tym poradzić, proponuję od niechcenia porozmawiać z Twój szef o bezpieczeństwie IT i jeśli jest chudy ks to ważne czy nie. Możesz się spierać, jeśli Twoje punkty się utrzymają.

Jeśli twój szef zgadza się, że bezpieczeństwo IT jest ważne, możesz zapytać go, czy możesz zbadać okolicę, aby sprawdzić, czy są jakieś problemy z bezpieczeństwem. Zrób to, co zrobiłeś, sumiennie i zgłoś go pocztą z każdym napotkanym problemem, jakie to oznacza ryzyko i jak / jak to naprawić.

W większości przypadków problemy z bezpieczeństwem IT pojawiają się nie ze źródeł zewnętrznych, ale od (byłych) pracowników z urazą, więc prawdopodobnie dlatego nie chce, abyś dostawał hasła.

„Chodzi mi o to, że czasami wpadamy w paranoję związaną z bezpieczeństwem i zapominamy, że ryzyko, że ktoś chce zaatakować firmę, nie jest zbyt duże”.Konieczna jest zdrowa ilość paranoi.Jeśli odgadnięcie tego hasła przez OP było trywialne, dla atakującego będzie to trywialne.
„* W większości przypadków problemy z bezpieczeństwem IT nie pochodzą ze źródeł zewnętrznych, ale od (byłych) pracowników z urazą *” to jedyna rzecz, z którą się zgadzam.Jak możesz powiedzieć, że „* nawet całkowita awaria systemu informatycznego może ** tylko ** oznaczać konieczność powrotu do pracy na kilka dni *”?Lmao
@JᴀʏMᴇᴇ Ale „czy osoba atakująca istnieje” to pierwsze pytanie.A drugi to „co najgorszego może zrobić napastnik”.Nie mówię, że martwienie się o bezpieczeństwo jest złe, chociaż może trochę za bardzo podkreśliłem mój punkt widzenia.Jednak większość małych firm nie musi martwić się tak bardzo o bezpieczeństwo IT.Oczywiście, jeśli twoje ryzyko jest czymś więcej niż tylko nieprawdopodobnym spowolnieniem spowodowanym przez kogoś wewnątrz, możesz się tym martwić. Dlatego sugeruję przeprowadzenie burzy mózgów z szefem na temat tego, co jest naprawdę potrzebne, jeśli chodzi o bezpieczeństwo IT.Uzyskanie lepszych haseł powinno być łatwym wnioskiem.
@sysfired cóż, tam, gdzie pracuję, bardzo polegamy na IT, ale mamy plan B na wszystko i możemy sprawić, że wszystko będzie działać na papierze i ludziach. Nie jestem pewien, czym zajmuje się Twoja firma, więc nie mogę powiedzieć, że jest to wykonalne dla Twojej, ale jeśli robisz coś w rodzaju restauracji (na przykład), nadal możesz zabrać klientów do kasy na notatkę,nawet jeśli twój system rejestracji i twoja strona internetowa nie działają.Jeśli jesteś firmą, która działa tylko na stronach internetowych, prawdopodobnie nie jest to wykonalne.
@satibel może nigdy nie być napastnika, ale co jeśli tak?Ponadto, gdyby włamał się do firmy, która nie ma żadnej polityki dotyczącej haseł, miałby dostęp przynajmniej do kont bankowych, paypal i hostingowych.Nie chodzi o wykonanie pracy, ale o ochronę pieniędzy i danych firmy
@sysfired Następnie, jeśli osoba atakująca może uzyskać dostęp do tych kont, JEST to problem z bezpieczeństwem, powód, dla którego ktoś chce się włamać i powinno być argumentem za lepszym zabezpieczeniem. Nawet jeśli zostaniesz zaatakowany i te konta zostaną przejęte, prawdopodobnie możesz odzyskać dostęp do tych kont, zmienić hasła i odzyskać pieniądze w mniej niż miesiąc (prawdopodobnie nawet tydzień, biorąc pod uwagę, że jest to firma).


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...