Sebbene non vi siano dubbi sul fatto che le password deboli siano un problema per la tua azienda, ti sconsiglio vivamente di parlare al tuo capo delle cose che hai fatto.

La tua azienda ha deciso di non concedere l'accesso a lavoratori temporanei a siti e risorse per un motivo. Non solo hai ottenuto l'accesso non autorizzato alla LAN wireless indovinando la password del router, ma hai anche esteso tale accesso sondando le credenziali con altre risorse - Risorse per le quali non avresti dovuto avere la password. Quindi sostanzialmente hai fatto surf con il tuo capo.

Anche se sembrano esserci dei difetti nella tua politica dei datori di lavoro riguardo all'accesso alle risorse aziendali e alle loro politiche sulle password, tutte queste cose potrebbero essere considerate "hacking" dal tuo datore di lavoro ed erano decisamente al di fuori della tua autorizzazione.

Se fossi in te, disconnetterei la WLAN e chiederei la password al tuo datore di lavoro se vuoi accedervi. A parte questo, dovresti smettere di provare a utilizzare le password di altre persone su qualsiasi punto di accesso solo "per vedere se è stato utilizzato lo stesso modello". A seconda del sistema legale dei paesi coinvolti, puoi benissimo affrontare problemi legali per questo tipo di atti.

Quindi cosa dovresti fare con le informazioni che hai?
Se il tuo datore di lavoro ti fornisce una password per un servizio o una risorsa, potresti far notare che, ad es quella password sarebbe facilmente indovinabile per altre persone. Tuttavia, non menzionerei direttamente l'altra password qui.
Se il tuo capo sembra interessato, potresti offrirti volontario per ricercare le migliori pratiche per le password per l'azienda. Se fanno sul serio, eliminerai le tue preoccupazioni.
Se in azienda c'è una persona IT, potresti sottoporgli queste preoccupazioni poiché probabilmente comprenderà meglio la necessità di una policy per le password sicure.

A meno che tu non abbia ricevuto un mandato esplicito o implicito (*) per farlo, provare a indovinare le password per accedere a risorse che non ti sono state concesse è un'azione ostile, anche se le password sono banali o scritto in un posto che non avresti dovuto leggere. Se trovi un volantino con "Riservato - riservato alle persone autorizzate" sulla copertina e lo leggi comunque, è anche un'azione ostile.

Il massimo che puoi fare è nel caso del volantino di dire "Ho visto lì un documento confidenziale, che qualcuno potrebbe leggere senza che nessun altro se ne accorga. Contiene davvero informazioni sensibili e in caso affermativo non dovrebbe essere conservato in un luogo più sicuro?" -> significa che ho visto un possibile problema di sicurezza e ti ho avvisato ma ho rispettato il marchio riservato .

O se hai scoperto la password di un collega (e se la seguente storia è possibile): "Ehi, dovevo accedere a un computer, stavo pensando a qualcos'altro e ho inserito una password che uso a casa. Poi ho capito che ero connesso il tuo account. Mi sono disconnesso immediatamente, ma dovresti davvero cambiare la password per un account professionale "

* Il mandato può essere implicito se sei responsabile della valutazione della sicurezza generale. Ma in tal caso dovresti chiedere se puoi continuare non appena hai scoperto una password banale.

Dico più o meno la stessa cosa degli altri, ma questo potrebbe davvero essere un problema legale per te (non sono un avvocato). Nel Regno Unito (*) un atto rilevante è il Computer Misuse Act 1990 che dice all'inizio:

1 Accesso non autorizzato al materiale informatico.

(1) Una persona è colpevole di un reato se—

(a) fa sì che un computer svolga una qualsiasi funzione con l'intento di proteggere l'accesso a qualsiasi programma o dato contenuto in qualsiasi computer

(b) l'accesso che intende proteggere [F2, o consentire di essere protetto,] non è autorizzato; e

(c) sa nel momento in cui fa eseguire al computer la funzione che è così.

i.e. se vuoi provare ad accedere a tutto ciò che sai che non dovresti.

La sottosezione 2 dice che non importa quale computer, quali dati o che tipo di dati , niente lo rende OK.

La sottosezione 3 dice:

(3) Una persona colpevole di un reato ai sensi di questa sezione sarà responsabile—

(a) su condanna sommaria in Inghilterra e Galles, alla reclusione per un periodo non superiore a 12 mesi o a una multa non superiore al massimo previsto dalla legge o ad entrambi;

E poi la sezione 2 del act dice Accesso non autorizzato con l'intento di commettere o facilitare la commissione di ulteriori reati. - hai commesso un atto di accesso non autorizzato (ottenendo l'accesso al router) in modo da poter commettere un altro atto di accesso non autorizzato (accesso wifi).

In uno dei tuoi commenti, dici

nessun danno deve essere fatto

Ma la sezione 3 dell'atto è Atti non autorizzati con l'intento di compromettere, o con sconsideratezza quanto a compromettere, il funzionamento del computer, ecc. - anche se non intendi danneggiare, se agisci in modo sconsiderato, è sufficiente. L'unione di un dispositivo personale (telefono) non protetto, sconosciuto e non autorizzato alla rete aziendale "potrebbe" metterli a rischio di tutti i tipi di cryptolocker blah blah.

Posso fortemente dubitare che questo si applicherà in modo forzato a qualcuno in una piccola impresa che accede a un router, ma se vogliono discuterne, hai accettato un lavoro temporaneo, sei entrato nella loro rete, nella loro email, nel loro dominio / hosting di siti Web, ha messo a rischio la propria rete e quindi il funzionamento della propria azienda, e chissà quali furti, ricatti, estorsioni o danni si intendeva commettere.

E quel che è peggio, non capiscono l'IT, non sono interessati a quanto sia divertente o curioso, o quanto siano state serie o banali le tue azioni, se prendono la parte sbagliata del bastone non ti starà bene.

Devo dire al mio capo che le loro password sono troppo cattive?

Sì, dovresti . Ma non farlo a meno che tu non abbia motivo di pensare che lo prenderanno bene. E a loro dovrebbe interessare. Ma non lo fanno. E non è la tua azienda e non è un tuo problema. Se mostrano interesse, suggerisci perché (in linea di principio) le password del browser memorizzate sono rischiose, o gli account condivisi sono rischiosi o le password semplici sono rischiose.

Se non ci sono backup, incoraggiali ad avere dei backup. "Salve, stavo leggendo questa notizia su GitLab che ha quasi perso 300 GB di dati e mi ha fatto pensare che non abbiamo buoni backup qui: potremmo impostarne uno per $ xyz, cosa pensi? "

(*) Sono disponibili altre giurisdizioni.

Una volta, quando ero giovane, mi sono messo praticamente nella tua stessa situazione. Mi sono stufato di un lavoro temporaneo e ho iniziato a sondare i punti deboli della sicurezza. Ho provato a farla finita inviando un'e-mail anonima all'amministratore di sistema, che si è ritorta contro nei seguenti modi:

• Sono andati fuori di testa, pensando che la minaccia provenisse inizialmente dall'esterno dell'azienda.
• Hanno setacciato i log di sistema, interrogato e quasi licenziato uno dei miei colleghi di cui ero amico e che non aveva nulla a che fare con nulla.
• Alla fine mi hanno rintracciato e mi hanno licenziato.
• / li>
• Sono stato molto fortunato che non abbiano fatto peggio.

La parte in cui il mio amico è stato quasi licenziato mi ha spaventato. Nella mia arroganza, ero completamente inconsapevole di eventuali danni collaterali che potevo causare. Inoltre, ciò che mi ha sorpreso è stato quando sono stato chiamato in quella stanza per essere licenziato, come le persone spaventate erano di me. Respingi qualsiasi pensiero tu abbia sulle persone che rispondono razionalmente.

Il mio suggerimento è interrompere immediatamente l'utilizzo di qualsiasi accesso non autorizzato. Se davvero non puoi fare il tuo lavoro senza una password, segnalalo e se ti danno quella password, fai notare quanto sia debole. Oltre a questo, lascia perdere. So che è difficile. Un giorno sarai in una posizione migliore per influenzare questo tipo di politiche. Devi solo essere paziente.

Non iniziare parlando delle password non sicure. Inizia invece sottolineando che non è una pratica sicura per te utilizzare il computer di un altro dipendente per accedere ai sistemi perché mette a rischio i dati dell'altro utente (di un incidente anche se non sei dannoso o ficcanaso come te). Cerca di convincerli che sarebbe più sicuro darti le password di cui hai bisogno per svolgere il tuo lavoro. Sarebbe anche più efficiente poiché non dovresti bloccare il lavoro dell'altro utente. Se vogliono che tu abbia accesso, dovrebbero darti quell'accesso. Se funziona, puoi commentare le password non sicure che ti rivelano. Se sono preoccupati che tu sappia le password dopo che te ne sei andato, possono cambiarle in quel momento.

La maggior parte delle aziende di qualsiasi dimensione dispone di un meccanismo mediante il quale è possibile effettuare segnalazioni anonime di illeciti da parte di membri del personale. Può essere definita l'integrità di un sistema di segnalazione della conformità.

Questo tipo di segnalazione è incoraggiato per proteggere l'azienda da rivelazioni più dannose.

Vorrei verificare se il tuo datore di lavoro dispone di un tale sistema e, in caso affermativo, lo userei. Segnala i nomi delle persone coinvolte e, se lo ritieni opportuno, anche la password che stanno utilizzando.

Dove lavoro, tali rapporti sono incoraggiati. Aiuterai l'azienda a proteggere i suoi dati senza rischi per te stesso.

Devo dire al mio capo che le sue password sono troppo cattive?

Quando lavoro a un progetto e mi viene fornita la password di un server / router, ecc. e è una cattiva password Dirò sempre qualcosa e consiglio di utilizzare password più sicure / un gestore di password ecc.

Penso che questa sia una cosa ragionevole da fare.

Con questo in mente, volevo solo vedere se lo stesso schema è stato utilizzato per altri tipi di risorse come l'indirizzo e-mail, gli account di hosting, ecc. e sì, lo erano.

Sì, sicuramente non farlo. È contro la legge e potresti finire con una fedina penale sporca se il tuo datore di lavoro lo scoprisse.

Dicendo loro che finiresti per rivelare le azioni che hai intrapreso per ottenere tali informazioni e che potrebbero metterti nei guai.

Se vuoi istruirli sull'importanza di password complesse potrebbe essere in grado di farlo senza divulgare ciò che sai.

Anche se sono d'accordo con gli altri sul fatto che sei andato troppo oltre nel sondare la sicurezza e che non dovresti dire al tuo datore di lavoro delle password / dei sistemi che hai compromesso, penso che tu abbia la responsabilità di dire loro che le loro pratiche di sicurezza sembrano essere poveri e chiedi il loro permesso per indagare ulteriormente.

(ma assicurati di avere il permesso per iscritto, fuori sede prima di andare avanti)

Onestamente, tutto dipende dalla personalità del tuo capo e da quanto vi conoscete / vi fidate l'uno dell'altro. Ci sono molti datori di lavoro a cui non importa di meno dei loro dipendenti e che trarrebbero vantaggio da tale situazione facendoti causa, ma allo stesso tempo ce ne sono molti che sarebbero molto grati per questo consiglio e ti farebbero amicizia per fare un lavoro extra.

Potresti dire qualcosa sulla falsariga di "Stavo guardando i tutorial sulla sicurezza della rete e mi chiedevo se il sistema qui avesse tali difetti" o, in caso contrario, potresti trovare un dipendente affidabile che lo dica, il che probabilmente sarebbe più accettato dal tuo capo.

E infine, c'è sempre l'approccio del non dire niente e fai semplicemente il tuo lavoro, fatti gli affari tuoi e dimenticalo. Sembra sbagliato, ma oggigiorno ci sono troppe persone cattive che vogliono trarre vantaggio da azioni veramente buone (come evidenziare i difetti nella sicurezza di un'azienda) che non vale davvero la pena rischiare di andare in prigione e pagare multe per aver cercato di essere un gentile persona.

L'unico che può fare una mossa sei tu, e tutto dipende da quanto è buono il tuo giudizio sulla personalità delle persone.

E infine, c'è sempre l'approccio del non dire niente e fai semplicemente il tuo lavoro, fatti gli affari tuoi e dimenticalo. Sembra sbagliato, ma oggigiorno ci sono troppe persone cattive che vogliono trarre vantaggio da azioni veramente buone (come evidenziare i difetti nella sicurezza di un'azienda) che non vale davvero la pena rischiare di andare in prigione e pagare multe per aver cercato di essere un gentile persona.

Ed è esattamente quello che dovresti fare. Se dici una parola, anche un suggerimento, a qualcuno - chiunque !, non solo il capo, o altri in quell'azienda - stai mettendo la tua sicurezza e libertà nelle sue mani. Tieni la bocca chiusa, fai il tuo lavoro e vai da qualche altra parte a lavorare dopo aver concluso il tuo contratto. La tua situazione è pericolosa . I pubblici ministeri vengono ricompensati per il numero di condanne, non per il male dell'autore.

Dipende dalla personalità del tuo capo. È intelligente, intelligente e comprensivo? Se sì, allora puoi dirglielo. Questa non sarà la causa per licenziarti o degradarti per caso. Invece, potresti essere ricompensato per il tuo talento e chissà, potrebbe essere anche una promozione.

Ma se la personalità del tuo capo è piuttosto ordinaria, allora dimenticalo.

Prova a chiedere loro la password, a causa di blah blah blah. Se sanno che conosci la password, puoi dire loro che non è sicura e, molto probabilmente, accetteranno di cambiarla! E poiché hai ottenuto la password in modo "corretto", sarai FINE.

Nota: prendi tutto ciò che è stato detto con le pinze, sto cercando di fornire un punto sul motivo per cui potresti non aver bisogno di una sicurezza elevata, ma ciò non significa che non dovresti avere alcuna sicurezza.

Potrei fare l'avvocato del diavolo qui, ma la sicurezza è un rischio contro una ricompensa.

Quindi avere una password debole potrebbe non comportare molto, nel peggiore dei casi alcune ore di rallentamento se qualcuno ottiene l'accesso al sistema IT.

Ma lui dimentica la password "h1Ed4H £ 2h ~ zE {G ~ b # 1 $ ù% µ454" e / o perde 5-10 minuti al giorno inserendola e essere frustrato perché sbaglia un paio di volte sarebbe probabilmente peggio a lungo termine.

Quello che voglio dire è che a volte siamo coinvolti in una paranoia della sicurezza e dimentichiamo che il rischio che qualcuno sia disposto ad attaccare l'azienda non è molto in alto, e anche un guasto IT completo può significare solo dover tornare alla carta per pochi giorni.

Per quanto riguarda come gestirlo, suggerisco di parlare casualmente con il tuo capo della sicurezza IT e se dimagrisce ks è importante o no. Puoi discutere se i tuoi punti tengono.

Se il tuo capo concorda sul fatto che la sicurezza IT è importante, potresti chiedergli se puoi indagare per vedere se ci sono problemi con la sicurezza. Fai quello che hai fatto, coscienziosamente e riferiscigli via e-mail ogni problema che trovi, quale rischio significa e come / quanto risolverlo.

La maggior parte delle volte arrivano i problemi con la sicurezza IT non da fonti esterne, ma da (ex) dipendenti con rancore, quindi probabilmente è per questo che non vuole che tu ottenga le password.