Céges internet használat totális megfigyelése és a jelszavak megszerzése

Közösségi kerekasztal

A kérdésem, mennyire legális? (pl 5-10 fős legénység minden internetes tevékenységének naplózása és az összes jelszavának visszafejtése). Ha nem egészen akkor ki kerülhet bajba a cég vagy a megbízott informatikai vállalkozó?

Létezik-e erre a célra routeren futtatható alkalmazás?

Nem azonos súlyú de biztos problémás tevékenység: https://jogaszvilag.hu/vilagjogasz/titokban-figyelte-alkalmazottait-a-f…

De ezek szerint, nem csak én ismerek olyan jól fejlett munkáltatót aki "csak egy jól irányított diktatúrát tud elképzelni":)

Esetleg valakinek van pozitív/negatív tapasztalata a kérdéssel kapcsolatban?

  • 2143 megtekintés

( tygryss | 2021. 03. 26., p – 01:10 )

Szerkesztve: 2021. 03. 26., p – 01:11

Ez csak szubjektív vélemény, de a naplózás még lehet OK, bár mindenképpen barátságtalan lépés és szerintem valamit ilyenkor alá szoktak íratni a dolgozóval.  Ellenben a jelszavak visszafejtése az nagyon nem OK. Szerintem az már lehet büntetőjogi kategória. Véleményem szerint akkor az informatikusnak meg kell tagadnia a feladatot. Ott nem lehet kifogás, az főnöki utasítás volt. Elrugaszkodott példa, de ha az a főnök utasítása az, akár még írásba is adja, hogy üssél el x embert a munkaidődben, attól még az elkövetőt is előveszik, az más kérdés, hogy talán valami csekély enyhítő körülmény lehet, hogy anyagi függőség...stb., meg akkor a főnököt is előveszik. Gondolom a jogászok majd kicsit jobban körbejárják a témát, ez csak az én magánvéleményem. Erkölcsileg mindenképpen kifogásolható. Én már a naplózásnál felmondanék.

Valahogy így gondoltam én is, javasoltam az OpenDNS naplózását, szűrését. De valószínű ez meg sem közelíti az adott feladat végrehajtásának az eredményét.

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

Normális cégnél ez be van jelentve, hogy biztonsági szempontok miatt bontják a HTTPS-t, (kivétel listákat is létrehozhatnak pl bank, vagy URL kategoriák, elég rugalmasan lehet szerkeszteni, hogy mit ne bontson) de ha fw MMM be van rakva, akkor kell is másik Cert amivel vissza is titkosítja, hogy azért nah mégis  ne http formában dobja tovább az fw...

Viszont chrome amibe be van égetve a google certjei nagyon hisztizni fog emaitt. Syslog-ng -ben is vannak built in pharserek amik on-the-fly a kényes adatokat anonymizálni tudják.

A bankot nem jóindulatból nem bántja. Hanem az EV cert-öt nem tudja spoofolni a paraszt, mert a böngésző egyből sírni fog.

Egyébként kurva nagy relevancája van a https forgalom visszafejtésének 2021-ben, amikor mindenkinek a zsebében ott van a mobilnet.

Nem tudom, hány helyen van még EV cert, de nem jellemző, hogy a böngészők sírnak. Tetszik az általánosításod is, annak idején, amikor nálunk bevezették/bevezettük, nem technikai kérdés volt, hogy a finance illetve a merchant kategóriát helyből nem bontottuk. De persze mindenki magából indul ki.

A https forgalom visszafejtése nem azért kell, mert mndenki mindent látni akar, hanem víruskeresésre, szóval igen, van relevanciája, csak nem azért, amire te gondolsz.

Nem, ennek a böngészőben lenne a helye, ott megvan a forgalom cleartextben.

Nem vagyok Windows (security) guru, ezért nem tudom, hogy ez az "iparág" eljutott-e már ide. De műszakilag ez a megfelelő hely erre a feladatra.

Mondjuk még megfelelőbb megoldása a problémának a Linux.

Van igazság abban amit mondasz, de nem, ez nem ennyire egyszerű, hogy annak ott a helye. Egyébként leginkább azért nincs ott, mert a böngésző gyártók nem adnak ilyesmihez értelmes APIt, mert féltik az adatot, így aztán max azzal főzhetsz, amit ők csinálnak, az meg enterspájz környezetben nem mindig megfelelő, szóval a kliens oldali security suiteok taknyolnak körbe, meg nyulkálnak be, ahogy tudnak. És időnként masszívan szarul.

És továbbra is, bőven vannak műszaki érvek amellett, hogy ez ne a kliensig menjen le.

szóval a kliens oldali security suiteok taknyolnak körbe, meg nyulkálnak be, ahogy tudnak. És időnként masszívan szarul.

Pont ezért nem szeretem a víruskeresőket. Taknyolás, gányolás az egész, gyakran növelve a kockázatot. Egy mítoszra épül kb. a marketingjük, ami még a DOS-os időkre nyúlik vissza.
Win alatt én csak a Windows Defendert támogatom (vagy most épp hogy hívják). Az legalább korrekt módon teszi a dolgát.

Hát, az valóban nem lesz ott. Bár nem tudom, mikor nézted utoljára, 2019 második felében döntött úgy kb mindenki, hogy nem írja ki EV cetreknél se a lakat mellé a nevet, mert a usereket úgy se érdekli / veszik észre ;) Jelenleg kb annyi a különbség, hogy ha a lakatra kattintasz, akkor megjelenik a cég egy külön sorban, ha meg nem EV, akkor csak az, hogy jó a cert.

Illetve mivel ilyesmiről úgyis tájékoztatni kénytelen a cég a dolgozót, ezért akinek hasfájást okoz(ott), hogy nincs ott a név, annak szépen elmondták, hogy miért ilyen, és ha nem tetszik, ne netbankolj. Volna, de akit én láttam, azok jellemzően azért nem bontották ezeket, mert ez kifejezetten problémás lett volna az alkalmazottak számára, és úgy dönötöttek, hogy ez a kockázat belefér.

Persze, és nyilván ezzel a gondolatmenettel előbb-utóbb mindenkire kivételt kell definiálni, mert kb. mindenkinek lesz olyan személyhez kötött jelszava, amihez felelősség is tartozik, és ha az illető bármikor joggal mondhatja azt, hogy nem ő használta a jelszavát, na akkor hogyan fogod a felelősséget behajtani?

Egy belső céges infrastruktúrában az IT kezeli a usereket, az esetek jelentős részében tudja őket inpersonálni, továbbá kezeli az összes logot, meg kb általában azt telepít a kliensedre, amit akar (ja, pl akár egy csinos keyloggert is), amire egyébként hivatkozhatnak egy ilyen "nem én használtam a jelszavamat, biztos a gonoszok ellopták" esetben, szóval ennek a problémának semmivel nincs több köze a https bontáshoz, mint általában az IT és az alkalmazott viszonyához. Marad az, hogy ha vita van, akkor a cégen belül majd a főnök eldönti, kinek van igaza, ha meg a vita cégen kívül kerül, akkor meg a cég majd bemutatja a processzeit, a tanúsítványait, azt, hogy pl hogyan monitorozza a rendszergazák tevékenységét, hogyan kontrollálja, hogy ki férhet hozzá ilyen érzékeny adatokhoz, meg hogy egyáltalán elérhetőek-e ezek az adatok a rendszerében (az ugyanis, hogy bontja az otp.hu irányában az sslt még egyáltalán nem jelenti azt, hogy ki is hámozza belőle a jelszót) aztán majd a bíró eldönti, hogy elhiszi-e a kedves usernek, hogy "neménvoltam, biztos ellopta a cég".

De mint mondtam, pontosan emiatt szokták az ilyen szempontból csücskös siteokat nem bontani, nem azért, mert "az EV cert-öt nem tudja spoofolni a paraszt", ahogy a kolléga mondta.

nem tudom, mikor nézted utoljára, 2019 második felében döntött úgy kb mindenki, hogy nem írja ki EV cetreknél se a lakat mellé a nevet

True that. Megnéztem Firefoxban és Chromeban, már egyik se mutatja. :(
Újabb szeg a júzertudatosság koporsójában.

Mindig ez a fedősztori, hogy a ,,vírusok" miatt kell a kapcsolatot visszafejteni. Szerintem az ok nyilvánvalóan nem ez. Hanem a kényszeres vágy a megfigyelésre, aminek szerintem több pszichológiai oka is lehet.

True that. Megnéztem Firefoxban és Chromeban, már egyik se mutatja. :(
Újabb szeg a júzertudatosság koporsójában.

Hát, ha jól értem, épp most prezentáltad, hogy te, mind tudatos user több mint egy éve nem vetted észre, szóval sok haszna nem volt. Szerintem az egy nem jól elsült kísérlet volt, hogy az egész, egyébként rohadt bonyolult PKIt megpróbálták 1 bit helyett kb kettőn a user arcába dugni. (Végtelenül szórakoztató egyébként, hogy ha valami baj van, akkor fehér ember számára értelmezhetetlen hibaüzenetek vannak, pedig éppen lehetne akár egy normális, olvasható magyarázó oldal is helyettük)

Mindig ez a fedősztori, hogy a ,,vírusok" miatt kell a kapcsolatot visszafejteni. Szerintem az ok nyilvánvalóan nem ez. Hanem a kényszeres vágy a megfigyelésre, aminek szerintem több pszichológiai oka is lehet.

Meghajlok érveid nagysága előtt, nyilvánvalóan nem ez az oka senkinek :) 

Ritkán szoktam már böngészőből netbankolni, mióta jók lettek az appok.

Végtelenül szórakoztató egyébként, hogy ha valami baj van, akkor fehér ember számára értelmezhetetlen hibaüzenetek vannak

Teljesen egyetértek Veled abban, hogy az egész közel egy nagy kalap szar. A júzerek többsége nem akar elmerülni a PKI rejtelmeiben, legfeljebb tudni szeretné, biztonságos-e a kapcsolata. És ha nem akkor miért nem, illetve milyen kockázata van mindennek.

Szép volna egy transzparens rendszer. Az ugye mégsem korrekt, hogy ott van a kis lakat egy visszafejtett és újracsomagolt, tulajdonképpen MITM támadást elszenvedő kapcsolat esetén is. Történjen ez akár proxy-n, akár localhost-on.

Szerencsére nálunk sikerült leépíteni a mindent megfigyelni akarást, és felépíteni egy oktatási programot. Csaknem három év után eljutottunk odáig, hogy tök nem IT-s vénájú emberek simán kinyomták a picsába a levelezőrendszer frissítését, mert nem szóltak időben, hogy jönni fog. És pontosan úgy cselekedtek, ahogy tanulták: semmi gyanúsat vagy váratlant nem grantolunk. Illetve sokan egyből törlik a corporate hírlevelet, mert más domainről jön. Szerintem ez nagyon nagy eredmény. Mert egy rakás ,,hülyét" nem lehetne megvédeni sehogy, semmivel.

ott van a kis lakat egy visszafejtett és újracsomagolt, tulajdonképpen MITM támadást elszenvedő kapcsolat esetén is.

És ha figyelmetlenek így a self signed vagy a lejárt tanúsítványú weboldalból is megbízható (zöld) lakatos oldalt tudnak kreálni. Anno ilyen oldalak használatakor vettük észre, hogy a központi tűzfal belenéz a https-be. (Arról hogy mindent megfigyelhetnek rég aláíratták az emberekkel a papírt, viszont mikor ezt bevezették a tűzfalon arról nem tájékoztattak külön.)
--
Légy derűs, tégy mindent örömmel!

Ritkán szoktam már böngészőből netbankolni, mióta jók lettek az appok

Egész sok mindenen volt azon kívül is EV cert, ameddig épp presztízse volt neki. 

A júzerek többsége nem akar elmerülni a PKI rejtelmeiben, legfeljebb tudni szeretné, biztonságos-e a kapcsolata. És ha nem akkor miért nem, illetve milyen kockázata van mindennek.

Igen, viszont sajnos ehhez muszáj elmerülni valamennyire abban, hogy hogyan működik a PKI, mi mire való, és mit garantál. És természetesen lehetne ezt sokkal közérthetőbben magyarázni, ha rosszmájú lennék, leginkább azért nem teszik, mert akkor egyszeri ember is megértené, hogy mekkora része igazából nem technikai védelem :) Pl kiderülne az EV certekről, hogy attól jobb a DVnél, mert valami számodra jellemzően faszsetudja cég, aki a gugli/mozzila/apple szerint tuti jó fiú azt mondja, hogy cserkészbecsszó megnéztem a a papírokat. :)

Szép volna egy transzparens rendszer. Az ugye mégsem korrekt, hogy ott van a kis lakat egy visszafejtett és újracsomagolt, tulajdonképpen MITM támadást elszenvedő kapcsolat esetén is. Történjen ez akár proxy-n, akár localhost-on.

Ugyan értem, miért mondod, de igazából de, ez a korrekt. Technikailag az a helyes megoldás, hogy ha te megbízol abban a certben, akkor az jó. A probléma leginkább abban van, hogy a rendszer külső szereplőin elég sok múlik. Őszintén szólva engem azt hiszem jobban zavar az, hogy igazából a trust feletti kontrolt mint user egyre jobban csavarják ki a kezemből. Ha a nagyok szerint jó, akkor jó, ha viszont én úgy döntök, hogy mást szeretnék, akkor vagy hagyja a böngésző, hogy elmagyarázzam neki, vagy nem. És egyre inkább nem, az értelmes beállítási lehetőségek, amikre bőven lenne lehetőség, meg sosem voltak ott.

Szerencsére nálunk sikerült leépíteni a mindent megfigyelni akarást, és felépíteni egy oktatási programot. 

Az oktatás, és a userek tudatosítása nagyon fontos, ebben egyetértünk, és rengeteg helyen ezt messze nem csinálják elég jól. Viszont értem, hogy szerinted mindenki csak hatalommániás kukkoló, de hidd el, hogy ennél sokkal árnyaltabb a kép. Egy cégnek valóban jól felfogott érdeke, hogy kontroll alatt tudja tartani a hálózatát, feltűnjön ha baj van, és igen, ahogy te alkalmazottként nem hiszed el neki, hogy nem csak kukkolni akar, miért gondolod, hogy neki bemondásra el kell hinni, hogy mindenki rendes gyerek, betartja a policyt, és még csak véletlen sem lop? Namost, ha átlagban a forgalom túlnyomó része web, az meg https, akkor azért érzed, hogy ennek vizsgálata nélkül elég vakrepülés.

És egyébként időnként a technikailag egyre nehezebben mókolható rendszerek fonák módon időnként visszafele hatnak. Pl jelenleg még ha csak domaint akar szűrni valaki, akkor általában elég belenézni az SNIbe a tűzfalon, aztán ha látja, hogy pornhubdotcom, akkor elkaszálja, ha nem, akkor nem állok bele a TLSbe. Ha bejön az encrypted SNI, akkor ha ilyet akar, kénytelen lesz beleállni. És persze ettől még az ecrypted SNI jó dolog, nem tud pl az ISPd profilozni (majd profilozik a DNSből, hehe), de a vállalati környezeteknek egyébként vannak olyan jogos igényeik, amiket conflictban vannak a jelenleg őket leszaró még néhány nagyvállalatnak az igényeivel.

Pl kiderülne az EV certekről, hogy attól jobb a DVnél, mert valami számodra jellemzően faszsetudja cég, aki a gugli/mozzila/apple szerint tuti jó fiú azt mondja, hogy cserkészbecsszó megnéztem a a papírokat.

Meg az, hogy EV cert-öt nem adhat ki boldog-boldogtalan. És hard-coded a rendes böngészőkben a CA lista.

Technikailag az a helyes megoldás, hogy ha te megbízol abban a certben, akkor az jó.

De én nem bízok meg abban a cert-ben, hanem lenyomják a gépemre. Én end-to-end titkosítást és autentikációt szeretnék.

jobban zavar az, hogy igazából a trust feletti kontrolt mint user egyre jobban csavarják ki a kezemből

Egyfelől jogos a reklamáció, csak a júzerek többsége nem volt tudatos. Simán rákattintott mindig automatikusan a Nem érdekel, akkoris gombra, a nélkül, hogy akár felfogta volna, mi van. Ezért történik most ez.

Egy cégnek valóban jól felfogott érdeke, hogy kontroll alatt tudja tartani a hálózatát, feltűnjön ha baj van

Ez mindaddig igaz szerintem, amíg a saját infrát figyelik, hogy nincs-e betörési kísérlet vagy furcsa aktivitás. Az alkalmazottak web forgalmazása szerintem ebbe nem tartozik bele.
Az oké, hogy malware domain list alapján kapásból reject-el a tűzfal, de a kapcsolatok figyelése, monitorozása, logolása számomra már véleményes.
Ez a jujjtiltsukapornótmegafészbukkot megint csak arról szól, hogy nem kezelik értelmes lényekként az alkalmazottakat. Aki tróger az tróger lesz így is, legfeljebb a telefonján faszbúkol vagy nézi a redtube-ot. Lopni is lehet egy csomó más módon, amit nem tudsz a tűzfallal megakadályozni.

A munkáltató-munkavállaló kapcsolat bizalmi kapcsolat. Nekem az a tapasztalatom, hogy minél inkább tisztelettel és értelmes lényként kezeled a másikat, annál inkább úgy fog hozzáállni ő is.
Lopni az alkalmazott mindig tudni fog, ezt nem tudod megakadályozni. Ezért különösen fontos a bizalom építése, hogy kialakuljon, kialakulhasson a lojalitás.

A saját infra védelmével és monitorozásával (ki milyen céges dokumentumhoz vagy adathoz fér hozzá, illetve próbál hozzáférni), akár honeypot-ozásával továbbra sincs bajom.

Meg az, hogy EV cert-öt nem adhat ki boldog-boldogtalan. És hard-coded a rendes böngészőkben a CA lista.

Pont ezt mondom :)

De én nem bízok meg abban a cert-ben, hanem lenyomják a gépemre. Én end-to-end titkosítást és autentikációt szeretnék.

Persze, de erről a technika nem tud. Ő azt tudja, hogy ott a cert, akkor jó. Az, hogy te abban nem bízol, az érdemben semmiben nem különbözik attól, hogy bízol-e abban, amit odatett a böngésző/os gyártója.

Ez mindaddig igaz szerintem, amíg a saját infrát figyelik, hogy nincs-e betörési kísérlet vagy furcsa aktivitás. Az alkalmazottak web forgalmazása szerintem ebbe nem tartozik bele.

Mmint a nagyrésze webforgalom, nehéz benne furcsa aktivitást keresni, ha nem tudsz belenézni.

Az oké, hogy malware domain list alapján kapásból reject-el a tűzfal, de a kapcsolatok figyelése, monitorozása, logolása számomra már véleményes.

A furcsa aktiviásokhoz kell historikus adat. Nem is kevésszer konkrétan törvényi előírás, hogy legyen ilyen.

Ez a jujjtiltsukapornótmegafészbukkot megint csak arról szól, hogy nem kezelik értelmes lényekként az alkalmazottakat. Aki tróger az tróger lesz így is, legfeljebb a telefonján faszbúkol vagy nézi a redtube-ot. Lopni is lehet egy csomó más módon, amit nem tudsz a tűzfallal megakadályozni.

Ez csak az egyik fele. A másik az, hogy a porno és egyebek komoly kockázatot tartalmaznak arra nézve, hogy valaki beszop közben valami szart, és az elkezd menni bent. A telefonján ez kevésbé fáj. Illetve az sem teljesen mindegy, hogy mondjuk a rendes üzletmenet lassú, mert mindenki a youtuberól hallgat zenét, vagy ezzel szórakoztassa a saját cuccán.

A munkáltató-munkavállaló kapcsolat bizalmi kapcsolat. Nekem az a tapasztalatom, hogy minél inkább tisztelettel és értelmes lényként kezeled a másikat, annál inkább úgy fog hozzáállni ő is.

Ezzel egyetértek, de ez nem mond ellen annak, hogy az ember csináljon ilyeneket, normális keretek között. Hidd el, a legtöbb rendszergazda le se szarja, milyen pornóra gerjedsz.

A youtube-on való zenehallgatástól nekem is hullik a hajam.

A furcsa aktivitást szerintem nem a dolgozó (kifelé történő) webforgalmában kell keresni.
Persze a shit forgalmat nem kellene ugye átküldeni a drága bérelt vonalon a nyugat-európai proxy felé, hanem el kellene engedni a picsába helyi provider felé (amin a guest network is megy pl.), olcsón és nem a core infra elől foglalva a sávszélt.

A pornóval se maga a videostream hozza be ugye a szart, hanem az oldalon valamelyik más objektum (amire egyébként volt már példa New York Times oldalán is, az ad szerveren keresztül, ha jól emlékszem). Ezzel nem azt akarom mondani, hogy a munkahelyen feltétlenül pornót kell nézni, csupán annyit, hogy jobb magára a valódi problémára koncentrálni.
Egyébként is egy zsákutcának tartom ezt a ,,vírusvadászatot". Ideje volna megoldani, hogy ne tudja valami a böngészőn keresztül takelni az egész rendszert, mert ez így nagyon gáz. Mindig lesz olyan vírus vagy exploit, amit nem tudsz kiszűrni.

Nem akarok okoskodni, szerencsére már rég nem üzemeltetek. Csak pár gondolat.

A youtube-on való zenehallgatástól nekem is hullik a hajam.

Faja, és hogyan lehet korlátozni, ha nem nézhetsz bele? Mármint az összes ilyen elosztott cloudos izénél IP cím alapján good luck. (És egyébként fun fact, én hallottam már olyan konkrét igényt, hogy "nem akarnék én kibaszni a csajokkal, de meg tudnánk oldani, hogy a video streamet kivegyük, vagy legalább a paramétereket átpöcögtessük low qualityre?"

A furcsa aktivitást szerintem nem a dolgozó (kifelé történő) webforgalmában kell keresni.

Hát, pedig egyrészt elég sok dolgot onnan lehet észrevenni, hogy éppen kifele mi történik. Másrészt meg az igazából nem kifele irányul, hanem befele :)

Persze a shit forgalmat nem kellene ugye átküldeni a drága bérelt vonalon a nyugat-európai proxy felé, hanem el kellene engedni a picsába helyi provider felé (amin a guest network is megy pl.), olcsón és nem a core infra elől foglalva a sávszélt.

Nagyszerű, és segíts kérlek, mégis hogyan, ha csak annyit szabad belőle megnézni, hogy valami tls? Illetve mellékzöngeként, egymás tiszteletben tartása mellett is lehet az a cég véleménye, hogy a céges laptopról ezt ne csináld, mert olcsó vonalat se akar neked ezért a segged alá tenni, meg pl a guest network sem azért van, hogy az üzleti partner demoja szaggasson, mert mancika zenét hallgat, szóval inkább mégiscsak szűrné.

A pornóval se maga a videostream hozza be ugye a szart, hanem az oldalon valamelyik más objektum (amire egyébként volt már példa New York Times oldalán is, az ad szerveren keresztül, ha jól emlékszem). Ezzel nem azt akarom mondani, hogy a munkahelyen feltétlenül pornót kell nézni, csupán annyit, hogy jobb magára a valódi problémára koncentrálni.

Igen, és ha a határvédelmi eszköz bele tud nézni, akkor a NYTból pont ugyanúgy bassza ki a malewaret, mint a pornósból.

Egyébként is egy zsákutcának tartom ezt a ,,vírusvadászatot". Ideje volna megoldani, hogy ne tudja valami a böngészőn keresztül takelni az egész rendszert, mert ez így nagyon gáz. Mindig lesz olyan vírus vagy exploit, amit nem tudsz kiszűrni.

Hát, csak viszonylag hatékony víruskergetést tud venni a cég, ideje volnát meg nem. De egyébként messze nem csak a vírus miatt van értelme ilyet csinálni. És egyébként attól, hogy ilyet csinál az IT még nem jelenti azt, hogy mást ne csinálna :)

Szerintem a youtube, videa, stb. simán domain alapján szűrhető, még ha beágyazott is.

Kicsit konkrétabban? :) Mármint persze, még bele lehet nézni az SNIbe, mert egyébként a domain név alapú tűzfalazás nem egy könnyű eset, ti az IP csomag már mit sem tud róla. Ha meg a dns szerverben dobom ki, annak a granualitása nem az igazi. Arról nem beszélve, hogy a gugliék ugye a DNS over HTTPSsel azt a csodát is elkezdték játszani, hogy "leszarom, hogy mi a dns beállítás az OSen, majd a böngésző akkor is jobban tudja"

Szerintem a jelszavak "megismerése" legális egy cégnél. Azzal való visszaélés már nem. Ez egy legális termék és reális elvárás a munkaadó oldaláról, hogy védje a céges szellemi tulajdont. Például ne pusholja ki a céges fejlesztések kódjait egy renitens dolgozójuk otthoni git szerverére. A drákói tűzfalas korlátozás visszavetheti a hatékonyságot. Viszont köteles tájékoztatni a munkavállalóit. Valószínűleg ez már önmagában visszatartó tényező. 

Engem nem érdekel, hogy legális-e. Szerintem már magának a jelszónak a tárolása is problémás. Csak a hash-ét szabadna bárhova letenni.

Azt ugye nem gondolod komolyan, hogy meg lehet akadályozni, hogy egy fejlesztő másolatot készítsen arról a kódról, amin dolgozik?
Akiben ez felmerül, az nagyon-nagyon el van tévedve.

Ez egy bizalmi kapcsolat. Ha hozzám így állnak (nem bíznak bennem), juszt is ellopok mindent, már csak a biztonság kedvéért is. Volt olyan munkahelyem (hamar ott is hagytam), ahonnan minden nap végén ment a tarball scp-n saját szerverre. Ha letiltod az scp-t, megoldom máshogy. Ne legyenek illúzióid. Ez a szakmám.
Ha normálisan állnak hozzám, én is normálisan állok a dolgokhoz.

Lehet, hogy olyan emberekkel kellene dolgoztatni, akikkel szemben nincs ok bizalmatlannak lenni. Szerintem a legtöbb iparág amúgy is kiveti magából a tisztességtelen játékosokat.

Egy jól beállított protocol elemző FW, eléggé meg tudja nehezíteni a dolgot ami még a programról is meg tudja mondani, hogy mi is  (detector service), + egy jó helyre betett scb.

Persze az ember kreatív és próbálkozhat amíg észre nem veszik..

"Volt olyan munkahelyem (hamar ott is hagytam), ahonnan minden nap végén ment a tarball scp-n saját szerverre. "

Es meg panaszkodsz, hogy nem biznak benned? Latod, pont az ilyenek miatt paranoid egy csomo ceg, es akar teljes kontrollt es ralatast az alkalmazottak tevekenysegere.

Ok, ertem, te nem akartad ellopni a cuccot, csak ugy "a biztonsag kedveert" vitted ki. Mi lett volna, ha toled viszont lenyulja valaki, mert mondjuk van egy nagy lyuk az otthon hobbibol uzemeltetett szervereden?

Hihetetlen vagy...

Szerintem túl van ez parázva.

Egy pszichopata állat volt a főnökünk, sosem tudhattad, mit hoz a holnapi nap. Ott még bizonyítékként is szükség lehetett a saját kódom adott napi verziójára. Mert soha nem a hibát kereste, mindig a hibást. Délutánokat töltöttünk az aktuális bűnbak commitjainak ellenőrzésével. Még szép, hogy van minden állapotról mentésem, ki tudja, mit akar majd rám varrni, ha elfogy a gyógyszere.
Aztán meg volt lepődve, amikor sorban otthagytuk a picsába. Kb. azok maradtak ott évekig, akik ugyanolyan betegek voltak.

Érdekes, a jelenlegi helyemen normálisan bánnak az emberekkel. Nem is alakulnak ki efféle védekezési reflexek.
Itt az oktatásra fordítanak energiát, elmagyarázzák, mikor mi a helyes magatartás és miért. Illetve milyen veszélyek leselkednek, és ezeknek milyen következménye lehet, ha beszopod. És utána megbíznak benned. Naná, hogy rá akarok szolgálni a bizalomra.
Ez így működik. Pszichológia.

Amikor szorítod a hurkot az alkalmazott nyaka körül, azzal a védekezési ösztöneit korbácsolod fel. Ha eleve potenciális hazug csalóként kezelsz valakit, bele fog találni a szerepbe.

Ha tiltasz, hazudni tanítasz.

Így igaz. Ennek van még egy rosszabb fokozata is, amikor a főnök nem ért az egészhez, hanem csak azt látja, hogy mennyi pénzbe fáj az egész informatika, és ahhoz képest milyen lassan készülnek el a dolgok. (Illetve pontosítok: minden főnök ezt látja :-))

Mivel nem ért hozzá, keresi, hogy hol tudja olcsóbbá tenni. A kedvencem az volt, amikor még a 90-es években az új munkahelyemen egy kb. 10 PC-ből álló "hálózatra" (koaxos Ethernet, ilyesmik) az előző rendszergazda azt állította, hogy abban óriási potenciál van, és a cégnek a szabad kapacitásait piacra kellene dobnia. Mikor beléptem oda, a főnök ezzel fogadott, hogy mérjem fel ezt a potenciált. Először azt hittem, hogy van a cégnél egy mainframe vagy legalább egy unixos gép, ami nincs csúcsra járatva. Aztán kiderült, hogy egy rohadt PC-s szerver sincs, mert azt az elődöm darabokban kilopta a cégtől, és a leltári szám egy őskövület XT-re lett ráragasztva :-) Végül a szabad erőforrások megosztása címén két üzemképtelen 9 tűs Epson mátrixnyomtatóból összehoztam egy működőt, amit a főnök boldogan hazavitt, én pedig felmondtam...

A jelszavak megismerése semmilyen szempontból nem indokolható. Ha a user felelősségre vonható azért, amit csinál, akkor a jelszó ismeretében bármit el lehet követni és ráfogni a userre. Az, hogy milyen tartalmat küld a user és hova, az felderíthető a user jelszavának ismerete nélkül is, így a jelszó ismerete semmivel nem védi jobban a céges szellemi tulajdont.

( st3v3 v | 2021. 03. 26., p – 03:01 )

adsz nekik céges managelt eszközt amihez a leírásba belerakod hogy az előtte ülő hajszálainak számát is számontartja. Majd futtathatsz rajta olyan keyloggert meg miegyebet amit csak akarsz.

Hogy ebből mi normális, mi etikus és mi jogos az három különböző kérdés :)

szerintem segít az adott potenciális munkavállalónak, ha a szerződés elején ott vannak ezek a dolgok felsorolva: gyorsabban meg tudja, hogy szeretne-e ilyen helyen dolgozni avagy sem :D. Illetve van akinek csak ez számít: beárazhatja, hogy ilyen feltételek mellett is akar-e pl..

Hasonlo temakorben (iskola, tantermi gepek) kerekedett itt mar errol egy vita. Szerintem a problema megoldasa tovabbra is az, hogy a ceg penzen munkavegzes celjabol vasarolt eszkozoket munkavegzesre hasznalod, es ez a problemakor fel sem merul, mert nincs mit naplozni. Facebookra, magan levelezesre, rosszlanyok.hu-ra meg hasznalja mindenki a sajat laptopjat, mobiltelefonjat. Igy 2021-ben ez mar technikailag is barhol megoldhato, es az ara sem vag foldhoz.

Ebben egyetértünk:)

Szerintem viszont mint az élet más területén is a megelőzés a járható út. Lakást sem hagyom nyitva tárva, azért hogy majd a titkos rejtett kamerámmal felveszem a betöröt:)

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

Szerintem a problema megoldasa tovabbra is az, hogy a ceg penzen munkavegzes celjabol vasarolt eszkozoket munkavegzesre hasznalod

Ezzel én nem értek egyet. Nem akarok sem két telefont, sem két laptopot, sem két semmit cipelni, logisztikázni és elhasználni.
Nem csak az ára itt a lényeg, hanem a kényelmetlenség és a felesleges hulladéktermelés is szempont nekem.
Ugyanígy privát eszközöket (nem feltétlenül IT, hanem bármilyen műszer is) szívesen használok a munkámhoz is, nem vetetek belőle külön még egyet a céggel is. Ahogy szívesen invesztálok is minden olyasmibe, ami a szakmámban segít fejlődni. Mert nem az elvárható minimumot akarom teljesíteni, hanem komolyan veszem.
Én nem akarom ezeket a dolgokat különválasztani.

Ebben az esetben az a megoldas, hogy olyan munkaltatot keresel, aki osztja a nezeteid. Vagy akit meg tudsz gyozni.

En mar csak azert sem keverem a munkahelyi dolgaimat a cegessel, hogy nehogy veletlenul kart okozzak, illetve akadalyozzam a munkavegzest az eroforrasok magan celu foglalasaval. Pici a valoszinusege, hogy barmelyik bekovetkezzen, de az ordog nem alszik, vagy mi, nekem meger annyit a nyugalmam, hogy fizetek egy mobilnetet.

( uid_17626 | 2021. 03. 26., p – 05:53 )

Ja a szervezet az NBH/AVH akkor szerintem ez normális.

Három betűs:) FBI, GRU, USDOD, DOD, DoD, IC, DNI, NSA, NGA, NRO, AFISRA, MI, MCIA, ONI, OICI, I&A, CGI, FBI/NSB, DEA/ONSI, INR, TFI.

Szerintem ott sem normális, mert ők foglalkoznak ezzel a tevékenységgel:)

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

Hát, szerintem a netbankom jelszavának a visszafejtése titokban az nem normális.

Amikor olyan helyen dolgoztam, ott nyilatkozni kellett arról, hogy van-e ilyen-olyan cégnél számlám, illetve vagyonnyilatkozatot kellett tenni.

3 betűs helyen azt még elfogadnám, ha bankszámla kivonatot kérnének be (akár tőlem, akár a banktól), vagy ha azt mondanák, hogy most ellenőrizni akarjuk szúrópróba szerűen mondjuk a vagyonnyilatkozatban megadott adatot, itt, előttünk légy szíves lépj be és mutasd meg a számlaegyenleget.

De a titokban feltörést max. akkor, ha konkrétan gyanusítanak valakit, nem pedig ez az alapértelmezés és mindenkinek minden jelszavát visszafejtjük.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Bocs, ezt nem értem. Mi köze a munkáltatómnak a számlaegyenlegemhez? Miért akarná ellenőrizni? Ha felmerülne benne a gyanú, hogy megloptam, akkor ő bizonyítson. Ha olyan ügyes és okos vagyok, hogy meg tudom lopni, akkor vagyok annyira okos, hogy nem arra a számlámra utalom, amelyikre a fizetésem jön :-)

Azért nem érted, mert csak az én hozzászólásomat nézed, ami a kontextusból kiragadva nem tartalmaz elég információt a megértéséhez.

Ugye 3 betűsökről volt szó.

Nem egy olyan történetet olvastam, ahol valaki pl. kenőpénzt fogadott el, és ez a zseton a számlájára került, vagy ebből lett egy drága autó, nagy ház, akármi.

Ennek az ellenőrzésére az egyik irány lehet a vagyonnyilatkozat és a számlamozgások figyelése.

Nem ezt a gyakorlatot akartam minősíteni vagy az elhárítást optimalizálni, egyszerűen annyit mondtam, hogy amennyiben ez az információ szükséges, akkor ennek az információnak a megszerzéséhez nem muszáj titokban ellopni az alkalmazott jelszavát.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Eddig két munkahely-típusnál láttam ilyesmit:

  1. "Hárombetűs". Leírtad, bele egy borítékba, pecsét rá, szekrény mélyén őrizted, T+5 évnél (?) kuka. Ha balhé van, felbontják.
  2. Finance. Nyilatkozni kellett minden olyan számláról, amin értékpapírral tudsz kereskedni. Havonta el kellett küldeni a kereskedési listádat a compliance-nek. Ha ezt (rosszhiszeműen) nem sikerült abszolválni, kirúgnak. Ha olyan brokered van (hello, IBKR), akkor lehetett read-only accountot adni a compliance-nek, és akkor nem kellett küldözgetni semmit.

Szerintem mindkettő teljesen érthető, és egyik sem igényel túl nagy erőfeszítést. Ezzel együtt megértem, ha valaki nem akar ilyesmit, akkor az válasszon másik munkahelyet. Nem szarkazmusnak szántam. Ezek ilyen iparágak, szigor van (bizonyos dolgokkal kapcsolatban, legalábbis).

3) könyvvizsgáló cégek finance ügyfelekkel: mindenkinek kell nyilatkozni, olyanoknak is, akik nem is foglalkoznak ezzel a területtel + vannak jóváhagyott szolgáltatók és vannak összeférhetetlenség miatt tiltottak. Ahol az asszony dolgozik, ott nem havonta kell bevallani, de évente azért többször.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

+1, én ezt elegánsan beleértettem a 2-es opcióba :)

Egyébként valóban, könyvvizsgálónál pl nem vehetted meg olyan cég részvényeit, kötvényeit, ami az elmúlt X évben ügyfél volt. Ha volt pozíciód, és utána lett ügyfél, akkor vagy megtartottad, vagy a compliance-tól megkérdezhetted, hogy mikor, mennyit szabad eladni.

Jelszavak visszafejtése akkor sem az. Tekintve, hogy ha a jelszavaddal visszaélnek, akkor első körben te leszel gyanús, mert biztos te csináltad, ha pedig mégsem, akkor nem vigyáztál a jelszavadra, így szintén felelős vagy. Persze másik oldala is van, ha kiderül, hogy a cég visszafejtette a jelszavaidat, akkor mindent letagadhatsz. Szóval igazából ez a cégnek se jó, mert onnantól kezdve az alkalmazotton semmi sem kérhető számon.

Így van, ahogy 1x megtörtént velem is, hogy 10x vittem fel az excel táblába xy segélyét, de valahogy mindig eltűnt.

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

( YleGreg | 2021. 03. 26., p – 11:16 )

Siman lehet legalis.

A trukk az, hogy a munkavallaloval alairatnak egy papirt, hogy tudomasul veszi a tevekenysegenek a rogziteset.

En is alairtam ilyet, leven adatkozpontbam kamera alatt dolgozok, es az altalam kezelt rendszereken az egermozgastol a billentyuleutesekig minden rogzitesre kerul.

Ez ket dolgot jelent. Munkahelyen munkahelyi feladatokat vegzek, es az adatkozpontban nem turom az orrom.

Masreszt ez nekem is jo, mert ha meggyanusitanak, hogy en okoztam valami galibat, akkor mondhatom, hogy acsi, nezzuk meg a felvetelt, vagyis tisztazni tudom magam.

Ez egy ket iranyu bizalom imho.

Tudok cégről, ahol a mai napig figyelik a dolgozókat. Mit neteznek, kivel tartanak e-mailben kapcsolatot és milyen állományokat nyitottak meg. Senkivel semmit nem íratnak alá, nem is tudatják.  A félelem állandó, hogy a beosztott céges titkokat fecseg ki, juttat el a konkurenciának. (Mellesleg megjegyzem, kettő darab ekkora cég van az országban, a többi csak nagyon kis hal.) Közben annyi kiskapu van szabadon hagyva, hogy csak az nem tudja kijátszani aki teljesen hülye. Ez húsz éve is így ment ott, amikor még tényleg volt benne ráció, de azóta sem tudtak róla leszokni.

nezzuk meg a felvetelt, vagyis tisztazni tudom magam. Ez egy ket iranyu bizalom imho.

Lehet, hogy csak én vagyok túl gyanakvó, de ez akkor lenne kétoldalú dolog, ha te a saját eszközöddel készíthetnél saját felvételt, amit te magad tárolhatsz. (Ugye, azt kisebb valószínűséggel manipulálhatják, mint a sajátjukat. Pl. meggyanúsítanak, mondod, h nézzük csak meg a felvételt; kiderül, hogy az "véletlenül" eltűnt -- hát, más nem lehetett, az ártatlanságodra nincs bizonyíték, parancsolj, a csíkos ruhád.... Lásd a "varázslatosan" eltűnt hangfelvételt a Győrkös-ügyben.)

Oké, én is az ártatlanság vélelmének híve vagyok, jobb helyeken működik (pl. szexuális zaklatós, nemi erőszakolós ügyekben, főleg nyugaton nem szokott), de ha valaki elég ügyes, elintézi, hogy csak te kerülj képbe, és hogy eltűnjön a felvétel, és akkor leszel te, mint lehetséges tettes, más gyanúsított meg nem lesz. (Egyedüliként tovább bent maradsz az irodában, valaki ezalatt VPN-ről elintézi, amit kell, a saját nyomait elrejti, így te maradsz az "egyetlen lehetséges" elkövető, a felvétel meg eltűnt, és akkor Occam-bácsira hivatkozva rajtad verik le az egészet. Elvégre más nem lehetett... Mondtam már, hogy gyanakvó vagyok? :D)

Nalunk ugy vannak szetszorva a jogok, hogy senki nem tudja masvalaki nelkul eltuntetni a nyomait.

Tudok torolni, de az torles tenyet nem tudom eltuntetni. Aki el tudja tuntetni a torles tenyet, az nem tudja eltuntetni a sajat torlesenek a tenyet. Idopecsettel ellatott blokklanc szeru audit trailrol beszelunk, illetve a logokat sem lehet piszkalni ket idopecset kozott (raadasul egyszerre tobb gepen) szoval torolni konnyu, de meguszni... Nincs otletem hogyan lehet.

Igen, viszont itt a csíkos ruha emlegetéséről volt szó, az pedig nem polgári, hanem büntetőügy. Polgári perben pedig a dolgozó anyagi felelőssége korlátozva van, hacsak nem szándékos károkozásról van szó, ez esetben viszont a szándékosságot szintén bizonyítani kell. nem elég vélelmezni.

( Wooody | 2021. 03. 26., p – 12:11 )

Szerkesztve: 2021. 03. 26., p – 12:12

-

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

( KoGa v | 2021. 03. 26., p – 12:24 )

Milyen indok van jelszavak megszerzésére? Egyrészt normális környezetben nem mész vele semmire (2FA), másrészt megfelelő jogosultság kiosztás esetén nem lehet olyan, hogy valamit csak egy adott ember jelszavával lehet elérni. Ezt így nem látom nagyon indokolhatónak. Ellenben onnantól kezdve, hogy valakinek a jelszavát tárolod valahogy, felmerül annak a kérdése, hogy ahhoz ki férhet hozzá, elegendően biztonságos-e a tárolása, stb.

Szerintem ez nem valami indoka, hanem az audit rendszer mellekhatasa.

Ha nem bontod a hataron a HTTPS -t, akkor nem latsz semmit. Ha bontod, akkor viszont a jelszot is latod benne.

Ha nem naplozod a leutott billentyuket, atvitt karaktereket, akkor egy always on top ablakkal kitakarva azt irhatnal egy parancssorba amit csak akarnal. Ha nezed az atvitt karaktereket, akkor viszont befutnak a jelszavak is.

Ez szerintem egy mellekhatas, de szerencsere kezelheto mellekhatas.

Peldaul ha az audit eszkoz ismeri a protokollt, es tudja, hogy ez most egy jelszo, vagy SSH eseten most eppen egy kulcs jon, akkor ezt az erzekeny adatot ki tudja cenzurazni, es nem irja ki az eredeti stringet.

Vagy kulon felfele es lefele stream titkositas van benne. Pl. a Balabit Shell Control Box tud olyat, hogy RDP-n ami a kepernyon latszik (vagyis felfele jon a szervertol) azt A kulccsal, ami pedig lefele megy, pl. billentyu leutesek, azt B kulccsal titkositja az audit trailbe.

Igy barki megnezheti, az A kulcs birtokaban, hogy mit csinalok, mint egy mozit, de a jelszo mezoben o is csak csillagokat lat. Ez egy tagabb kor lehet, pl. a biztonsagi csoport osszes embere.

Viszont a B kulcs csak nehany erre felkent szemely birtokaban lehet, ok azok akik azt is megnezhetik, hogy mit gepeltem amikor megjelentek a csillagok, vagy amikor kitakartam, vagy kitoltam egy ablakot a kepernyobol.

Igazabol ugy lenne szep, ha a B kulcs csak nalam lenne, amit at kell adnom ha incidens van, es akkor a jelenletemben meg lehet nezni, hogy mit tettem tavaly nyaron. De ez sajnos ott bukik el, hogy az RDP kapcsolat felvetele (es titkositva tarolasa) hamarabb elindul a B kulccsal, mint hogy beirnam a user nevemet, igy aztan indulaskor nem tudhatja a proxy, hogy kinek a B kulcsaval kezdje a titkositast.

Szoval, a jelszavak tarolasa szerintem csak egy mellekhatas, es nem maga a cel.

Hmm... Most olyanom van, hogy felveszem azt a szep kek polomat, amire narancsszinnel az van irva, hogy: "WE WATCH THE WATCHERS". :-)

Ha nem bontod a hataron a HTTPS -t, akkor nem latsz semmit. Ha bontod, akkor viszont a jelszot is latod benne.

Nem feltétlenül. A legtöbb proxy jellemzően az URL-t logolja, a headereket már nem, tehát hacsak nem tükrözöd ki a kibontott forgalmakat valahová, a jelszavak nem lesznek rögzítve.

( SkyNET | 2021. 03. 27., szo – 10:21 )

A cég IT eszközein történtek monitorozása, naplózása legális. A dolgozó megfigyelése is, de csak akkor ha erről a dolgozót tájékoztatták. 

BYOD illetve home office esete spceciális. Hálózatba csatlakozott eszköznél, munkaidőben teljesen legitim és ésszerű az eszköz monitorozása. Viszont egy ssh/rdp becsatlakozásnál a becsatlakozó host vonatkozásában, vagy főleg munkaidőn kívül mi a helyzet. Hogyan oldják meg, hogy munkaidőn kívül ne legyen sem logolás, sem céges policy érvényesítés, hálózati forgalom irányítás és figyelés, mert akkor az már lehet btk ügy is, ha egy (ex)munkavállaló valami sérelmet meg akarna torolni. 

( andrej_ v | 2021. 03. 27., szo – 10:43 )

Őszintén szólva szerintem erősen meggondolandó, hogy ilyen szinten mennyire akarsz résztvenni ebben. A céges eszközökön megfelelő biztonsági szabályok, proxy vagy dns alapú szűrés (és logolás), kimenő/bejövő forgalom korlátozása normális, de ez a mindent is naplózunk és elfogjuk a https forgalmat... Hátizé...

Ahol ez felmerül, oda azt mondom (mondjuk a kollégákkal), hogy ez nem IT hanem HR issue. Minek vettek fel olyat, akiben ennyire nem bíznak meg? Ha olyan extrém biztonságot követel meg valamilyen munka, akkor pedig ahhoz lehet dedikált gépet és felületet adni, hogy arról csak és kizárólag az menjen, a mobilokat le lehet adni a bejáratnál stbstb. (Ez nem bizalmi kérdés, mert ahol erre szükség van, oda lehet hogy megéri beszivárognia ártó szándékúnak.)

( Wooody | 2021. 03. 27., szo – 12:04 )

Köszönöm mindenkinek a választ és kicsit világosabb a helyzet. Következtetésem:) 

Bizonyos részeit lehet normálisan is végezni (én most is így csinálom), igaz a többit is megfelelő körülmények és tájékoztatás mellett.

Mivel szerintem a vállalkozó megkeresése, megbízása inkább aljas tevékenységre enged utalni, így alapból sem kívántam rész venni benne. Mondjuk az előző 10 "okos" projektben sem. Ha jól gondolom ebben az esetben is az "aljas" a minimális, hasznon nélküli és indokolatlan a cselekmény elkövetése.

Nekem és pl a xy megbízott vezetőnek sincs céges email fiókja így a saját, magán levelezésünkhöz nem szeretnék senkinek sem biztosítani hozzáférést. Nem tudom pontosan ki a célcsoport de pl az iskolában a tanárok is a magán levelezésüket használjak. Ezért lehet akár büntetőügyi kategória is.

"ha valakire rá kiabálunk, hogy rendszergazda akkor az is - szerződés, fizetés csak az átkos időkben kellett" 

és 100 éve még boszorkányt is égettek 

( dii | 2021. 03. 27., szo – 12:17 )

Munka törvénykönyve értelmében (MT 11/A) meg lehet figyelni a munkavállalót a munkaviszonnyal összefüggő magatartása kapcsán. Erről előzetes írásos tájékoztatás kötelező.

Mindemellett, az hogy az MT ezt lehetővé teszi, nem biztos hogy minden esetben legális. GDPR oldalról vizsgálandó, hogy a munkáltató által bevezetett intézkedések a munkáltató kockázataival (vagy esetleg törvényben rá rót feladataival) arányos-e, illetve, hogy ezeket a célokat el lehet-e kevésbé invaziv módon érni. Ezt előírja többek között a GDPR adattakarékossági elve és még néhány más. Volt néhány olyan hatósági vizsgálat ahol bár megvolt a jogalap, a NAIH mégis túlzónak ítélte meg az adatkezelést. Most így gyorsan a NAIH/2019/2466/12 jut eszembe megfigyelés kapcsán, de biztos lehet még találni.

Szóval az a kérdés, hogy milyen szektor, az IP jellege mennyire indokolja a megfigyelést, stb. Technikailag minden megoldható, nemrég egy kínai cégnél, egészségmegőrző "okospárnákat" használtak, aztán a HR az alapján, hogy ki mennyit ült a gép előtt, behívták a dolgozókat beszélgetésre.

( Skuzzy | 2021. 03. 27., szo – 17:28 )

Akkor, ha a céges proxy felbontja az ssl kapcsolatokat nem nagyon kell fejtegetni a jelszavakat, hiszen clear-ben látják a forgalommal együtt a hozzáférők.. Nem is lépek be privát accounttal céges gépről sehova.

( Tassadar v | 2021. 03. 27., szo – 21:05 )

Szerkesztve: 2021. 03. 27., szo – 21:09

Kikötheted, hogy csak a munkájával kapcsolatos adatot tárolhat a céges tulajdonban lévő eszközön.

Viszont, nem gondolom, hogy ha ennek nem tesz eleget, akkor  neked jogodban áll a személyes adatait tárolnod és felhasználnod.

Az előbbi polgári jogi kérdés, egy magánlevél elolvasása pedig büntetőjogi.

De a csavar itt jön igazán a képbe:

Harmadik fél (legyen az bank vagy magánszemély) téged nem hatalmazott fel, hogy kezeld az adatait. 

Node ha vállalja a munkavállaló szerződésben, hogy a céges gépet csak és kizárólag munkára használja, azon nem tárol semmit ÉS ezzel együtt a munkáltató teljeskörűen hozzáfér, menedzseli, monitorozza, menti stb ezt a gépet, akkor ha mégis rápakolja a nyaralási fotókat, akkor ne lepődjön már meg...

Az IT munkatárs vagy szintén munkavállaló (és ezt ő is vállalta a kapott eszközre) vagy szerződött a céggel és ezt lehet megfelelően rögzíteni a szerződésben. Outsourcing esetén jellemzően megnevezésre kerültek a konkrét együttműködő személyek, akik egy egyszerű titoktartási nyilatkozat (divatosan NDA) aláírása után boldogan tették a dolgukat. Nincs ezekben semmi izgalmas, írtam alá én is ilyet, de különösebben nem teher, mert a konkrét adattal nem foglalkozunk úgy sem, mert nem érdekes a munka szempontjából. (Aki monokinis háttérképet tesz a notijára a barátnőjéről és a szápportos kolléga azt látja, hát azzal meg mit kezdjünk?)

Magánemberként (NAV-ként, bankként, orvosi szolgálatoként) küldök levelet a nálad dolgozó kollégának, ő a céges gépen nyitja meg, te látod a tartalmát. 

Közted és köztem nincs semmilyen megállapodás.

Ha belenézel a levelembe, az magántitoksértés, bűncselekmény ami alól csak az mentene fel, ha bizonyítani tudod, hogy indokolt volt.

Szerintem nem fogod tudni indokolni. 

( Charybdis | 2021. 03. 29., h – 10:24 )

A jelszavakat hogyan lehet visszafejteni https kapcsolat esetén? Tudtommal először lokálisan titkosítja a böngésző az elküldött adatokat. Utána azt ha a hálózaton elkapod, beletelik vagy 1 millió vagy még több évbe, mire visszafejted egy szuperszámítógéppel.

Ha meg az van, hogy https kapcsolat, de először egy proxy szerverhez mennek az infók, ami azt továbbküldi, akkor meg a böngészőnek kéne kiabálnia, hogy a https tanúsítvány nem megfelelő, nem?

Egyre nehezebb....

Mobile appok egy részébe simán berakják az aktuális szerver cert fingerprintjét. Aztán ha lejár a cert majd kitolnak egy frissítést az appból. Ez a PKI meghágása, de ez van.

És ott van még az Expect-CT és DNS CAA rekordok használata és a Certificate transparency.

TLS 1.3-nál már az sem triviális, hogy hogyan generálod le a certet röptében, mivel már a szerver cert is titkosítottan közlekedik.

Ha az SNI encryption is elterjed még nehezebb lesz.

És akkor még a DNS böngészők általi meghágását is le kell kezelni, lásd DOH és társai.

Persze ezek egy részét lehet tiltani/downgradelni kliens oldalon, amíg a böngésző etc gyártók hagyják.

( wladek1 | 2021. 03. 30., k – 18:40 )

Ha engem ilyenre sikeresen ravennenek, magamat daralnam le a helyi feherjefeldolgozoban szegyenemben...

Error: nmcli terminated by signal Félbeszakítás (2)