All’inizio di quest’anno, l’amministratore delegato di una società editrice cristiana ha raccolto le sue truppe per un incontro in cui è andato balistico sulle voci diffuse sulla società da fonti interne sources e poi ha punito i colpevoli non identificati licenziando 25 dipendenti. Durante l’incontro-che ha raccolto la copertura della stampa grazie a uno dei dipendenti che lo ha registrato segretamente-Ryan Tate ha rivelato di aver monitorato l’attività informatica dei suoi dipendenti per cercare di capire chi fosse il responsabile.
“Ho guardato dall’altra parte… Mi sono fidato di te. Buon Dio. Vuoi guardare Netflix? Lascia che guardino Netflix. Lascia che lo gettino su un proiettore se vogliono. Vogliono essere su Facebook tutto il giorno? Essere su Facebook tutto il giorno. Certo che ti pago per farlo. Va tutto bene”, ha detto.
Ryan Tate, Presidente e CEO di Tate Publishing (da non confondere con Ryan Tate di Gawker / Wired… fama)
Stava bene con i dipendenti che si divertivano, ma non con il loro cattivo lavoro in azienda. “Ho avuto modo di leggere alcune delle tue pagine di Facebook. Il mio preferito è quando pubblichi qualcosa e poi lo togli e non pensi che archiviamo tutto.”
Ho contattato l’azienda in quel momento per vedere come stavano facendo il loro monitoraggio, ma non ho mai sentito indietro. Tate potrebbe aver avuto una politica aziendale di monitorare l’attività dei social network dei dipendenti, o potrebbe aver catturato le loro sessioni di Facebook sui loro computer di lavoro (o forse era solo un bluff). In entrambi i casi, Tate è ben lungi dall’essere l’unico datore di lavoro a curiosare sull’attività digitale dei dipendenti. La FDA sta attualmente combattendo una causa da parte di scienziati che affermano di essere stati licenziati per whistleblowing, qualcosa che l’agenzia federale si è resa conto che stavano facendo grazie a un programma spyware di SpectorSoft che ha catturato le loro e-mail e l’attività del computer. Grazie a un pasticcio da parte di un appaltatore che mantiene i file, gli 80.000 (!) le pagine del dossier di spionaggio sono state temporaneamente trapelate online, rendendo chiaro quanto sia esteso il monitoraggio.
Non è insolito per i datori di lavoro monitorare i computer dei dipendenti e persino i loro smartphone, ma molti dipendenti non ci pensano nel corso della loro giornata di lavoro, trascorrendo pause guardando email personali potenzialmente sensibili, avendo chat sexy, scorrendo (si spera non troppo scandaloso) album fotografici di Facebook, o forse anche controllando annunci di lavoro altrove. Prima di fare qualcosa di troppo scandaloso sul computer di lavoro, si potrebbe desiderare di pensare se è monitorato. Ho parlato con l’esperto di informatica forense Michael Robinson e il ricercatore di sicurezza Ashkan Soltani di alcuni racconti che rivelerebbero che sei potenzialmente guardato.
Prima di tutto, dovresti controllare il tuo manuale dei dipendenti o il contratto di utilizzo del computer. Se il tuo datore di lavoro dice che la tua attività del computer potrebbe essere monitorata-che è piuttosto standard-allora hanno il diritto di sbirciare. Ma poi c’è la questione se stanno effettivamente approfittando di questo diritto.
“Se sarai in grado di dirlo dipende da dove viene eseguito il monitoraggio”, afferma Robinson. “Se è a monte, al Firewall, è difficile per l’utente sapere. Che sarà solo dire i datori di lavoro che i dipendenti siti web stanno per, in modo da poter controllare, per esempio, quanti dipendenti è andato a Monster.com quel mese. Ma se vogliono vedere effettivamente un’attività più granulare, devono mettere il software di monitoraggio sul computer stesso.”
Ricercatore di sicurezza Ashkan Soltani dice uno strumento come netalyzr.icsi.berkeley.edu potrebbe dirti se sei monitorato dal Firewall. “Dimostrerà che c’è qualcosa ‘nel modo’ delle tue comunicazioni sicure”, dice. “Non è affidabile al 100% ma spesso ci sono ‘racconta.'”
Se sei su una rete aziendale, tutte le comunicazioni non https sono visibili a chi controlla la rete. Alcuni dipendenti pensano erroneamente che se sono su Gmail o Facebook-che offrono la sicurezza https-che le loro comunicazioni saranno crittografate e nessuno può leggerle. Questo può essere vero se il monitoraggio sta accadendo a monte, anche se ci sono metodi per una società di vedere attraverso la crittografia dal momento che controllano la rete e spesso il dispositivo si sta accedendo alle informazioni personali attraverso. Ad esempio, consulta questa guida BlueCoat per ottenere il controllo delle sessioni crittografate. E se il software è sul computer stesso, https-ssl offre sicuramente alcuna protezione.
Software di monitoraggio su un computer cattura sequenze di tasti e screenshot. Ciò significa che può ricostruire la tua sessione Gmail o Facebook (che potrebbe essere il modo in cui Tate Publishing ha registrato ciò che i suoi dipendenti avevano messo su Facebook e in seguito abbattuto). Questi tipi di programmi non verranno visualizzati come applicazioni, ma verranno visualizzati come processi in esecuzione.
- Se sei su un PC, puoi vedere un processo in esecuzione premendo “Alt-Ctrl-Canc” e tirando su “Task Manager.”Passa alla scheda “Processi”.
- Su un Mac, vai su “Launchpad”, fai apparire “Gadget e aggeggi”, quindi vai su” Utilità “e fai clic su” Monitor attività.”
Il processo probabilmente ha un nome innocuo, ma sarà piuttosto occupato in quanto ha un sacco di attività da catturare. Quindi, come fai a sapere se uno di questi processi è spyware? Un’opzione è quella di confrontare i processi con quelli in esecuzione sul computer di un collega. Se uno di voi viene monitorato e l’altro non lo è, probabilmente noterai alcuni processi diversi in esecuzione. Se sei entrambi monitorati, però, non è molto utile (“e probabilmente dovresti ottenere un nuovo lavoro”, dice Robinson). Fortunatamente, c’è un’altra opzione per eseguire un controllo.
Stranamente, molti di questi programmi “spyware” sono contrassegnati da programmi antivirus e malware come dannosi. Figurati. Di conseguenza, alcune delle aziende che offrono questo software hanno fatto “liste bianche” in modo che i reparti IT che li eseguono possano assicurarsi che Symantec, McAfee e altri riconoscano i loro processi come non malvagi. E in molti casi, quelle liste bianche sono pubbliche, quindi puoi vedere esattamente quali sono i nomi dei file. Se i consulenti della FDA avessero controllato i loro processi, probabilmente avrebbero visto alcuni di questi eseguibili in esecuzione sui loro computer, tramite la whitelist di SpectorSoft.
SpectorSoft offre una lista bianca dei suoi processi di spionaggio in modo che i reparti IT possono configurare… Software AntiVirus per ignorarli
Grazie a questo, se Google uno strano processo che stai vedendo ed è spyware, probabilmente ti ricondurrà al sito web del fornitore di spyware.
Sfortunatamente, alcuni programmi spyware sono più savvier di altri. “Quelli più sofisticati si comportano più come rootkit in quanto si nascondono alla vista”, dice Soltani.
“Ho usato per lavorare per una società che quando hai dato preavviso, HR avrebbe detto di monitorare voi per assicurarsi che nessuna proprietà intellettuale è stato rubato,” dice Robinson. “Il giorno in cui ho dato preavviso, un aggiornamento di Windows spuntato. Pensavano di essere subdoli. Ho digitato sullo schermo, ‘ Ti vedo che mi guardi che ti guardi che mi guardi.'”
” Se il tuo capo sta effettivamente aprendo la tua email e la legge, potresti essere in grado di incorporare i beacon di tracciamento nei messaggi di posta e quindi monitorare quando vengono aperti”, afferma Soltani. Puoi usare un programma come emailprivacytester.com o ReadNotify the il programma che un fan pazzo controllava per vedere se Jay-Z stava leggendo le email che gli aveva inviato.
Boss che stanno facendo cattura su larga scala di tutto ciò che i loro dipendenti stanno facendo sono probabilmente una rarità, dice Robinson. “Passerebbero più tempo a monitorare che a gestire”, dice.
È più probabile che accada se un capo è effettivamente preoccupato per un determinato dipendente o se è preoccupato per le informazioni sensibili che lasciano l’azienda. Nel caso della FDA, l’agenzia federale era preoccupata che i consulenti stessero perdendo informazioni critiche dell’agenzia ai membri del Congresso (e avevano ragione).
Dati i molti modi in cui il tuo datore di lavoro potrebbe spiarti-e il fatto che non sono tutti rilevabili-probabilmente è più saggio salvare qualcosa di troppo sensibile per il tuo dispositivo personale o computer di casa.
Nelle sue osservazioni conclusive ai suoi dipendenti in quella riunione rivelatrice di tutte le mani, l’editore Ryan Tate ha dichiarato: “Sii intelligente soprattutto in questa era digitale. Ho capito se sei a casa e ti lamenti con una persona cara, ma chi va online per farlo, o invia una e-mail?”
Um. Tutti uno, direi. Ma sii intelligente su quale computer lo stai facendo. E, naturalmente, se si sceglie l’opzione più sicura del computer di casa, tenere le dita incrociate che una persona cara non è snooping su di voi lì.