Domanda:
Il mio reparto IT può leggere le mie chat di Google Hangouts mentre sono al lavoro?
Jack
2014-08-20 09:36:29 UTC
view on stackexchange narkive permalink

Gli Hangout di Google sono crittografati? I ragazzi IT del mio lavoro sarebbero in grado di vedere le immagini e il testo che invio su un computer di lavoro? Sì, lo so che non dovrei inviare cose che non voglio che vedano mentre sono al lavoro, ma non era al lavoro. Uso Hangouts anche sul telefono e mi sono appena accorto di utilizzare il plug-in di Hangouts per Chrome al lavoro e sincronizzava tutte le mie conversazioni.

Puoi aggirare questo problema disconnettendoti dal plug-in del browser quando sei lontano dalla scrivania. Quindi non si sincronizzerà * molto * con i tuoi videoritrovi desktop a meno che non scorri verso l'alto nella chat. Questo sincronizzerà comunque alcune conversazioni se qualcuno con cui stavi parlando al telefono ti parla mentre sei connesso al desktop.
Meglio usare un personal computer per evitare il rischio di avere chissà quale software installato su di esso.
@logixologist Questo però non prova che lo stiano facendo. Anche se era qualcosa di così ottuso da convincerti che stava scannerizzando ciò che hai scritto, non puoi davvero provare che lo fosse. Potresti benissimo avere ragione, ma atteniamoci ai fatti e non a supposizioni e pregiudizi anti-Google.
@patricksweeney è praticamente il loro modello di business: annunci mirati. Se questo è il male è opinione personale, ovviamente. Indipendentemente da ciò, non ha davvero nulla a che fare con ciò che chiede l'OP.
Forse. So che i messaggi di chat di Facebook vengono inviati tramite HTTP, anche se visiti la pagina FB tramite HTTPS. Quindi tutti i messaggi di chat sono leggibili nei log
@logixologist Google è abbastanza aperto nell'analisi dei contenuti del sito (inclusi, ovviamente, i contenuti generati dagli utenti su siti Google come Gmail) per selezionare quali annunci mostrare: vedere [1] (https://support.google.com/adsense/ answer / 9713? hl = en) [2] (http://www.dailytech.com/Google+Yes+we+Read+Your+Gmail/article33184.htm) e [3] (http: //www.theguardian .com / technology / 2014 / apr / 15 / gmail-scans-all-emails-new-google-terms-clarify). La vera domanda è: (1) quali sono i limiti di ciò che questi "sistemi automatizzati" fanno con le informazioni e (2) qualsiasi essere umano può accedere alle informazioni?
In altre parole, coloro che si fidano di Google si affidano a Google per limitare il suo utilizzo di tali informazioni agli ovvi usi relativi alla funzionalità e agli annunci, piuttosto che, ad esempio, archiviarle e / o venderle ad altre società.
@logixologist: * "Ciò significa che l'hanno trascritto e poi mi hanno inviato annunci mirati non richiesti in base a una parola chiave." * Lo hanno fatto, ovviamente, ** ti hanno detto ** che lo avrebbero fatto quando ti sei registrato e hai accettato i T&C. Potresti non aver "sollecitato" il loro invio di annunci pubblicitari, ma hai acconsentito.
Sei risposte:
Andrey
2014-08-20 11:06:36 UTC
view on stackexchange narkive permalink

Dovresti presumere che possano. Ci sono vari modi in cui possono farlo, ma se lo fanno effettivamente dipende dagli standard e dalle pratiche dell'azienda. Alcune delle opzioni:

  1. È possibile installare certificati di root aggiuntivi sulle macchine dell'azienda e usarli per MITM tutto il traffico (il traffico passa comunque attraverso il gateway / proxy dell'azienda e avere un certificato di root amichevole sull'utente 'sPC consente di eseguire un MITM completo);
  2. È possibile installare "software di monitoraggio dei dipendenti", che essenzialmente è un key logger + monitor di processo + screen grabber. Alcuni strumenti hanno la capacità di intercettare localmente i messaggi ricevuti nelle chat.
  3. È possibile utilizzare strumenti di collaborazione / accesso remoto per monitorare ciò che accade sullo schermo di un particolare PC.

In breve, se non hai il controllo sul PC su cui stai lavorando (e con le workstation aziendali in genere non lo fai), non puoi presumere che sia esente da tali impianti di sorveglianza.

Spero che sia così non troppo spaventoso :)

Aspetti positivi, potresti anche utilizzare la tecnologia di ispezione approfondita dei pacchetti
Facendo eco a quanto sopra, tecnicamente è perfettamente fattibile. In pratica, i dati vengono effettivamente esaminati? Essendo io stesso un amministratore di sistema, sospetto di no. Anche nei giorni lenti, ci sono molte cose più interessanti da fare che vedere se riusciamo a trovare un collega che fa qualcosa che non dovrebbe! : D
Dipende dal paese in cui ti trovi (immagino sia legale in alcune giurisdizioni e una sorta di zona grigia in altre) e da circostanze particolari (ad esempio se la persona in questione è sospettata di qualche illecito) Molte fughe di dati, ad esempio, vengono confermate / identificate in questo modo (può essere automatizzato in larga misura).
Probabilmente non è il posto giusto per domande legali, ma come potrebbe questo non essere altamente illegale (con gravi sanzioni) nella maggior parte dei paesi civili (voglio dire, è l'elusione su larga scala delle comunicazioni Internet crittografate delle persone - SSL)? Voglio dire che sarebbe una cosa per la NSA farlo, ma una società privata non potrebbe fare questo genere di cose e non aspettarsi un periodo difficile in prigione, giusto?
Mi riferisco ovviamente all'attacco MITM e allo scenario di un'autorità di certificazione falsa: ispezionare il contenuto del tuo PC di lavoro o utilizzare un software di monitoraggio è una cosa diversa che molte aziende fanno apertamente.
Sono d'accordo, sembra una violazione dei diritti, ma sembra anche piuttosto comune, ad es. negli Stati Uniti (http://it.slashdot.org/story/14/03/05/1724237/ask-slashdot-does-your-employer-perform-https-mitm-attacks-on-employees). L'argomento principale è "Il nostro hardware - le nostre regole", che ha anche un senso (ricorda, stiamo parlando del monitoraggio del traffico da parte del datore di lavoro dai dispositivi che possiede legalmente).
@fjw Sarebbe considerato legale negli Stati Uniti perché quasi ogni datore di lavoro ha i propri dipendenti firmare una Politica di utilizzo accettabile che includerà una disposizione che afferma qualcosa del tipo "Non hai alcuna aspettativa di privacy sulla nostra rete e / o hardware e tutte le tue comunicazioni sono soggetti a monitoraggio ". Quindi i dipendenti danno il consenso ai datori di lavoro per farlo.
Qual è la differenza tra 2 e 3? Uno "strumento di supporto" è anche uno "strumento di monitoraggio dei dipendenti" nel momento in cui non richiede l'autorizzazione del dipendente per guardare il contenuto dello schermo.
@CraineRunton Sono a conoscenza degli accordi dei dipendenti che firmano le aspettative di privacy, ma non vedo come questo possa annullare il fatto che un attacco MITM a SSL sarebbe un atto * criminale *, non civile. Le organizzazioni possono monitorare l'attività dei dipendenti e possono farlo con qualsiasi mezzo legale (incluso qualsiasi software di monitoraggio lato client che acquisisce l'attività sul PC stesso), ma stai cercando di dirmi che non è un reato MITM attacca SSL o stai invece affermando che un contratto di lavoro può in qualche modo rendere legale un atto illegale?
Sono felice di sbagliarmi su questo se non esiste una legge del genere, ma ho difficoltà a credere che in un paese in cui è un atto * criminale * (non solo civile) aggirare la crittografia su un DVD, che lì non esiste una legge simile sull'elusione di SSL.
@fjw: non esiste (AFAIK) alcun divieto di legge sugli attacchi MITM su SSL in sé e per sé. Se l'SSL fosse utilizzato per proteggere i contenuti protetti da copyright, potresti entrare in conflitto con DMCA. È criminale aggirare una misura di protezione del copyright, ma (di nuovo AFAIK) non esiste in generale un tale divieto penale di eludere le misure di sicurezza che non proteggono il copyright. È anche potenzialmente criminale utilizzare un sistema informatico senza autorizzazione, ma ciò non si applica qui poiché il datore di lavoro ofc ha il permesso di utilizzare * il suo * sistema.
Comunque, le leggi non nascono solo perché sembrerebbe ragionevole e coerente averle, esistono perché qualcuno le ha scritte e il Congresso le ha approvate. In pratica ciò accade generalmente perché qualcuno ha fatto pressioni per loro. Nel caso della maggior parte delle leggi sul copyright quel "qualcuno" è Disney (in realtà più che solo Disney, ma media), e Disney non è poi così interessata a SSL. Infine, l'azienda potrebbe non (legalmente parlando) aggirare comunque SSL, poiché il dipendente ha scelto di utilizzare i certificati di root dell'azienda, che autorizzano il proxy dell'azienda a presentarsi come qualsiasi dominio.
@CraineRunton: È una pratica standard con alcune delle principali aziende che conosco (e da questo concludo che è comune per la maggior parte delle aziende), non solo con quelle statunitensi. Il MITM aziendale (automatizzato) e il software di monitoraggio vengono eseguiti praticamente su ogni computer. La realtà è, purtroppo, anche nelle giurisdizioni in cui questo è illegale, la linea di fondo è semplicemente: _fanculo i tuoi diritti_. Il datore di lavoro porta fuori un documento che devi firmare e se vuoi mantenere il tuo lavoro (o nel frattempo, dato che è già in atto: se vuoi essere assunto), lo firmi e non ti lamenti.
@fjw - Se il tuo datore di lavoro è PROPRIETARIO della macchina che stai utilizzando, è legittimo installare certificati che consentono loro di terminare il traffico SSL (ovvero eseguire un "attacco" MITM) e * non è in corso alcun ** attacco ** in corso *. È una semplice configurazione dei propri beni. Ignorare il fatto che SSL non ti renderà immune dall'osservazione non rende le loro azioni criminali (proprio come, se il tuo datore di lavoro ti informasse che le telecamere erano in uso e tu avessi cercato di nascondere le azioni dalle telecamere ma non ci riuscissi, non avresti ricorso ). Se affermano che NON hai aspettative di privacy, NON dovresti aspettarti privacy. È così semplice.
Finché non ho modo di conoscere le qualifiche legali delle persone che mi rispondono, non ho un indicatore di quanto posso fidarmi di queste risposte. Probabilmente non avrei dovuto portarlo qui per questo motivo. ErikE, in particolare, la tua risposta è incentrata sulla terminologia: se puoi usare la parola "attacco" per descrivere questo metodo di aggirare SSL con diversi certificati o meno (da un punto di vista tecnico (non legale), MITM * è * un attacco). Considerando che altri commenti, che sembrano più convincenti, mi hanno informato che non esiste una legge del genere che rende illegale l'elusione / attacchi a SSL.
@fjw - è legale nell'UE per un'azienda registrare tutte le comunicazioni in entrata / in uscita utilizzando qualsiasi mezzo disponibile. I controlli si basano su ciò che accade al contenuto del messaggio; qualsiasi essere umano che lavori con il materiale dovrebbe smettere di farlo non appena stabiliscono che è personale e non può intraprendere alcuna azione su di esso. I datori di lavoro che agiscono sulla base di informazioni provenienti da messaggi personali hanno portato a procedimenti penali.
L'unica parte che mi confonde è il motivo per cui qualcuno potrebbe pensare di avere il "diritto" di utilizzare in modo improprio le risorse aziendali.
@Michael In che modo questo uso improprio delle risorse aziendali? Molte aziende consentono una quantità accettabile di uso personale di Internet / computer al lavoro. Alcuni addirittura lo promuovono poiché esistono studi che dimostrano che i lavoratori sono più produttivi quando non si tenta di limitare l'accesso a determinati siti Web sul posto di lavoro, ma anche quando è incoraggiato, resta da chiedersi se sia monitorato.
Google non utilizza il blocco dei certificati per impedire il MITM?
Hybrid
2014-08-20 11:28:11 UTC
view on stackexchange narkive permalink

se i tuoi dati di Google Hangouts sono stati sincronizzati sul tuo computer di lavoro, il reparto IT potrebbe visualizzarli. Tuttavia, non spaventarti ancora, a meno che non lo cercando lo vedano, è estremamente improbabile che lo vedano.

Ci sono tre posti in cui il reparto IT potrebbe vederlo:

In transito

Durante la sincronizzazione dei dati dell'hangout, se il reparto IT monitora il traffico sulla rete, potrebbe averlo visto. Come dice BigBob1000, è crittografato (HTTPS), tuttavia molte aziende installano certificati affidabili sui propri computer e quindi fondamentalmente Man-in-the-Middle sui propri computer per decrittografare tutto il traffico HTTPS. È probabile che anche se lo facessero non avrebbero registrato i dati, solo che ti sei connesso a Google.

At Rest

Questo è un problema più plausibile ma ancora incredibilmente improbabile, Chrome (tutti i browser) memorizza nella cache le cose. Quindi, invece di scaricare la stessa immagine da Google cento volte, la scarica una volta sul disco rigido del tuo computer, quindi la utilizza ogni volta. Non sono sicuro di cosa Chrome memorizzi nella cache per gli hangout, ma un'ipotesi plausibile sarebbe che si tratti di immagini del profilo dei tuoi contatti e di altre immagini ma non del testo delle tue conversazioni.

Puoi svuotare la cache, il tuo reparto IT potrebbe ancora avere un backup, ma la maggior parte dei posti non esegue il backup dei desktop, solo dei server.

In memoria

Onestamente sto solo inserendo questo per completezza. EDIT: Dopo aver visto la risposta di Andrey, solleva un buon punto, questo è più plausibile di quanto pensassi. Potrebbe esserci un software di monitoraggio dei dipendenti che registra i registri delle chat.

Penso che più comuni di qualsiasi di questi sarebbero gli screenshot a intervalli x (o casuali) (per il contenuto effettivo) - "In Transit" sarà probabilmente implementato per primo.
Gli screenshot di @user2813274 sono probabilmente il modo più efficiente e infallibile per controllare ciò che l'utente sta effettivamente facendo.
C'è anche il problema che, anche se tecnicamente in grado (probabilmente), potrebbero non essere legalmente autorizzati a farlo (in alcune giurisdizioni, le comunicazioni personali sono riservate e se non hai firmato una dichiarazione generale ...). Quindi, se lo hanno registrato accidentalmente e tu lo hai scoperto, potresti avere una buona causa contro di loro per spionaggio.
@ Ángel Anche supponendo che sia vero, non credo sia rilevante. Se vedono qualcosa che non gli piace, possono licenziarti. A quel punto, è probabile che tu abbia una battaglia lunga, costosa e dolorosa. Quindi, per tutti gli scopi pratici, dovresti presumere che possano farlo e lo faranno, e che non hai alcun nuovo corso.
@Patrick-m, Non lo considero troppo rilevante per interrogare _se possono_ (sono d'accordo che dovrebbe avere le sue chat non sincronizzate), ma è interessante sulla questione _se vogliono_ effettivamente andare così lontano per farlo (segretamente, senza avvisarti). Che qualcosa sia illegale può essere un buon incentivo a non farlo :)
HopelessN00b
2014-08-20 18:39:44 UTC
view on stackexchange narkive permalink

Sebbene sia certamente possibile, la domanda più pertinente è "quanto è probabile che il mio reparto IT si preoccupi?" (A meno che tu non stia facendo qualcosa che potrebbe farti licenziare o arrestare, naturalmente.)

Oltre a ciò, l'altra considerazione è che costa un sacco di soldi per memorizzare effettivamente il traffico web di tutti, quindi il il contenuto dei messaggi e delle richieste web in genere non viene archiviato per un periodo di tempo significativo: archiviare tali informazioni e renderle disponibili per la ricerca costa molto denaro e raramente ci sono motivi commerciali per farlo.

Prendi da un addetto IT - non sei così interessante e mi risento per le richieste di "esaminare" le attività degli altri dipendenti. Ho cose migliori da fare che spiare l'uso dei social media o la navigazione sul web da parte delle persone, quindi anche quando sono esplicitamente indirizzato a farlo, non cerco più del dovuto per rispettare i miei ordini. Al mio posto di lavoro, ciò comporta l'invio di un rapporto predefinito al richiedente con statistiche di alto livello sulle attività di un utente: quante richieste web sono state effettuate in un certo periodo, a quali domini sono state fatte quelle richieste e un'analisi di tali richieste per categoria di sito web - e questo è solo quando non riesco a farla franca dicendo "no" alle richieste su ciò che un dipendente sta facendo online.

Non tutti gli I.T. il ragazzo si sente come te. Scommetto che potresti inventare quell'unico asino gung-ho nella tua organizzazione che apprezzerebbe l'esperienza di catturare qualcuno che abusa delle risorse dell'azienda come parte del proprio lavoro.
@Kristopher Certo, è per questo che ho detto che la domanda più pertinente era se il reparto IT si preoccupasse. Io non. Altre persone / maniaci del controllo degli asini potrebbero.
Josh Bond
2014-08-20 22:30:45 UTC
view on stackexchange narkive permalink

Se la tua azienda ha installato un prodotto denominato "Google Vault", sì, il tuo reparto IT o chiunque abbia accesso a Vault può leggere i messaggi e le immagini di Hangouts non crittografati.

Google Vault è una piattaforma di eDiscovery - https://support.google.com/vault/answer/2462365?hl=it

L'unico modo in cui non sarebbero in grado di leggere i tuoi messaggi di Hangouts è se tu hanno disattivato la cronologia per ciascuna chat. In Google Chat questa opzione si chiama "Chat off the record". In Hangouts si chiama "Cronologia Hangout". Tutto ciò che viene digitato dopo la disattivazione della cronologia non viene registrato.

Per vedere cosa possono vedere i tuoi IT: apri il tuo Gmail nel browser Chrome e fai clic sull'etichetta "Chat" trovata dopo aver espanso il pulsante "Altro". Eliminare ciò che trovi in ​​questa etichetta non ti aiuterà perché, una volta che esiste, esiste per sempre o fino alla scadenza del criterio di Google Vault.

@Jack implica che non sta utilizzando il suo account Google Apps aziendale per inviare messaggi personali tramite Hangouts. Da quanto ho capito, se sta utilizzando il suo account personale, l'azienda non può accedere alle sue chat Hangout tramite il Vault. A meno che, ovviamente, non mi manchi qualcosa.
John U
2014-08-20 18:10:14 UTC
view on stackexchange narkive permalink

Sì, dovresti davvero presumere che chiunque possa leggere qualsiasi cosa fai online ovunque , in qualsiasi momento . Se possiedono la rete, lo sono doppiamente. Se è il proprietario del computer che stai utilizzando, tripla con le manopole.

Da un'altra angolazione, se stai facendo cose sul computer di lavoro o nell'ambiente di lavoro che non voglio che il lavoro sappia su , probabilmente non dovresti farlo . La legge di Murphys ci dice che questo a un certo punto andrà storto per te.

Supponendo che il dipartimento IT sia modelli di permissività benevola e / o ignorante / incompetente, ci vuole solo un collega che ti dispiace (forse perché trascorri troppo tempo negli hangout quando dovresti lavorare, per esempio) per sbirciare da sopra le spalle, o un arresto anomalo del computer a metà sessione, o un virus informatico imprevisto o un nuovo ed entusiasmante bug in Google Hangouts che porta la tua macchina, per esporre ciò che non volevi fosse esposto.

Poi di nuovo, a quanto pare, il giorno in cui il tuo cellulare viene perso / rubato qualcuno ha un carico di grandi ricatti materiale su di te comunque. Il problema con le cose che metti su Internet è che sono su Internet.

udonsoup16
2014-08-22 03:44:37 UTC
view on stackexchange narkive permalink

Dipende ... un modo semplice è semplicemente chiedere all'I.T. dipartimento:

Tu: ciao, sono curioso di sapere se viene eseguito il backup o l'archiviazione delle nostre chat IM e delle nostre email per motivi di conformità. Se ho bisogno di recuperare una chat da Google Hangouts per motivi legali, è possibile?

Ho lavorato nel settore finanziario dove il 100% di tutte le comunicazioni è stato registrato nel nostro ufficio secondo le normative governative, comprese telefonate, chat su qualsiasi client di messaggistica istantanea (avevamo un software speciale dedicato ad esso), ecc.

È probabile che tu non sia monitorato attivamente ma le tue abitudini di navigazione potrebbero far scattare un firewall dell'ufficio per violazioni ripetute che potrebbero causare un controllo se è ridicolo (tonnellate di porno, utilizzo osceno della larghezza di banda, caricamento / download costante 24 ore su 24, 7 giorni su 7 come torrent o spotify).

E-mail sì se si utilizza il proprio dominio o si invia a un dominio di posta elettronica di lavoro.

MODIFICA: una cosa a cui prestare attenzione è creare sicurezza. Se l'I.T. istituito o pagato per le telecamere come ho fatto io, possiamo spiarti al 100% in qualsiasi momento e persino avere trigger di zona per avvisarci. Un D-bag che conosco ha costruito la sicurezza per registrare i tempi di ingresso per taggare i lavoratori in ritardo senza che loro lo sappiano, nonostante la società sia semplicemente un affittuario. Se puoi, dì alla sicurezza di negare qualsiasi richiesta di accesso a tali informazioni da parte di terzi perché verranno utilizzate contro di te, se possibile.

Paese rigoroso, o piano commerciale lato vendite: "Ho lavorato nel settore finanziario dove il 100% di tutte le comunicazioni è stato registrato nel nostro ufficio secondo le normative governative, comprese le telefonate, le chat su qualsiasi client di messaggistica istantanea".
USA ... siamo stati multati pesantemente per record mancanti, quindi la società registra tutto. Se la tua azienda ha una scarsa archiviazione / registrazione e vieni preso di mira dai regolatori ...


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...