Jak podsłuchuje Cię pracodawca, czyli Deep Packet Inspection
ฝัง
- เผยแพร่เมื่อ 15 ก.ค. 2024
- Cześć!
Czy i jak pracodawca może podglądać ruch sieciowy swoich pracowników? Czy szyfrowanie chroni przed takim podglądaniem? Czym zaskoczyć może służbowy VPN? Czy e-mail objęty jest tajemnicą korespondencji? Czy takie podglądanie w ogóle jest legalne?
Spróbuję odpowiedzieć na te pytania.
Rozdziały:
00:00 Intro
00:24 Rola routerów
01:54 Deep Packet Inspection
03:23 DPI w pracy
05:51 Data Leak Protection
07:09 Legalność
12:21 Inne zastosowania
13:09 Korzyści
14:43 Co Robić i Jak Żyć?
Źródła:
🦊 Rozszerzenie Foxy Proxy
getfoxyproxy.org/
🌎 Blog Jeffa Wilcoxa, skąd pobrałem wykres UniFi DPI
bit.ly/3Gw2bDF
▶️ Materiał Productive Corp na temat DPI ruchu HTTPS
• HTTPS and Deep Packet ...
🚦 Endpoint Protector o tym czym jest i jak działa DPI
bit.ly/3opI5VG
📗 Jak skonfigurować Deep Inspection na urządzeniach Fortinet
bit.ly/330yDQU
🇪🇬 Egipt uruchomił DPI w skali kraju
bit.ly/3opIgQQ
📧 Regex do walidacji adresu email według RFC 5321 i 5322
bit.ly/3grRhEt
🇮🇳 Wątek na stackoverflow o kodzie wstrzykiwanym przez BSNL
bit.ly/3rr3lMt
🧅 Blokada Tor w Fortigate jest bardzo prosta
bit.ly/3os1Iw6
🧅 Ciekawa dyskusja na temat Tor i Deep Packet Inspection
bit.ly/3rummgW
Jeżeli nie ufasz skracanym linkom (bardzo dobrze!) to dodaj na ich końcu plusik ‘+’.
W ten sposób podejrzysz na stronie bit.ly dokąd prowadzą.
Relevant xkcd: xkcd.com/1269/
Dziękuję za pomoc w przygotowaniu materiału Robertowi Gniezdzi z kancelarii Chmielniak Adwokaci
chmielniak.com.pl/
/ robertgniezdzia
Dziękuję za gościnę EMCEK meet & eat
emcekbistro.pl/
/ emcekmeetandeat
/ emcek_bistro
oraz Sobremasa Tapas Bar w warszawskiej Hali Koszyki
www.sobremesatapas.com/
/ sobremesatapas
/ sobremesatapasbar
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
Dziękuję za Waszą uwagę. ❤️
Znajdziecie mnie również na;
Instagramie @mateuszemsi / mateuszemsi
Twitterze @MateuszChrobok / mateuszchrobok
LinkedInie @mateuszchrobok / mateuszchrobok
Podcasty na Anchor anchor.fm/mateusz-chrobok
Podcasty na Spotify open.spotify.com/show/6y6oWs2...
Podcast na Apple Podcasts podcasts.apple.com/us/podcast...
Patronite @MateuszChrobok patronite.pl/MateuszChrobok - วิทยาศาสตร์และเทคโนโลยี
![Jak chronić swoją prywatność w Internecie? Mateusz Chrobok [Expert w Bentleyu]](/img/n.gif)
Tylko wentylatory uwielbiam taki humor :D
Subskrypcja Twojego kanału to strzał w dziesiątkę
to bądź drugi i wskakuj z krypto donejtem, oprócz 31337 zostało jeszcze dużo innych l33towych cyferek
Smiesznekotki to strona zarejestrowana w Cloud Flare 8 stycznia tego roku o 21.00. Wyczuwam w tym rękę Mateusza :D
Najlepsze, że wszystkie "przykładowe" adresy WWW, które podał Pan Mateusz na prawdę istnieją
ej, serio xdd
Bo to jego domeny xd
JuTub niestety automatycznie usuwa komentarze gdy wklejacie domeny z wentylatorami lub kotkami. Widziałem komentarz @defcior, który zniknął zanim zdążyłem odpisać. By ominąć algorytm piszcie proszę strona z 🐱🐈kotkami lub wentylatorami.
Dodatkowo film traktuje o podsłuchiwaniu z perspektywy sieciowej i pomija rozwiązania na urządzeniach końcowych co słusznie zauważył Krzysztof Rzepiński th-cam.com/video/BVH07n_yYWY/w-d-xo.html&lc=UgwYKb41NOHPgbK7cfN4AaABAg . Ten materiał nie wyczerpuje wszystkich metod i dziękuje, że zwracacie na to uwagę. Staram się by materiały nie były zbyt długie stąd dzielę je na kawałki.
Dziękuje! 😎
Ten kanał jest genialny. Trochę wiedzy, trochę śmiechów. Treść dobrze złożona i odpowiednio zoptymalizowana. Prezentowane w sprawny sposób, przyjemnie się ogląda i słucha.
Wiele innych kanałów mogłoby brać przykład, ja nie mogę wytrzymać gdy ktoś mówi za wolno ale pół godziny jeden kadr na smutna twarz.
Pozdrawiam i nie muszę życzyć powodzenia bo wszystko jest w porządku
Znów super materiał. Czekam na kolejny.
aaaj bardzo aktualny temat! ;D... świetnie. czuje że ten filmik pójdzie na szczyty :) i tego życze! wiedza bardzo ważna i ciekawa no i praktyczna. "Uświadamiająca:
Fantastyczny temat na materiał, nie wspominając o realizacji. Humor jak zawsze z najwyższej półki. O takie wentylatory nic nie robiłem.
Dzięki za ten materiał!
Nie każdy pracodawca informuje o tym. Jesteś Super i czekam na kolejny odcinek.
Po otrzymaniu firmowego laptopa:
1. Wyczyścić dysk twardy.
2. Zainstalować nowy OS.
3. Zainstalować hypervisora np virualbox.
4. Stworzyć nową maszynę virtualną.
5. W nowej maszynie virtualnej zainstalować OS dedykowany do celów firmowych.
6. VM'kę używać tylko do celów firmowych, a OS z hypervisorem do celów prywatnych.
Świetny materiał!
Najlepszy kanal o cyber bezpieczenstwie jaki do tej pory znalazlem!
Świetna robota .
2:55 - Mistrzostwo!
Mam prostą zasadę u mnie w korpo. Nie używam sprzętu służbowego do prywatnych spraw. Pracując z domu, oprócz "laptoka" mam dostęp do VM w chmurze mojego desktopu, i odpalam ją sobie na moim prywatnym PC. Więc to co prywatne jest prywatne, a to co służbowe to służbowe. Ale wiem, że są osoby które nie znają umiaru i traktują sprzęt służbowy jak swój prywatny, i potem rozkminiają czy, i jakie informacje są zbierane 😁😅
No ale co ja bym wtedy robił w pracy??
Jaja są gdy używasz swój prywatny sprzęt do celów służbowych. Pracujesz, raczej współpracujesz z X firmą. Kilka osób wykonuje zlecenia. Powstaje duży projekt, ekipa wysyła swoje części. Kończy się projekt. Część dostaje kasę jaką trzeba, część nie ma przelewu zgodnie z umową. Zostaje zakończona współpraca. Firma dopieszcza co trzeba. Dziwnym trafem brak kopii zapasowej. Ginie główny dysk. Tu się zaczyna śmiech na sali. Zleceniodawca chce dostępu do prywatnego sprzętu. Chce odzyskać dane. Tylko że większość skasowała je i nadpisała innymi danymi. Oni wysyłają pisma prawnicze. Spotkał się ktoś z czymś takim?
Fajny materiał, zwłaszcza, z tematem analizy wewnątrz firmowej VPN. Co do suchych żartów brakuje linka do mema z VPN w VPN.
Super materiał, dzięki! Warto byłoby też wspomnieć o tzw. TRR - "trusted recursive resolver " - gdzie zapytania DNS idą przez HTTPS :)
Wypadałoby wspomnieć, że podsłuchiwanie ruchu sieciowego to nie jedyny możliwy sposób monitoringu. Możliwe jest przecież logowanie WSZYSTKIEGO co robi użytkownik na komputerze np. keyloggery, screenshooty ekranu, a nawet podsłuchiwanie otoczenia przez sensory komputera itp. Wtedy wszystkie rady Pana Mateusza są w najlepszym razie bezcelowe. Generalnie zalecam nie używać sprzętu pracodawcy do prywatnych celów. Jeżeli koniecznie w pracy musicie oglądać śmieszne kotki lub wentylatory to używajcie prywatnego telefonu, tabletu, laptopa przez sieć swojego operatora. KONIEC KROPKA!!! Żaden TOR proxy SSH na obcym komputerze was nie ochroni, a jedynie traficie na listę szczególnej uwagi.
Wystarczy tylko że wyjdzie to że pracodawca coś takiego robi i pracodawca ma duży problem jak nie poinformował o tym pracownika
Filmik, post +, i dobranoc
Świetny odcinek, jak zawsze, dzięki!
tylkowentylatory mnie rozbroiły :D
Świetny materiał. Nawet służbowego telefonu nie używam do jakiejkolwiek prywatnej czynności.
Za to koledzy na służbowych laptopach z firmowym VPN obsługują wszystkie swoje prywatne sprawy - banki, sklepy, strony ze śmiesznymi kotkami.
Mój miał gps w aucie(normalne) ale i dyktafon pod fotelem, po tym już wiedziałem że to nie będzie na zawsze mój ulubiony pracodawca. Nie lubię i nie angażuje się gdy wiem że na starcie firma ci nie ufa. Przyznam miło się patrzyło na szefa i jego irytacje moją osobą, że ja wiem że on myśli że ja nie wiem :D
Thank you and best regards
Szanuje za założenie strony tylkowentylatory.com genialne posunięcie
Czyli przestanę oglądać twój kanał w pracy 😅, to był ostatni raz (to dla szefa jeśli zobaczy 😁)
Już zmieniam nazwę na Szkolenia z Bezpieczeństwa ;-) Pozdro!
Mateusz filtrowanie ruchu na routerze to jedno, ale do tego dochodzi jeszcze m.in. ochrona endpinta, gdzie na stacjach sluzbowych instaluje sie oprogramowanie zabezpieczajace takie np jak EDR - tutaj zadna wtyczka, czy inne obejscie po prostu nie przejdzie, poniewaz ruch jest rowniez analizowany lokalnie na komputerze. Zwrocmy uwage tez, ze pracodawcy zabraniaja - blokuja mozliwosc instalacji jakichkolwiek dodatkow czy innego softu, a proba obejscia bedzie monitorowana i aktywnie blokowana, chocby przez system EDR itp ;) wszystkie te technologie sa realizowane w dobrej wierze, bezpieczeństwo to proces, ktory zawiera wiele skladowych aby mozliwie jak najlepiej chronic infrastrukturę firmy ;)
P.s. sam za taki system jest odpowiedzialny w pracy i tak jak pracownicy maja w dupie regulaminy to glowa mala. Bez tego juz z tysiac razy ransomware czy inne zlo by miwolo "dziej doby" po zalogowaniu :p
Przez przypadek się o tym dowiedziałem jak sprawdzałem na korpo kompie żony czy odnowił się certyfikat Letsencrypta na jednej z moich domen. Ku mojemu zdziwieniu wystawcą certyfikatu było korpo :)
Kontrola formą wolności 😇
Tak Trzymaj ... :)
Super materiał. Co myślisz o blokada 5? Jest wiarygodna?
Dobrze wypikane z tym Tybetem :) Swoja drogą - coś takiego jak prywatność w kraju, przez który trzeba było wypikać Tybet przestało dawno istnieć i wjeżdżając do tego kraju podpisujesz zgodę na permanentną inwigilację, także tego...
Niektóre firmy blokują możliwość z korzystania z przeglądarek pozwalających na takie obejścia. Za to pozwalają np. Na przeglądanie internetu bez VPN w celach prywatnych, ale wtedy nie popracujesz :) Inne pozwalają komfortowa prace bez VPN. Mam dwa dość skrajne doświadczenia z korporacyjnymi setupami z ostatnich lat.
Drogi Mateuszu a może by tak materiał z perspektywy użytkownika ciemnej strony mocy? Jak administrator sieci powinien zabezpieczyć swój ogródek? Tak by był bezpieczny, ale szanował swoich pracowników. Przydałby się taki materiał. Dzięki za filmy swoją drogą. Kawał porządnej wiedzy.
Administrator sieci powinien takie rzeczy wiedzieć, zanim administratorem zostanie.
@@Krzysztof_Kania oczywiscie, nigdy nie jest jednak za pozno na poznawanie nowych rozwiazan
@@grabarzponury9868 ale nie na tym kanale.
TylkoWentylatory kropka kom to od dzisiaj moja nowa ulubiona strona do testcase'ów :D
ooo, z Kato jesteś! Daj znać jak będziesz chciał iść na browara :D
01:45 aż sprawdziłem - jest taka strona :D
U mnie w pracy większość pracowników siedzi na WiFi firmowym :) Pół portów do znanych stron, czy też portali jest zablokowane, bo nie wchodzą. Nie mniej większość załatwia swoje prywatne sprawy, szuka na wyszukiwarce różne rzeczy i myśli, że są w pełni prywatni.
Mam pytanko, zrobi Pan odcinek o systemie bezpieczeństwa kamer tych ,które można kupić np. na Allegro od Xiaomi czy innego Samsunga
Ps. Super Pan robi odcinki ,subik leci :)
Oj tak, jak patrzyłem w logi swojego mikrotika to te kamery nawet teoretycznie wyłączone w aplikacji, ale podłączone do zasilania non stop gadają z dziwnymi IP w Chinach, podsłuchują przez mikrofon? Nie wiem, ale chyba się domyślam ;) Osobiście włączam je tylko jak wyjeżdżam z domu na dłużej, niech sobie wtedy podsłuchują ciszę ;)
Dobre wideo
Piękny sweterek
Hehe, patrzyliśmy sobie co robią handlowcy w domach, wchodząc im na kamery w firmowych laptopach. To nie było polecenie szefostwa, tylko się bardzo nudziliśmy w IT 😁
Ostatnio Cię pozdrowiłem w Kato obok dworca, mam nadzieję że to nie problem;)
Było mi bardzo miło dziękuje! Niestety ledwie zauważyłem bo już miałem calla na słuchawkach. Praca praca. Miłego!
1. Czy w sytuacji, gdy ruch jest oparty o certyfikat pracodawcy, po kliknięciu na kłódkę w przeglądarce będę widział, że połączenie jest zestawione przez firmowy certyfikat? Czy mimo wszystko przeglądarka będzie widziała tylko prawdziwy certyfikat docelowego serwera?
2. Jeżeli z prywatnego telefonu łączę się z tą samą siecią, w której działa mój firmowy komputer, to znaczy to, że pracodawca nie szyfruje ruchu swoim certyfikatem, bo ten oczywiście zostałby przez mój prywatny telefon odrzucony, czy może system pracodawcy jest na tyle sprytny, aby wykryć, że połączenie nastąpiło nie z firmowego komputera i wtedy nie używa swojego certyfikatu tylko zestawia połączenie przez prawdziwy certyfikat docelowego serwera (i nie podgląda wtedy ruchu)?
a ja polecam w pierwszej kolejności… po prostu kliknięcie w tę kłódeczkę 😉 wielu pracodawców po pierwsze ma listę wyjątków od tego, co tu było powiedziane (i nie wszystkie strony podlegają takiemu rozszyfrowaniu dzięki podstawieniu własnego certyfikatu), a po drugie jakąś specyficzną nazwę własnego certyfikatu na wszystkie „podsłuchiwane” strony - np. prezes używa jutuba i słabo by było, gdyby się zalogował, jego dane (wszak to też gmail) widział każdy w dziale „podsłuchującym”
Stoję właśnie przed wyborem VPN, jest szansa na filmik o nich w stylu tego o komunikatorach?
Co do podsłuchiwania słyszałem o tym, że to nie jest tak proste jeśli przetwarzamy dane chronione przez RODO, czyli gdy pracownik przetwarza wrażliwe dane. Z powodu podsłuchiwania potencjalnie niepowołane osoby mogą te dane pozyskać jak nieuprawnione działy czy w przypadku zewnętrznych rozwiązań - dostawca.
Potencjalnie też można odmówić pracodawcy zgody na podsłuchiwanie, pytanie czy nie skończyłoby się to zwolnieniem :P
Komputer to narzędzie do pracy tak jak łopata czy maszyna do pisania. Jeżeli chcesz pokopać sobie we własnym ogródku to zapytaj czy możesz a jak skończysz oddaj czystą łopatę
Ba, nawet wykorzystując do pracy swój prywatny komputer na prośbę pracodawcy pracodawca może się przyczepić i też ruch będzie monitorowany. Odpaliłem raz Tora, żeby zobaczyć czy zadziała i nie zadziałał, wszystkie próby połączenia zablokowane. Następnego dnia miałem maila z bezpieki DW szefa z reprymendą i prośbą o pilne wyjaśnienia.
Komputer służbowy -> cele służbowe. Nie dziwię się, że firmy bronią się przed wykorzystywaniem służbowego sprzętu do prywatnych celów. Wystarczy otworzyć głupiego emaila i mieć zestawionego VPN z firmową siecią i można narobić bigosu w firmie na grube $. Z założenia należy podchodzić do sprawy jasno, że cokolwiek robię na komputerze firmowym to pracodawca może to podejrzeć. Już pomijamy kwestie etyczne jak informowanie o tym. Takie założenie jest najprostsze i chyba najlepsze. Trochę inaczej sytuacja ma się w momencie wykorzystywania prywatnego sprzętu do pracy zdalnej. Tutaj po za VPN i RDP nie powinno się nic robić ale nawet wtedy odciął bym czas pracy od czasu prywatnego bo znowu cały ruch sieciowy można przerzucić przez router firmowy i znowu to samo co wyżej. Co do samego "ataku" MITM to jedynie działa ze sprzętem firmowym gdzie IT ma możliwość podstawienia certyfikatu. W innym wypadku łatwo wykryć takie podglądanie i szybko przeglądarki nas o tym poinformują. Więc DPI jedynie będzie wstanie zliczyć ruch sieciowy z daną usługą. Zwłaszcza, że wiele stron jest dostępna pod tym samym IP. Co prawda nawet HTTPS można zliczać bo widzimy adresy docelowe jako część jawną. Można zliczać ilość danych wysłanych pod dany adres i powiązać później ręcznie IP z adresem domenowym. Zwłaszcza, że wiele dużych firm ma publicznie podane adresy IP swoich usług a nawet porty.
Od tygodnia korzystam z VPN na swoim prywatnym laptopie po pierwszym użyciu VPN nie miałem Internetu, musiałem zalogować się do internetu a tam wyświetla się ostrzeżenie przy moim urządzenia, że router wykrył nietypowy ruch sieciowy i zablokował dostęp do internetu.
Wystarczało ponownie wpisanie adresu MAC.
Możesz nakręcić odcinek tłumaczący po co powstał Internet ? Jakimi zasadami miał się charakteryzować i co tracimy przez najnowsze regulacje ? Zresztą często na własne życzenie użytkowników.
tl;dr
Powstał jako metoda wymiany danych pomiędzy uniwersytetami.
Nie wspomniałeś jeszcze o analizie tego co użytkownik wyświetla na ekranie. Są narzędzia weryfikujące takie rzeczy i potrafią blokować pewne dane wrażliwe np. PIN-y, NIP-y, PESEL-e itd. Co prawda mówiłeś o regexach, ale te są używane nie tylko do tekstu jako takiego ale nawet do obrazów :)
Słusznie! To są rozwiązania na endpointy a ja tu skupiłem się na DPI by nie przegiąć z długością. Dziękuje za komentarz. Dodaję do listy.
To ja dodam, że z punktu widzenia prawa, zwłaszcza prawa pracy, sytuacja wtedy jest analogiczna jak w przypadku monitoringu poczty elektronicznej, ponieważ przepisy z art. 22(3) Kodeksu pracy stosuje się odpowiednio do wszelkich innych form monitoringu pracowników, które nie zostały uregulowane odrębnie, w tym zwłaszcza monitoringu systemów informatycznych oraz sposobu korzystania przez pracownika z powierzonego sprzętu. W zasadzie wszystkie podstawowe reguły dotyczące monitoringu w prawie pracy określają art. 22(2) i 22(3) Kodeksu pracy :)
Warto zweryfikować swoją wiedzę ponieważ żadne z podanych tutaj trzech danych nie należą do kategorii wrażliwych. Zerknij choćby na art. 9 RODO.
@@MateuszChrobok Ja robię przy takich endpointach. Ale głównie rozwijamy raportowanie danych systemowych, hardware i software. Naszych klientów mało interesuje czy ktoś przegląda fb.
A jeżeli router ma ustawione usługi QoS, np. wyższy priorytet dla gier i streamingu, to używa do tego celu właśnie DPI?
A ja mam takie pytanko, dość oczywistym wydaje się nie używanie firmowego sprzętu do prywatnych spraw, ale czy używanie prywatnego telefonu w na firmowym Wi-Fi podlega tym samym zagrożenia o których opowiada filmik?
Dlatego nigdy nie pracowałem i na szczęście już nigdy nie będę musiał pracować dla korporacji. Nigdy nie zgodził bym się na takie naruszenie prywatności.
Ty: odpalasz Linuxa z pendrive
Firma: gdzie on jest ja to muszę wiedzieć
xD
o ile linux jest prawdopodobnie lepszy do takich zastosowań, to dla ciekawostki podam że windowsa też da się tak nagrać na pendrive i wystarcza do tego chyba tylko "rufus" no i iso windowsa np. z oficjalnej strony
Gorzej jeśli przez bootowanie z pendrive zadziala bitlocker i będzie trzeba do IT dzwonić po kod odblokowujący. 😅
ok rozumiem że z kompa, ktoś może skorzystać prywatnie . Ale kim trzeba być żeby służbowy mail do celów prywatnych używać....
Pan prawnik w kółko mówił monitorowaniu poczy email... Na komputerze że istnieje ryzyko podsłuchiwania z mikrofonu czy na przykład podglądania z kamery o tym już nie wspomniał
ok. Na swoim laptopie (w końcu polisa BYOD) mam klienta VPNa który łączy się do mojego serwera w domu. Serwer z domu pushuje do mnie zarówno route'y, bramki jak i DNSy. w takim razie czego się obawiać jeśli system jest mój i nie ma nim żadnej apki od pracodawcy?
tylko wentylatory, my favorite!
u nas w firmie narobili kamer, liczniki na maszynach, jak za wolna praca to telefony i zdjęcia, czy tak można? kamery ponoć mają być dla ubezpieczyciela, a nie do szpiegowania pracowników?
uzywamy oprocz ubi oprogramowanie, gdzie podczas startu systemu wyskakuje wielkie okienko, ze komputer jest monitorowany...
ludzie sa na tyle beszczelni, ze potrafia sie klucic z nami (informatykami) ze to nasza wina ze to my specjalnie blokujemy im np. strony z hazardem i rzadaja odblokowania...
A jakie ma opcje mój pracodawca na podsłuchanie mojego ruchu sieciowego z komputera służbowego w biurze połączonego z firmowym AP ale tuneluje się z siecią domową przez wireguard na zainstalowanym w VM linuxie i połączeniu VNC z jednym z domowych komputerów. Chyba jedynie zostaje key logger w tym przypadku czy się mylę?
Na szczęście mam możliwość wyłączenia VPN kiedy tylko chce :)
Mój pracodawca szpieguje mój ruch sieciowy na firmowym kompie i jest to jawnie wymienione w mojej umowie. Mam też pozwolenie na "ograniczone używanie kompa do celów prywatnych". Nikt nigdy się nie czepiał Jutjuba i czytania prywatnej skrzynki.
Odcięcie skrzynki mailowej, social media i usług do zapisu plików w sieci to minimum higieny . Skrzynkę pocztową pracownicy mogą sobie czytać na telefonie prywatnym .
O u mnie w firmie tak jest, niby jest sieć dla gości, ale sprawdzając kłódkę przy stronie HTTPS podpisane jest certyfikatem z nazwą mojej firmy, nieważne czy to bank czy nawet Google od kiedy się zorientowałem przestałem korzystać w WiFi w firmie.
Czy schemat z wildcardowym ssl może prowadzić ISP?
Czyli chcesz mieć kontrolę nad swoim internetem, nie używaj służbowego WiFi czy sprzętu :)
A czy pracodawca może śledzić sieć gdzie masz również prywatne urządzenia? (tool jak wireshark)
Istnieje szansa na spotkanie i pogadanie o podsłuchach w cztery oczy?
A czy stosowanie rozwiązania pokroju nextDns pomaga?
Czyli pracodawca, nawet jeśli wcześniej poinformuje o monitoringu komputera służbowego, nie może może robić np. regularnie screenshotów, włączać mikrofonu, kamerkę a co gorsze monitorować klawiatury czyli stosowania keyloggera?
Zresztą, pracodawcę, który perfidnie monitoruje, czyli nie ufa swoim pracownikom, proponuję jak najszybciej zostawić.
każdy pracodawca w jakiś sposób monitoruje, od logów z antywirusa po dedykowane oprogramowanie instalowane na stacjach końcowych. I z mojego punktu widzenia (admin) nie jest to robione żeby zrobić na złość pracownikowi tylko żeby dbać o infrastrukturę w firmie, monitorować jakie są problemy organizacji itp. a to że szef chory i chce kontrolować każdy ruch to inna kwestia
🙏🙏🙏🙏
A trudniejsze pytanie. Służbowy laptop jest podłączony do domowego routera do sieci gość czy pracodawca może podejrzeć ruch pozostałych domowników podłączonych standardowo do routera?
Nie. Pracodawca widzi tylko ruch urządzenia podłączonego po vpn. Ale w wielu firmach VPN odpowiada jedynie za połączenia z sewrerami firmy. Twój ruch po stronach www odbywa się wtedy wyłącznie przez "twój" internet a nie pracodawcy co pomaga odelżyć połączenie firmy. Pomijając już usawienia VPN. Bardziej bym się martwił o oprogramowanie antywirusowe bo w nim nie raz widać wszystko włącznie z tym gdzie twój laptop jest w danej chwili.
"nie" w cudzysłowie bo teoretycznie gdyby nielegalnie chciał to zrobić to zajrzy ci nawet do gaci.
Co zrobić w przypadku gdy mój pracodawca nagle, bez żadnej informacji ani ostrzeżenia wymusił na mnie 2FA oraz wysyłanie swojej lokalizacji co godzinę przez MS Authenticator? Czy to legalne?
Co zabawniejsze, parę godzin później zostało to wyłączone a sama akcja określona jako "wpadka na całą firmę". Co zrobić w przypadku gdy wysłałem już swoją lokalizację i chcę zadbać o swoją prywatność?
Zgadzam się, że wykorzystywanie firmowego komputera do prywatnych celów nie jest ani bezpieczne ani komfortowe. Nie rozumie jednak dlaczego firmy nie umożliwiają pracownikom takiego wykorzystania, np. poprzez utworzenie prywatnego konta na komputerze bez tych wszystkich firmowych narzędzi i powiedzmy 100GB przestrzeni dyskowej. Byłby to ładny ukłon w stronę ekologii, bo człowiek nie musiałby kupować i posiadać w domu kilka komputerów. Z drugiej strony na komputerze firmowym często jest już zainstalowane oprogramowanie, które możemy chcieć wykorzystać w celu nauczenia się czegoś i rozwinięcia naszych umiejętności z korzyścią dla pracodawcy także...
Myślę że brak takich polityk to umyślne działanie firm, bo one tak naprawdę chcą, żeby pracownik korzystał z firmowego komputera cały czas... Przynajmniej te duże, zbudowane według starych reguł. Bo pracownik dzięki temu będzie ciągle w środowisku pracy i może na wakacjach sprawdzi maila i odpowie... a miał sobie obejrzeć tylko Netflixa...
Z drugiej strony systemy wcale nie ułatwiają takiej czystości praca /dom. Weźmy Apple, użyjemy naszego AppleId, na które kupiliśmy wszystkie narzędzia i iCloud. I już wszystko fruwa w etrze...
Ja się tylko grzecznie przypominam :-) pękło 50 tyś ? A drugie pytanie jak idą testy z alternatywą do discorda ? Brakuje platformy do wymiany :-)
Dlatego (niestety) laptopa z pracy można używać do celów prywatnych tylko jeśli SAM na nim instalowałeś system operacyjny ze SWOJEGO pendrive'a z obrazu Windowsa/Linuxa który SAM pobrałeś z internetu. Na taki komfort mogą chyba tylko liczyć pracownicy mniejszych firm (gdzie nie opłaca się robić super hiper działu IT) oraz programiści (którym ze względu na charakter pracy przeważnie pozwala się na dowolne modyfikacje oprogramowania byleby było legalne).
To ja jeszcze zapytam, co z podglądaniem urządzeń mobilnych przez pracodawców? Piszę ze służbowego tabletu korzystając z routera w domu.
2:55 Dobre. XD,
Tylkowentylatory kropka kom zrobiło mi dzień :)))))
Spoko tylko 3 ale.
1 Pracodawcy nie tylko skanują ruch ale mają po prostu preinstalowany inny program zbierający informacje o tym co robicie na urządzeniu.
2. Używanie vpn w vpn albo foxyproxy będzie większym powodem do zwolnienia niż korzystanie ze stronek z kotkami. O ile taki ruch nie zostanie wykryty i zablokowany wcześniej jako nieznany.
3. Nikt was nie będzie informować po 2-3-5 razy. Wszystko macie ładnie opisane w umowie która podpisujecie. Idąc dalej, to że macie przykładowo admina wcale nie oznacza że możecie instalować soft
DPI z BSNL ma dwa końce , można dodać i można , nie - i po reklamie
Pracuje w korpo 8k userow jako senior network engineer I ani razu nikt mnie nie zapytal o dane jakiegokolwiek usera od 5 lat. Czy to jakies polskie praktyki ? My uzywamy tego w firewallach przy rozpoznawaniu I blokowaniu/przepuszczaniu ruchu na bazie sygnatur aplikacji
Bo zazwyczaj normalne firmy nie maja problemu ze ktos przelgada sobie smiesznekotki .;)
A jak po pracy odpalę Debiana z pendrive na firmowym kompie to jestem kryty? Tylko jak go ściągnąć z tych torrentów, skoro są poblokowane? ;)
A co z firmowym wifi?
Hmm tor Pierwszy odcinek MR Robot
W jednej firmie miałem taki zapis w umowie, że korzystanie ze sprzętu służbowego do celów prywatnych jest zakazane. A dalej było, że jeśli jednak będę korzystał, to pracodawca ma prawo to monitorować.
W erze home office, to już nie widzę sensu do używania sprzętu służbowego do celów prywatnych skoro na biurku stoi prywatny laptop.
Działa w dwie strony nie powinno sie korzystać ze sprzętu domowego do pracy służbowej.
@@piastpluk
Też tak uważam. Mniej problemów.
Z komputera służbowego się po prostu nie robi się prywaty. Wydaje mi się że w dzisiejszych czasach można to zrobić w pracy z telefonu korzystając z sieci GSM i własnego abonamentu, aby nie podkładać się pracodawcy. Można sobie kupić tablet jak kto musi większy ekran, a najlepiej po prostu robić to w domu i mieć spokojną głowę. Natomiast co do komputera służbowego, to kiedy przeszedłem na 100% zdalnej przestałem z niego korzystać, pisać można z prywatnego kompa i wolę takie rozwiązanie niż kopanie się z jakimś firmowym laptopem.
ale te miniaturka jest daremna, może ją uratować jedynie jeszcze bardziej kpokręcona poza🙂
Wydaje mi się że popełniłeś błąd z tłumaczeniem mechanizmu podglądu. Tak działa proxy a nie VPN. VPN przekazuje pakiety przez swoją siec nawet jak są zaszyfrowane ale w tym przypadku może je odszyfrować bo nasze urządzenie poprzez instalacje certyfikatu jest ustawione aby szyfrowało do danej strony i zawsze do pracodawcy. Gdyby jeden element zawiódł podgląd nie byłby możliwy.
Jako rada co zrobić gdy już musimy skorzystać z urządzenia do prywatnych spraw to najłatwiej jest ściągnąć ISO w pełni wolnego systemu operacyjnego albo dowolnego innego. Zazwyczaj nie ma przed tym zabezpieczeń lub da się je obejść. CMOS zawsze działa chyba że system pracodawcy polega na tpm
Mam pytanko, bo chyba bardziej to ogarniasz :P Czyli w tym przypadku sesja TLS negocjowana jest pomiędzy nami a proxy (w części od nas do proxy pracodawcy) ? Proxy podmienia certyfikat, a dzięki temu że jest on przez nas zaufany i ma wildcarda, przeglądarka łyka go bez większego problemu ? Czyli z VPNem czy bez, jeżeli używamy proxy i mamy zainstalowany odpowiedni certyfikat taki "podgląd" ruchu http będzie możliwy ?
@@maniac83bb Nie do końca rozumiem pytania. W sytuacji którą przedstawił Mateusz nie używamy firmowego proxy a vpn. Proxy działa inaczej niż vpn: wykonuje żądania w imieniu użytkownika dlatego zna dokładnie dane nie ważne czy dane do niego są szyfrowane czy nie.
Z tego co zrozumiałem na koniec pytasz czy używanie zewnętrznego proxy uniemożliwia podglad pracodawcy.
Jeśli żądania do niegoo są szyfrowane w inny sposób niż tls to tak chroni przed podglądem pracodawcy (jest to przypadek podobny do tego jaki podał Mateusz czyli VPN w VPN)
Jeśli szyfrowanie jest do proxy przez tls (lub w ogóle) to pracodawca może go odszyfrować tak jak w przypadku klasycznych stron https bo komputer jest ustawiony aby tak szyfrować ten protokół
@@BxOxSxS thx, za odpowiedź. Użyłem przykładu z proxy, bo jak sam napisałeś "Tak działa proxy nie VPN". Nie bardzo rozumiem jak jedno ma się do drugiego (VPN do proxy). W sensie prosty case, ruch sieciowy idzie na zewnątrz przez VPN pracodawcy, łączę się przez tlsa (po https z jakimś web serverem). Rozumiem że VPN szyfruje ruch na poziomie najniższej warstwy, a to że "wyżej" następuje negocjacja sesji tlsowej a potem dane do tego serwera są szyfrowane kluczem sesji jest już zupełnie poza kwestią VPN ? Dobrze mówię czy nie (serio nie jestem pewien :-) )? A duga kwestia (miałem właśnie wrażenie że tutaj o tym piszesz), jest użycie jeszcze proxy do połączenia https, gdzie nieistotnie od tego czy ruch idzie przez VPNa czy nie, proxy jest tym po środku z którym my rozmawiamy, nawiązujemy sesję TLS, z użyciem firmowego certyfikatu, dlatego IT jest w stanie wszystko rozszyfrować (bo klucz sesji pochodzi z handshakingu my z proxy a nie my z serwerem docelowym). Dopiero od proxy do serwera docelowego, ruch jest szyfrowany przez klucz z sesji w której ustanowieniu brał udział serwer docelowy ? Piszę to jako pytanie/twierdzenie.. w sensie że tak mi się wydaje, i szukam kogoś ogarniętego który powie TAK albo NIE bo to jest tak... :-) dzięki z góry i pozdrawiam
@@maniac83bb Tak vpn działa niższej warstwie ale należy pamiętać że vpn szyfruje do sieci pracodawcy więc on widzi ruch bez szyfrowania vpn. Jeśli pracodawca odszyfrowuje ruch tls przez swój certyfikat to jest na na wyżej warstwie protokołu. Jakbyśmy byli fizycznie podpięci do sieci w miejscu pracy to też mógłby tak zrobić bez vpn bo vpn tylko 'zmiania' naszą siec na tą na którą jest ustawiony (czyli tutaj pracodawcy) aby umiżliwić dostęp zdalny
W drugiej kwestii wszystko dobrze napisałeś to jest właśnie to co pisałem o proxy
Coś specjalista od monitorowania zapomniał że pracownik może OTRZYMAC prywatna pocztę na swój służbowy adres zarejestrowany na Twoje nazwisko
rozwiązaniem jest 2 komputer niepodłączony do sieci pracodawcy
Roszywanie ruchu TLS, poprzez podszywanie się pod firmy trzecie, jest wg. mnie nie legalne. To przecież jest podrabianie dokumentu (certyfikat firmy trzeciej) - art. 270 KK, lub też kradzież tożsamości art. 190a § 2 KK.
Myślę że zdecydowanie za lekką ręką działy IT uruchamiają takie narzędzia.
See you again.
Materiał dobry ale nie jestem przekonany czy mieszanie DPI i QoS jest właściwe.