Monitorování internetu v práci

[Mirek Prýmek]

Ale nepovidejte opravdu? Tak se o tom trochu rozepiste. Zacneme treba tim jak se desifruje AES a take jaky browser slepe akceptuje certifikat.

Pokud ma spravce k dispozici admin přístup na stanici (což obvykle má, že), může si tam nainstalovat jakoukoli certifikační autoritu jako důvěryhodnou. Potom může bez problémů na gatewayi dělat MIM.

Zjistíš to tak, že se podíváš, jaký certifikát stránka prezentuje. Pokud je to certifikát podepsaný "CA naší firmy, s. r. o.", jsi doma.

[Reklama]

[Jirka]

A on nekdo nekontroluje SSL certifikaty?

[M.]

A on nekdo nekontroluje SSL certifikaty?

Jenže tne certifikát je v pořádku. Zní na jméno n jaké= má, třeba www.facebook.cz a je podepsán autoritou, které počítač věří (jen v tomto případě je tou autoritou ta firemn a ne DigiCert. Takž eprohlížeč mlčí a je spokojen, pokud tma nemáte modul, který by hlídal, zda došlo ke změně CA u certifikátu dané stránky.

[M.]

Dělá se to tak, že firemní proxy v reálném čase vystavuje certifikáty pro navštěvované weby firemní certifikační autoritou, která je nastavena jako důvěryhodná na všech firemních počítačích. Jediný případ, kdy to selhává, je BYOD. To je taky možná důvod, proč se na téma „bezpečnost BYOD“ už leta pořádají odborné konference (a stále bez výsledku )

A pro ty, co to ještě nevyřešili, tu máme 802.1x? Zkrátka počítač, co není firmy, tak se do sítě nepřipojí. :-)

[Mirek Prýmek]

Zcela kašlání na zbezpečení sítě se má vzthovat to obecné ohrožení

To mi přijde fakt divný. Posuď sám:

(1) Kdo z nedbalosti způsobí obecné nebezpečí tím, že vydá lidi v nebezpečí smrti nebo těžké újmy na zdraví nebo cizí majetek v nebezpečí škody velkého rozsahu tím, že zapříčiní požár nebo povodeň nebo škodlivý účinek výbušnin, plynu, elektřiny nebo jiných podobně nebezpečných látek nebo sil nebo se dopustí jiného podobného nebezpečného jednání, nebo kdo z nedbalosti takové obecné nebezpečí zvýší nebo ztíží jeho odvrácení nebo zmírnění, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti.

Porovnavat spatne zabecenou sit s pozarem ohrozujicim spoustu lidi mi prijde dost divny - chtel bych fakt videt ty judikaty...

z nedbalosti a v případě firemní sítě s přitvrzním, nedbalosti při výkonu povolání s kvalifikací hrubá nedbalost.

Bez urazky: prijde mi, ze trochu motas veci dohromady - "hruba nedbalost" se tyka fyzicke osoby, to nemuzes vztahovat na firmu.

[Reklama]

[JurijP]

Tak som skusil pozriet aky certifikat sa pouziva napr. na gmail.com, a je tam certifikat od google, ziaden certifikat nasej firmy.

[hnusný pes]

to: to je jedno - taky že jsem odešel...

[Mirek Prýmek]

Tak som skusil pozriet aky certifikat sa pouziva napr. na gmail.com, a je tam certifikat od google, ziaden certifikat nasej firmy.

Pokud je admin obzvláště zákeřný, může udělat i tohle. Pro rozumnou jistotu bys musel ještě porovnat fingerprint

Čistě teoreticky by mohl i instalovat upravený prohlížeč, který by tě ošálil čímkoli, ale to snad nikdo nedělá. Taky proč, že...

[Mirek Prýmek]

A pro ty, co to ještě nevyřešili, tu máme 802.1x? Zkrátka počítač, co není firmy, tak se do sítě nepřipojí. :-)

Ty konference, o kterých Oskar psal, jsou na téma "jak umožnit připojení vlastních zařízení a zároveň úplně nerezignovat na bezpečnost".

802.1x není nic, co by někdo neznal, ale tenhle problém to samo o sobě neřeší.

[M.]

Zcela kašlání na zbezpečení sítě se má vzthovat to obecné ohrožení

To mi přijde fakt divný. Posuď sám:

Nejsem právník, stačí mi, že při posledním připomínkování jakési zadávací dokumentace to pak žvýkalo konsorcium osmi právních firem, co prověřovalo, že za kažou cenu musí být zadaní na straně "právního bezpečí".

Ohledně toho, firma je odpovědná za škody, co způsobí.
To je v občanském zákonu - předcházení škodám - každý si má počínat, tak aby předcházel škodám, ....
Každý odpovídá za škody, co způsobil (fyzická osoba, právnická, ...) obecně v tomto případě bude odpovídat firma (jako majitel té sítě,, kterou používá při své činnosti) za tu škodu. Zodpovědnosti se zbavím, pokud prokáži, že jsem tu škodu nezavinil. Pokud ale v půběhu šetření se dojde k tomu, že došlo k nějaké formě nedbalosti, kterou ti fakticky provede nějaký člověk v tí firmě, tak má ta žalující strana pádný argument pro to, aby firma hradila škoduv občanském řízení. Té žalující straně je za škodu odpovědná firma a ne ti konkrétní lidi, co se na to vysrali, protože nědělali co měli. Samozřejmě je pak možná, v mezích legislativy, firmou žádat odškodnění  po těch lidech, což obvykle nemusí stačit. Proto nám nalejvají, že vždy máme chtít od vedneí vše písemně a pdoepsané, připomíky co je špatně, abych byl z obliga a nemohi to na mě hodit při průseru, že je to tka proto z důvodu požadavku vedení a tady to mám písemně, přestože byl upozorněn co to nese (je fajn, když ti firma radí, jak postupovat, aby na tebe nemohla) a firma vyžaduje dělat vše v souladu s kostelním pořádkem.

[Mirek Prýmek]

Nejsem právník, stačí mi, že při posledním připomínkování jakési zadávací dokumentace to pak žvýkalo konsorcium osmi právních firem, co prověřovalo, že za kažou cenu musí být zadaní na straně "právního bezpečí".

Já bych tyhlety korporátní právní opičky dělil deseti - jasně, oni prostě hrají na co největší bezpečení, na předcházení i věcem čistě hypotetickým - nemůžeš to imho brát úplně doslova...

Každý odpovídá za škody, co způsobil (fyzická osoba, právnická, ...)

Tak to každopádně.

Mně jde o to, jak se v praxi (-> judikáty) posuzuje nějaká ta míra "spoluodpovědnosti". Úplně polopaticky řečeno, když firma nechává lopaty jenom tak ležet nezabezpečené, někdo si jednu lopatu vezme a rozbije s ní někomu okno, tak přece nikdo nebude popotahovat firmu za to, že neměla lopaty někde zamčené...

U těch sítí je to imho hodně složitý a záleží na tom, o co přesně se kdo bude soudit. Když útok prokazatelně povede z mé sítě, tak asi budu muset nějak dokazovat, že jsem to nebyl já ani můj zaměstnanec, to je jasný. Ale že bych měl nějakou spoluvinu na tom, že se mi nějaká třetí osoba nabourá do mé sítě a zneužije ji k útoku, to se mi nezdá - musel by na to imho být nějaký paragraf, který by mi nařizoval síť zabezpečit, což AFAIK není.

Další věc je, že si moc nedovedu představit, jak by mi kdo dokazoval, že jsem síť neměl "řádně" zabezpečenou - vždyť je úplně legitimní říct, že tohle riziko jsem se rozhodl podstoupit, protože eliminovat ho by pro mě bylo moc drahé...

Co se týče ručení firmy za vlastní zaměstnance, tam je situace jasná, v tom není spor.

[M.]

A pro ty, co to ještě nevyřešili, tu máme 802.1x? Zkrátka počítač, co není firmy, tak se do sítě nepřipojí. :-)

Ty konference, o kterých Oskar psal, jsou na téma "jak umožnit připojení vlastních zařízení a zároveň úplně nerezignovat na bezpečnost".

802.1x není nic, co by někdo neznal, ale tenhle problém to samo o sobě neřeší.

Já o myslel tak, že dokud si nevyřeším jak provozovat BOYD zařízení bezpečně, tak je zkrátka blokuji a nepřipustím.

Aneb, jde o variantu toho, co řešíme vedle, pokud si zaměstnanec přinese do práce svj noteook, připojí ho do elektriky, odejde na oběd a v notebooku vybuchne akumulátor/zapáli firmu/..., tak vůči všem poškozeným (nejpravděpodobněji další zaměsntnaci) je odpovědná firma - ta bude hradit škodu. Te se zbaví, že prokáže, že dělá vše pro to, aby se takové nebezpečné zařízení nedostalo do firmy, kontroluje to, nedovoluje a postihuje. A tohle platí třeba i o blbé nabíječce na mobil patřící zaměstanci...
Pokud chce povolit takovéto hračky, tak fakticky ty zařízení musí vzít do své evidence, mít k nim karty, provádět na ně revize, .. Pak bude relativně z obliga, že dělá vše pro to, aby odvrátila škody. To je stejný případ, jako ta škoda z té sítě vučí třetí osobě o příspěvek vedle.

[M.]

Nejsem právník, stačí mi, že při posledním připomínkování jakési zadávací dokumentace to pak žvýkalo konsorcium osmi právních firem, co prověřovalo, že za kažou cenu musí být zadaní na straně "právního bezpečí".

Já bych tyhlety korporátní právní opičky dělil deseti - jasně, oni prostě hrají na co největší bezpečení, na předcházení i věcem čistě hypotetickým - nemůžeš to imho brát úplně doslova...

Ono záleží na oboru.. Někde je to šaškárna,  že maximálně ti po chybě spadne letadlo, zkrachuje banka, čert to vem..
Ale pokud to je obor, kde po chybě nastupuje aktivace legislatovy o krizivém řízení státu,  přsouváš tisíce lidí a podobné, tam už to má smysl. :-)

U těch sítí je to imho hodně složitý a záleží na tom, o co přesně se kdo bude soudit. Když útok prokazatelně povede z mé sítě, tak asi budu muset nějak dokazovat, že jsem to nebyl já ani můj zaměstnanec, to je jasný. Ale že bych měl nějakou spoluvinu na tom, že se mi nějaká třetí osoba nabourá do mé sítě a zneužije ji k útoku, to se mi nezdá - musel by na to imho být nějaký paragraf, který by mi nařizoval síť zabezpečit, což AFAIK není.

Další věc je, že si moc nedovedu představit, jak by mi kdo dokazoval, že jsem síť neměl "řádně" zabezpečenou - vždyť je úplně legitimní říct, že tohle riziko jsem se rozhodl podstoupit, protože eliminovat ho by pro mě bylo moc drahé...

Nebezpečí plyne z toho, že to právě není přesně právně kodifikováno. Např. pro veřejné telekomunikační služby to právě relativně přesně definuje zákon o elektronických komunikacích a zákon o některých aspektech informační společnosti (kdo, kdy a komu za co ručí/odpovídá).
Kdežto pro domácí/firemní sítí platí jen ty dvě obecné proklamace, káždý si má počínat, každý odpovídá a pak je na tom, co z toho vzejde.
Něco nám snad napraví legislativa o kybnetické bezpečnosit od příštího roku, aspoň pro některé subjety.

Posuzovat to bude soudní znalec, který by měl říci, že děláš vše, co je dneska v oboru obvyklé (a budeš doufat, že postupuje podle něčeho roumného a ne doporučení nedělních IT přííloh novin) a řekne, že je to OK a rozumně si splnil, co můžeš očekávat.

Ano, je legitimní říci, že toto riziko podstupuji a kašlu na to.
Nedbalost vědomá = dotyčný způsobit škodu vědomě nechce, ale ví, že danou činností nebo nečinností ji způsobit může a spoléhá, že se tak snad nestane. Soud by měl "objektivně" posoudit velikost vzniklé škody a jak jsem k ní svým chováním přispěl, zda k dané situaci na co jsem spolehal a jak moc a dle toho případně přisoudit podíl na hrazené škodě. Takže je to o tom, jak se vyspí....

[JurijP]

zas sa to tu strhava na nejake pravnicke dohady, co nebolo ani predmetom toho, na co som sa pytal

[M.]

Nu, a bylo ti to snad vysvětleno technicky, že může, snadno a důkladně. A taktéž náhled, že k takové činnosti jsou i právní důvody
A od příštího roku bude takové šmírování a analyzování co se jim děje pro některé subjekty povinnost uložená zmíněným zákonem o kybernetické bezpečnosti (pokud spadáš do firmy/oboru, na kterou se bude vztahovat nařízení vlády o kritériích pro určení prvku kritické infrastruktury). :-)