sgamare l'azienda che sbircia i log del proxy

Discussione:

(troppo vecchio per rispondere)

Paolo B.

2015-05-20 20:10:43 UTC

Fatto realmente accaduto:

Ho un mio sito personale, praticamente vuoto, dove ci sono servizi che
uso solo io, una webmail installata da me, ecc
Supponiamo che io mi chiami mario rossi e il sito sia www.mariorossi.it

Il sito è assolutamente sconosciuto e non c'e' niente nella home page,
solo una videata giusto per vedere che funziona e i link ai servizi per me.

*Nessuno* va su quel sito se non per errore o i motori di ricerca.

Ci sono andato (lo ammetto) dal pc di lavoro, qualche volta (neanche
tante, a dire il vero).

Dopo qualche giorno provo ad andarci e mi trovo la schermata di web**nse
che mi dice che il sito è in blacklist, la stessa schermata che viene se
provo ad andare su youporn, crack.am, ecc, la categoria di blocco
(hacker, porn, ecc) è "bloccati $nomeazienda"
sì, è nella blacklist specifica dell'azienda dove lavoro, non nelle
blacklist comuni che presumo distribuisca web**nse

Ho lasciato perdere perche' incazzarmi sarebbe stata un'arma a doppio
taglio visto che ero dalla parte del torto, ma la domanda è:
COME GLI E' VENUTO IN MENTE DI BLOCCARE WWW.MARIOROSSI.IT
o meglio
COME SONO VENUTI A CONOSCENZA DELL'ESISTENZA DI WWW.MARIOROSSI.IT?
e temo che la risposta sia:
GUARDANDO ILLEGALMENTE E ALLEGRAMENTE I LOG DI PROXY PER SBIRCIARE SU
QUALI SITI NAVIGANO I DIPENDENTI.

Leonardo Serni

2015-05-20 21:03:21 UTC

Permalink

Post by Paolo B.
Ho lasciato perdere perche' incazzarmi sarebbe stata un'arma a doppio
COME GLI E' VENUTO IN MENTE DI BLOCCARE WWW.MARIOROSSI.IT
o meglio
COME SONO VENUTI A CONOSCENZA DELL'ESISTENZA DI WWW.MARIOROSSI.IT?
GUARDANDO ILLEGALMENTE E ALLEGRAMENTE I LOG DI PROXY PER SBIRCIARE SU
QUALI SITI NAVIGANO I DIPENDENTI.

La risposta e' sicuramente

"Guardando il log del proxy".

Va capito se lo fanno per "sbirciare", per mantenere efficiente la navigazione
aziendale (e visto che non penso tu facessi cosi' tanto traffico, questa io la
escluderei -- ma potrei sbagliarmi) o per farsi vedere efficienti... in questa
epoca di tagli al personale e compressione dei costi, e' un'opzione che spesso
si verifica.

Se l'abbiano fatto allegramente o meno e' difficile stabilirlo - anche perche'
e' del tutto possibile che la nuova blacklist venga da un generatore autonomo,
che fa qualcosa come

./squid-refresh-blacklist.pl /var/log/squid /etc/whitelist.txt

e prende tutti gli indirizzi NON in whitelist, ma usati da qualcuno, e ne crea
una blacklist.

Infine va capito se lo facciano "illegalmente" o no; li', dovresti vedere bene
cosa dice il contratto e/o il regolamento aziendale. E solo dopo puoi decidere
se lamentarsi e' legittimo, e, nel caso, se e' anche conveniente, e come.

Leonardo

--
A stultis ex omnibus gentium varie pictis
A sanctae fidei adeptis, ab eorum odore;
AB insanis Iacobinis, ab eorum ardore
AB idolatris et martyribus odii et terroris;
A paradisi fautoribus dicentibus "est pro amore",
A manichaeis ululantibus "Nisi nobiscum prodes";
LIBERA, libera, libera, libera nos, Domine.

Paolo B.

2015-05-21 08:27:22 UTC

Permalink

Post by Leonardo Serni
Va capito se lo fanno per "sbirciare", per mantenere efficiente la navigazione
aziendale (e visto che non penso tu facessi cosi' tanto traffico, questa io la
escluderei -- ma potrei sbagliarmi) o per farsi vedere efficienti... in questa
epoca di tagli al personale e compressione dei costi, e' un'opzione che spesso
si verifica.

Penso che se un'azienda inviasse ad un dipendente una lettera di
licenziamento per giusta causa scrivendo nelle motivazioni "abbiamo
visto dai log del proxy che navighi su www.pluto.com" il dipendente
aprirebbe il Q all'azienda.

Diverso se l'azienda scrive "nella rete aziendale è arrivato un virus,
da controlli effettuati per capire la provenienza dell'infezione è
risultato che il virus risulta è stato scaricato da www.pippo.com,
risulta che il dipendente tal dei tali sia andato su www.pippo.com e ha
scaricato il virus"

Tutto questo IMHO.

Piergiorgio Sartor

2015-05-21 16:30:13 UTC

Permalink

On 2015-05-21 10:27, Paolo B. wrote:
[...]

Post by Paolo B.
Penso che se un'azienda inviasse ad un dipendente una lettera di
licenziamento per giusta causa scrivendo nelle motivazioni "abbiamo
visto dai log del proxy che navighi su www.pluto.com" il dipendente
aprirebbe il Q all'azienda.

Mah, non so come sia la legge in Italia, ma
da noi l'azienda dichiara *esplicitamente*
di monitorare il traffico per varie ragioni.

Tra l'altro, l'uso *privato* della rete non
sarebbe lecito.

bye,

--
piergiorgio

Skull

2015-05-21 16:18:20 UTC

Permalink

Post by Paolo B.
Ho un mio sito personale, praticamente vuoto, dove ci sono servizi che
uso solo io, una webmail installata da me, ecc
Supponiamo che io mi chiami mario rossi e il sito sia www.mariorossi.it
Il sito è assolutamente sconosciuto e non c'e' niente nella home page,
solo una videata giusto per vedere che funziona e i link ai servizi per me.
*Nessuno* va su quel sito se non per errore o i motori di ricerca.
Ci sono andato (lo ammetto) dal pc di lavoro, qualche volta (neanche
tante, a dire il vero).
Dopo qualche giorno provo ad andarci e mi trovo la schermata di web**nse
che mi dice che il sito è in blacklist, la stessa schermata che viene se
provo ad andare su youporn, crack.am, ecc, la categoria di blocco
(hacker, porn, ecc) è "bloccati $nomeazienda"
sì, è nella blacklist specifica dell'azienda dove lavoro, non nelle
blacklist comuni che presumo distribuisca web**nse
Ho lasciato perdere perche' incazzarmi sarebbe stata un'arma a doppio
COME GLI E' VENUTO IN MENTE DI BLOCCARE WWW.MARIOROSSI.IT
o meglio
COME SONO VENUTI A CONOSCENZA DELL'ESISTENZA DI WWW.MARIOROSSI.IT?
GUARDANDO ILLEGALMENTE E ALLEGRAMENTE I LOG DI PROXY PER SBIRCIARE SU
QUALI SITI NAVIGANO I DIPENDENTI.

C'è una spiegazione alternativa abbastanza comune, a dire il vero.

Il filtraggio operato dall'azienda è basato su dati di reputazione e
categorizzazione forniti da terzi, in questo caso websense, dati che
vengono remotamente interrogati dalla soluzione presente in casa
dell'azienda.

Tu visiti www.mariorossi.it, l'appliance aziendale chiede a websense.
Ma websense non sa nulla riguardo a www.mariorossi.it, ergo

1) risponde all'appliance dell'azienda che il sito non è noto per essere
dannoso, e che la sua categoria è ignota.

2) mette in coda una richiesta di analisi per www.mariorossi.it

quel che avviene di seguito è:

3) il sito viene visitato dai crawler di websense e categorizzato come
"cazzeggio" (o "calcio balilla" o qualsiasi altra cosa si applichi)

4) tu rivisiti il sito, l'appliance aziendale ri-domanda a websense

5) websense, a questo punto, qualcosa su www.mariorossi.it la sa. E
risponde «non è noto per far danni, ed è categorizzato come "cazzeggio"»

6) l'appliance aziendale verifica che "cazzeggio" non è una categoria
che i dipendenti sono autorizzati a visitare, e ti risponde "attàccati"

Poi magari non è questo il caso, ve'...