¿Cómo garantizar un anonimato razonable al enviar información a una plataforma?

Navega tus respuestas
1

Un jefe importante en la empresa para la que trabajo ha iniciado una plataforma que permite a cualquier empleado enviar preguntas para ser respondidas en una reunión periódica que se transmite a todos los empleados.

Esto se hace en un esfuerzo por permitir que los problemas "crezcan".

El sistema se anuncia como "anónimo", por lo que no hay presión para que un empleado pregunte sobre temas "sensibles" (por ejemplo, problemas que no se pueden comunicar a su jefe). Por supuesto, todas las preguntas son moderadas, por lo que las realmente malas no se leen nunca durante la conferencia.

Aunque nunca he oído hablar de alguien que tenga problemas relacionados con esta plataforma, mi preocupación está relacionada con el anonimato:

  • publicación desde la máquina de trabajo : esto es claramente rastreable, ya que todo el tráfico pasa a través de un proxy
  • la publicación desde un dispositivo personal - debe ser anónima, pero existe una pequeña posibilidad de que alguien descubra la asignación entre la IP de la máquina del trabajo y otras IP personales (por ejemplo, Gmail tiene una interfaz que muestra las IP utilizadas) para conectarse a la cuenta).
  • publicar desde un dispositivo personal mediante una red Wi-Fi abierta o un proxy : no se me ocurre una manera de poner en peligro el anonimato.

Pregunta: ¿Cómo garantizar el anonimato de razonable al enviar información a una plataforma?

Por razonable, asumo que no hay publicaciones ilegales (por ejemplo, la divulgación de información crítica, que amenaza a alguien).

    
pregunta Alexei 08.12.2017 - 15:39
fuente

2 respuestas

2

Al hacer algo en un dispositivo que es propiedad de otra persona, sugiero hacer una suposición básica: nada de lo que hagas en ese dispositivo es privado y el propietario puede ver todo lo que haces en él. El propietario puede instalar keyloggers o usar un teclado habilitado para keylogging e instalar software que capture todos los paquetes de red. Con respecto a una computadora de trabajo, inicie sesión en eso y será responsable de todo lo que suceda mientras esté conectado. Por lo tanto, tiene razón en que no hay expectativa de privacidad, independientemente de un proxy.

Publicación WRT desde un dispositivo personal: eso supone que estás en la red corporativa (o red corporativa invitada). Posiblemente podrían descubrir quién publicó eso, pero tomaría un poco de esfuerzo.

Usted tiene razón acerca del dispositivo personal en una red separada, a menos que el sitio esté recopilando datos sobre el dispositivo que envía preguntas. Aquí la pregunta se vuelve más acerca de determinar qué es "razonable".

La forma más segura de hacerlo es hacerlo de una manera en la que no haya iniciado sesión con credenciales corporativas, de modo que el dispositivo personal en una red remota, siempre que no tenga VPN, debe proporcionar Eres un buen grado de anonimato.

Sin embargo, eso no revela el problema no técnico. La información anónima no siempre es algo bueno. Eso puede ser conocimiento que tú y solo tú sabes. Sí, lo está informando de forma anónima, pero alguien puede llegar a la conclusión de que "solo alexei lo sabe" y aún debe enfrentar el hecho de que su anonimato se vea comprometido.

    
respondido por el baldPrussian 08.12.2017 - 15:50
fuente
3

Ejecute el sitio que toma los mensajes de los empleados como un sitio web simple y como un servicio oculto de TOR. Proporcione una explicación sobre cómo conectarse al sitio a través de TOR si alguien desea hacerlo.

De esta manera, las personas que temen las repercusiones pueden conectarse desde su dispositivo personal en el hogar a través del Navegador TOR, lo que hará que sus informes sean tan imposibles de rastrear. Tenga en cuenta que esto se aplica solo al origen de red del mensaje; Dependiendo de lo que se diga en el mensaje, podría llevar al póster original.

Todos los demás que no temen las repercusiones aún pueden conectarse y utilizar el sitio normalmente.

(También puede omitir el paso del servicio oculto y simplemente usar el navegador TOR para conectarse al sitio, pero si el sitio proporcionara un servicio oculto, eso llevaría a la conclusión de que la compañía toma en serio la privacidad del usuario).

    
respondido por el Pascal 08.12.2017 - 16:15
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede el usuario obtener acceso para iniciar sesión cuando las contraseñas se almacenan en MD5? ¿Qué tan peligroso es confiar en un "Certificado de servidor de ejemplo"?