¿Cuáles podrían ser las consecuencias legales y políticas de la detección de tráfico?

5

Encontré un agujero de seguridad en una organización en el Reino Unido con muchos empleados. El formulario de inicio de sesión envía el nombre de usuario y la contraseña en texto sin cifrar al IP público que se encuentra a través de HTTP. Inicialmente señalé esto a TI, pero no entendieron y pidieron una captura de pantalla. Utilicé un sniffer para mostrar mi nombre de usuario y contraseña, en nuestra red WiFi para huéspedes que no tiene acceso a la red interna. No usé envenenamiento ARP.

El departamento de TI respondió a mi solicitud diciendo que están al tanto de eso y que no solucionarán el problema en el momento más cercano. También me informó al Jefe de Seguridad debido al hecho de que usé sniffer.

Q : ¿Qué debo hacer? ¿Cuáles son las consecuencias de usar un rastreador dentro de una organización en el Reino Unido?

Lección aprendida
Hable con el jefe en lugar de reportarlo directamente a TI.

    
pregunta bob 28.05.2011 - 19:46
fuente

6 respuestas

8

Comenzaré con las declaraciones habituales de que no soy abogado y esto no es un consejo legal :)

En mi opinión, el uso de un rastreador de red no es ilegal en el Reino Unido (¡un gran número de profesionales de TI estarían en graves problemas si lo fuera!).

Si hay legislación relevante, creo que sería la Ley de uso indebido de la computadora , la Ley de Regulación de los Poderes de Investigación y / o Ley de protección de datos .

Si ha interceptado y visto el tráfico que pertenece a otras personas, eso podría ser un problema, pero si lo instaló en su propia PC y la red de destino está ejecutando un entorno de conmutación estándar, no lo habría pensado. Es probable que haya tenido acceso al tráfico de otros usuarios, por lo que efectivamente todo lo que ha hecho es ver su propia información.

Se puede considerar que la empresa infringe la Ley de protección de datos si envía datos de identificación personal a través de una red no confiable (por ejemplo, Internet) sin la protección adecuada (por ejemplo, SSL)

Sin embargo, a menos que estuviera autorizado, podría estar incumpliendo la Política de TI de la empresa, que se le podría haber dado y que se le pidió que firmara cuando se unió (supongo que aquí es un empleado de la empresa ) Si usó software no autorizado dentro de su red

Como @Iszi dijo que si le preocupa que puedan cobrarle, le recomiendo hablar con un abogado.

    
respondido por el Rоry McCune 28.05.2011 - 20:52
fuente
5

La siguiente es mi opinión personal y, como todos dijeron, debe obtener asesoría legal de un abogado capacitado en comunicaciones / derecho informático.

Sin ser un abogado, no creo que esté incumpliendo ninguna de las disposiciones de la Ley de uso indebido de computadoras del Reino Unido. Tal vez usted esté infringiendo las leyes relacionadas con la interceptación de comunicaciones, pero como esto no fue cifrado, es difícil decirlo. Les recordaré a todos el caso reciente de Google, donde hicieron algo similar: ejecutar rastreadores en redes WiFi no descifradas. No creo que alguien haya logrado procesarlos con éxito (aunque no he hecho un seguimiento de esa historia): http://www.wired.com/threatlevel/2011/04/google-wi-fi-spy-flap/ "> enlace

Dicho esto, lo que es más importante no son los delitos informáticos, sino la violación de la política de la empresa , que firmó cuando fue contratado. Esto es lo que verán al principio, no creo que vaya a escalar a algo más. Lea primero las políticas de su empresa.

    
respondido por el john 28.05.2011 - 22:32
fuente
4

No soy abogado, y esto no es un consejo legal

  

Q ¿Qué debo hacer?

A Si está seriamente preocupado por las repercusiones, busque un abogado. Las leyes varían mucho según la jurisdicción, incluso dentro del mismo país. Dudo que alguien aquí pueda evaluar exhaustivamente qué consecuencias legales pueden tener sus acciones, sin saber mucho más sobre usted, su trabajo y sus acciones, de lo que probablemente esté dispuesto a divulgar en un foro público.

  

¿Cuáles son las consecuencias de usar un rastreador dentro de una organización privada en el Reino Unido?

Una vez más, aquí es donde realmente necesita un abogado y / o un representante sindical, si tiene uno. Como ya se dijo, las leyes varían mucho según la jurisdicción y las políticas corporativas aún más. Si bien puede que no sea culpable legalmente de ninguna parte de sus acciones, su empleador aún puede encontrarlo en violación de sus políticas de uso de computadoras y puede disciplinarlo en consecuencia.

Una cosa, que creo que cualquiera puede recomendar, es que usted (y / o su abogado) investigue qué leyes y regulaciones puede estar violando la compañía por no proteger adecuadamente los datos que pudo rastrear. Luego, comuníquese con cualquier organización que esté a cargo de hacer cumplir las leyes o regulaciones y comparta sus conclusiones. Sin embargo, al hacer esto, también debe estar muy al tanto de las leyes de protección de "denunciantes" que pueden o no ser aplicables a su situación.

    
respondido por el Iszi 28.05.2011 - 20:27
fuente
4

Ahora que tenemos más información, me sentiría tentado a hablar con el Jefe de Seguridad. Por lo que dices, solo has olfateado tu propio tráfico, y no veo cómo podrían demostrar lo contrario. Lo único que podrían probar es el uso de software no aprobado en el hardware de la empresa o algo así, si está cubierto por su política. En resumen, no obtuvieron nada en tu contra (a menos que se llevaran la computadora portátil y todavía haya volcados con el tráfico de otras personas; si no lo hicieron, obtén la pista ...), pero como han dicho, deja de incriminarte, especialmente porque Lo que hiciste no estuvo mal.

Para ser honesto, por lo que dices (y es solo un lado de la historia) parece un poco que el departamento de TI hizo un trabajo muy malo e intenta desviar la culpa del denunciante (tú), asustándote. el proceso. Eso puede o no volar con el jefe de seguridad, muy probablemente no. Si fuera yo, no serías disciplinado ni advertido. Hablando con, sí, lo que se diría dependería en gran medida de la política vigente.

tl; dr: si no pueden probar que escuchaste el tráfico de otras personas, no veo cómo podría ir tan mal para ti. Entonces otra vez, IANAL.

    
respondido por el Bruno Rohée 28.05.2011 - 22:32
fuente
4

IANAL - pero, de los tipos de documentos legales que tuve que redactar al hacer esto para consultorías globales:

  • instalación de sniffer en su máquina - posible incumplimiento de la política de la compañía
  • Detección pasiva en la red de su empresa: posible incumplimiento de la política de la empresa

Es probable que ambos no sean un problema legal según la ley inglesa o escocesa

  • recopilar datos privados del usuario: esta es un área mucho más grave, ya que podría estar infringiendo la Ley de protección de datos y la Ley de uso indebido de la computadora.

La jurisprudencia indica que probablemente esté bien legalmente pero que probablemente esté incumpliendo la política de la compañía (lo que podría llevar a medidas disciplinarias), pero en serio, busque un abogado por si acaso, ya que un argumento de "no intención" no parece córtalo en cada caso

    
respondido por el Rory Alsop 28.05.2011 - 22:34
fuente
1

Este es un error clásico. No puedo decirles cuántas personas han sido despedidas por este tipo de cosas. O peor; ido a la carcel Jueces & los jurados no son buenos para entender puntos más finos como "simplemente olfatear" vs "arp envenenamiento".

Para responder a tu pregunta: "¿Qué debo hacer?". Necesitas contratar un abogado. Cualquier comunicación sobre este tema con "organización privada" debe pasar por un abogado. Deja de incriminarte.

La próxima vez que encuentre una vulnerabilidad, consérvela o descubra cómo divulgarla de forma anónima.

    
respondido por el Antonius Bloch 28.05.2011 - 20:30
fuente

Lea otras preguntas en las etiquetas