这是在Meta讨论之后的一个典型问题。目的是产生可以让普通读者理解的基本答案。


假设我浏览网络并在工作时连接到网络时使用了不同的应用程序。我的雇主(控制网络的人)可以看到我访问的网站,我发送的电子邮件,IM消息,我听的Spotify歌曲等吗?他们能看到什么?

我使用自己的计算机还是雇主提供给我的计算机有关系吗?我使用什么程序或访问哪些网站都无关紧要?

评论

对于那些买不起锡箔纸的人来说,看到细微差别的答案真是太好了。 “没有绝对的安全性”并不能说明情况。仅仅因为他们监视流量并不意味着他们可以阅读您的私人Facebook消息。

当然,“他们可能在做什么”存在细微差别,但是这个问题是“他们可以吗”。由于可能,答案是肯定的。并且,正如该问题明确指出“雇主”一样,答案/建议还应该谨慎而不是不屑一顾:假设他们可以,假设他们是。不要做任何你不想被看到的事情。

可视化会有帮助吗? i.imgur.com/pSEI13C.png开始?

尽管简单的“是的,如果他们愿意,他们可以看到所有内容”答案是绝对正确的,但对所使用的协议和过程的表面层解释将不胜感激。尽管我们希望答案很简单,但我们也希望它能为他们提供为什么能看到所有内容的信息。 “ SSL”,“ MitM”,“代理”是我们在InfoSec中经常使用的词,但是这些概念使某些人提出此类问题时不会有一般的理解。因此SSL的技术文档:否;这些事情发生的原因和发生的高级概述:完美。

@Arminius Agreed,“总是假设他们可以看到一切”答案就这是一个规范性的问题而言几乎没有用,因为任何聪明人都会问的明显跟进是,我可以采取哪些步骤来缓解或绕过很多这些事情尽可能地做到。如果您具有管理员访问权限,则可以删除这些根证书,可以使用VPN绕过其更高级别的过滤等。任何好的规范答案都可以解决这个问题。

#1 楼

是。始终假定是。
即使不确定,也始终假定是。即使您确定,他们也可能与ISP签有合同,一个安装了数据包记录器的流氓管理员,一个可以捕获您屏幕的摄像机……是的。
您在工作场所所做的一切对所有人都是可见的。尤其是您在数字媒体上所做的一切。特别是私人的东西。尤其是您不希望他们看到的东西。
信息安全的基本规则之一是,拥有物理访问权限的人拥有计算机。您的雇主可以实际访问所有内容:机器,网络,基础架构。他可以添加和更改策略,安装证书,在中间扮演角色。即使是带有“ SSL”的网站也可以被拦截。造成这种情况的原因很多,主要与他们自己的网络安全性有关(防病毒,日志记录,禁止访问某些站点或功能)。
即使您很幸运,他们也看不到邮件的内容,也许仍然可以看到很多其他信息:您建立了多少连接,与哪些站点建立了连接,在什么时间发送了多少数据……即使在使用自己的设备,甚至使用安全连接时,网络日志也可以很好地展现自己。
请,当您在工作中,使用工作计算机或什至在公司网络上使用自己的计算机时:请始终假设您所做的一切都能被您的雇主看到。

评论


在这种情况下,@ ChrisPetheram AFAIK的通讯内容并未被用来攻击他,只是他使用了自己的工作电子邮件和其他帐户进行个人通讯。换句话说:没有先例说“雇主有权观看您的所有来文”,而只有“如果雇主注意到您滥用来文以供个人使用,而只看收件人,那么您可以”如果被解雇,不要抱怨”。

–巴库留
16年11月18日在22:12

@ChrisPetheram先例的概念不适用于欧洲大多数地区,因为大多数司法管辖区都是大陆法系。与普通法体系(例如美国)不同,法官仅受法律约束,不受先例约束。不同的法官可能对法律有不同的解释。此外,欧盟的隐私法禁止未经相关人员同意而收集个人数据。除非您签署了禁止私下使用业务IT资源的协议和/或其中您承认您的行为将受到监视的协议,否则在技术上可行的做法在欧盟是非法的。

–user149408
16-11-21在0:44

通过Teamviewer,Logmein等将您的工作计算机从远程计算机迁移到家用计算机该怎么办?那不是使用加密所有流量的安全隧道吗?雇主可能会看到出站连接,但他能够看到内容吗?

–user249493
16-11-22在1:47

@ user249493他们仍然可以在您的PC上同时安装键盘记录器和屏幕侦听软件,以查看内容。

– pjc50
16-11-22在14:37

如果有人使用Google驱动器查看文件,该公司是否只能知道该人访问过Google驱动器,或者他们还可以查看该驱动器中存在/查看了哪些文件?

–firstpostcommenter
19年11月29日在13:22

#2 楼

是您的设备吗?

可以通过两种方式监控您的计算机-您在计算机上执行的操作正在登录到计算机上,或者计算机生成的互联网流量正在在网络上的其他位置进行记录。

有很多方法可以防止在运输过程中监听流量,但是,如果不是您的计算机(或智能手机或平板电脑),则总是有可能安装了某种日志软件来可能会监视您在设备上所做的所有操作,无一例外。如果您允许您的雇主篡改该设备(例如,安装一些软件。

现在,这可能不如您的流量被记录下来,因为许多不在高安全区域工作的雇主可能不认为值得这样做,但是仍然可以非常真实的可能性。因此,如果您使用雇主提供的设备,则无论采取何种预防措施,他们都可能看到您所做的一切。

浏览时是否正在使用HTTPS?

因此,假设您使用自己的设备,而您的雇主未在设备上安装任何东西(也许您已将私人智能手机连接到办公室的Wi-Fi)。他们仍然可以通过监视网络流量来查看您访问的网页吗?

这取决于您使用的是纯HTTP还是使用HTTPS。如果您访问的地址以https://开头,则表示通信已加密-S代表安全-但如果以http://开头则不是。您还可以检查URL栏中是否有挂锁图标-在此处查看Firefox的说明。

这里有一些重要警告:


您访问的域仍然可见。因此,如果您访问https://example.com/secret,您的雇主将能够看到您访问了example.com,但您没有看到您专门访问了secret页面,页面上写的内容或发布的任何内容。
如果此设备是办公室发布的或由您的雇主篡改过的,那么对于他们来说,读取任何一种方式的所有流量都是微不足道的。这是通过在设备上安装证书来完成的。完成后,他们可以拦截来自服务器或您的数据,对其进行解密,重新加密,然后再将其发送给收件人,这是明智之举。 HTTPS不能帮助您。

对于其他应用程序,它们是否使用加密?

我们在互联网上所做的不仅仅是通过浏览器访问网页。您的计算机和手机都可能安装了数十种以某种方式使用互联网的应用程序。那怎么办?

不幸的是,这有点不透明。默认情况下,网络所有者可以读取(和修改)您通过网络发送或接收的所有内容。要停止这种情况,必须使用某种加密。

如果很难知道是否有任何特定的应用使用(正确实施)加密,除非该应用的制造商积极宣传该加密(并且您信任他们...)。一些应用程序(例如WhatsApp)以使用加密闻名,而其他应用程序则不使用加密。我建议您假设流量没有加密,除非您知道它是加密的。

TL; DR

这要视情况而定。为了安全起见,最好假设是,并且可以通过自己的私人家庭网络进行任何敏感的业务。

评论


键盘记录器?屏幕录像机?在这一点上,https毫无意义。

–djechlin
16年11月17日在18:01

@djechlin在我在回答中写道,雇主可以使用类似的方式,但可能性较小。

–安德斯
16年11月17日在20:35

可以读取https,顺便说一句...

–ingroxd
19年2月20日,0:25

#3 楼

为了提出有效的论据,我们将研究如何进行监听的可能性。
应注意:即使有机会,并非所有公司都会监视您的行为。这是严格的假设调查。我们只是在调查监听的可能性,而不是您的雇主如何利用它。假定雇主的行为举止在您和您的雇主之间。
上面所说的,在调查被监听的可能性时要考虑一些关键点:

谁拥有您使用的硬件是什么?
您正在使用的网络是什么?
周围的人是谁?

谁拥有您使用的硬件?
如果您使用的是Emmerer拥有的硬件,可能是最坏的情况。您的雇主在确定如何监听时可以选择多种工具。如果您使用雇主的硬件,那么一切皆有可能:一切都可以被监控。雇主在设置硬件时拥有完全的自主权。键盘记录器,屏幕记录器,数据包操纵器和烦人的提醒以保持正常工作,这只是在未经您同意的情况下可以在计算机上安装的内容的一小部分,因为它不是您的计算机。无法验证是否有任何篡改行为。即使您设法(不太可能)使用其他网络,数据也可以在到达监视器之前在任意数量的硬件之间传递。如前所述,这可能是最糟糕的情况。

您在视频制作公司工作。担任职位所必需的软件昂贵且占用大量资源,因此将为您提供一台公司制造的计算机,该计算机带有Adobe软件套件,Blender等,可在您在办公室时使用。您的团队负责人似乎暗示他对您正在从事的项目的细节了解很多,因此您决定研究计算机上安装的软件。幸运的是,Windows控制面板中的“卸载程序”窗口没有显示任何可疑内容。
然后,您还记得有关如何从控制面板中隐藏程序的文章。唯一的方法就是查看注册表,当您没有管理员帐户(没有)时,这是不可能的。没有管理员帐户,也无法保证。

您正在使用哪个网络?
以前使用过Kali Linux的任何人都可以告诉您,网络很容易受到攻击(通常是)。但是使用Kali进行监视/操作和监视/操作本地网络是两个完全不同的球类游戏。通过控制网络,您可以访问所有MAC地址中的所有流量。有时流量会乱码(加密),有时会是纯文本(未加密)。但是,流量仅限于所有监视。只有您在网络上执行的操作才可见。如果未联网,则表示您是安全的*。
未加密的流量很危险。收听的任何人都可以看到您的以太网/无线卡的进出内容以及它的确切位置。如果您想掩盖您通过网络确切发送的内容(对博客帖子的评论,发送到FTP服务器的文件或通过不使用SSL的SMTP服务器发送的电子邮件),这不是很好。为了安全起见,使用TLS / SSL将使您更加安全。这将对通过线路发送的信息进行加密,从而将内容保留在您和服务器之间的数据包中。
但是,您还必须考虑到即使使用TLS / SSL,侦听的可能性仍然存在。由于计算机通过网络发出请求的性质,“元数据”或有关您的数据的数据仍然可以收集。您仍然必须将需要信息的地方或需要去的地方通知连接到Internet的路由器。虚拟专用网络通过加密所有网络流量并将其发送到其他地方的路由器,并冒充您,伪装成您,从而提高了对这种监听**的保护。

您决定在上一个版本之后使自己的工作站正常工作隐私惨败。将其连接到网络后,一切都会顺利进行。但是,您注意到团队领导提出了一个讨论话题,使您想起了您在留言板上所做的很多评论。像以前一样,您决定进行调查。
您在security.stackexchange.com上进行了阅读,发现您的信息可能受到监视。在防御中,您开始使用VPN加密所有流量。在发布更多博客文章之后,您会发现对话的流动性较差。成功!

*:在这里要小心,因为某些未在Internet上使用的软件可能仍会在后台发送使用情况信息。最佳做法是提前通知用户(检查此处以将匿名使用情况统计信息发送给X公司),但并非全部都会如此。
**:可以通过MAC地址或使用备用DNS,以防止连接到VPN。
最后一点,我们将从我们的示例开始:

突然,您的雇主开始提起与您再次关注的留言板类似的主题。您对自己说:“但是等等!我的硬件安全,我的流量在VPN后面!这怎么可能?!”

谁在附近?
有时,收集信息的最简单方法是寻找信息。从字面上看。摄像机,在肩膀上偷窥,用双筒望远镜注视着整个房间的屏幕,在计算机仍然登录且在浴室时注视着您的计算机,等等。这些“中世纪的侦探方法”可能很简单,但我宁愿走到某人的计算机上,也要比做网络/硬件侦听的所有辛苦工作更了解我想知道的事情。
而且,如果不对您的身体行为进行重大更改,这可能是最难防御的和空间,其中一些可能在办公室范围内是不可能的。我为那些偏执狂的人留下了示例和解决方案,他们足以担心和解决这些问题,因为其中一些极其繁琐(想象一下,将双因素身份验证与生物扫描结合使用,您便会明白这一点)。

#4 楼

是。他们是否这样做,或在什么级别进行监控,这是贵公司的问题。通常,您会在公司员工手册中找到监视策略,并且通常会有一个可接受的使用部分或专用于此的另一整个文档。

请记住,某些行业受到管制,并且您的公司不仅有权监视法律可能要求的所有电子活动。

良好的一般规则根据经验,您正在考虑在公司的Internet上做什么,如果您不想让老板坐在旁边看着您这样做,那您就不应该这样做。

关于您的私人计算机部分,如果将​​其连接到公司网络,则您在该Internet上进行的活动受雇主政策的约束。对于公司来说,甚至让不受其控制的设备连接到网络也是一个坏主意。许多公司都有禁止这样做的政策,即使您没有做任何违反其可接受使用政策的事情,如果这样做也会给您带来麻烦。

评论


如果我可以在家中进行VPN接入,我将从专门为此目的维护的虚拟机内部登录。这样,我将所有非工作流量都保留在主机OS和公司网络之外。

–埃里克·劳埃德(Eric Lloyd)
16年11月16日23:17

我喜欢你的经验法则;一个很好,清晰,简单的解释

–莫格说要恢复莫妮卡
16年11月17日在10:55

#5 楼

最有可能...特别是在公司计算机上。话虽如此,您应该始终假设自己受到监视。他们可以通过几种主要方式来监视您。


使用路由器日志。除非您使用tor或VPN之类的服务(您可能不应该那样做,否则可能会使您的老板不高兴),否则他们将始终能够看到您访问的网站以及如果该网站未使用HTTPS发送的数据(甚至可能是,请参阅下文)
您的雇主可能已损坏HTTPS。由于HTTPS的工作方式,这些东西称为“证书颁发机构”。这些是可信赖的权威机构,它们保证站点的身份及其加密密钥。如果您在公司的计算机上,则可能已对其进行了设置,因此该计算机将其视为证书颁发机构。这意味着他们可以执行“中间人攻击”。基本上,他们说他们是HTTPS网站google。他们将使用密钥加密的流量(记住它们已作为CA安装在您公司的计算机上)解密,然后将数据包转发到google,反之亦然。
您的雇主可能拥有密钥记录器/远程管理公司机器上的软件。无论上面列出的其他因素如何,这都使他们可以查看公司计算机上的所有流量和所有文件。请记住,请始终像在监视您一样在工作。即使您使用的是个人计算机,屏幕上也可能会对准安全摄像头,老板可能会意外进入,等等。

进一步阅读:


https://en.wikipedia.org/wiki/Man-in-the-middle_attack
https://en.wikipedia.org/wiki/Certificate_authority


#6 楼

通常情况下,您的老板对您在网络上所做的事情不会感兴趣。但是,他可能决定定期检查。回答您的问题,任何网络都可以由网络所有者监视。

无论您是否使用自己的设备,都只会影响他们拥有的全部控制权。例如,如果您使用提供的台式计算机,则很有可能受到监视。但是,如果您使用自己的设备,则不会(当然,除非您已连接到他们的网络)。尽管如此,网络所有者仍将能够监视其网络的流量,这意味着他们可以监视您通过其发送的信息。

可以通过使用代理或加密网络数据包来避免这种情况。 。在工作中使用代理的缺点是:


相对容易检测
如果它是恶意代理,则可能对您的设备构成威胁
所有者(或IT部门)将不喜欢它。

此外,代理的使用可能会受到部分阻止(代理设置功能可能被锁定),或者网络可能不允许访问它。

另一个选择是加密网络数据包。主要缺点是可能要花很多时间(尽管您始终可以使用加密计算机中所有信息流出的程序)。

这最后两个选项来自以下假设:正在使用您自己的设备。如果您使用的是公司提供的计算机,则不应执行任何此类操作,否则可能会激怒某些人。

总而言之,在公司提供的设备中,他们可以监视和控制他们的一切。除非您连接到他们的网络,否则他们无法在自己的设备上使用它们。

如果我必须提供建议,我会说,由于系统管理员可能不会不喜欢您访问的所有站点(例如,我怀疑会激怒您正在使用Spotify的站点),因此您应该与他们联系。看看他们允许什么,禁止什么,并尊重它。每当需要使用某种类型的Messenger时,都可以使用它,但是如果您想让老板不进行私人对话,请使用移动数据或其他连接。

希望我的回答很有用。

#7 楼

我会说这取决于公司。较小的可能不这样做。较大的资源具有资源,但是接下来是存在什么风险的问题。

如果您的工作要求您访问HIPAA规则通常涵盖的个人数据,答案可能是肯定的,因为公司可以如果您通过下载恶意软件搞砸了,就不会承担诉讼。

如果您的公司拥有很多商业秘密或专利,答案可能是肯定的,因为他们不想将其输给竞争对手。

如果您的工作需要访问对公司生存至关重要的信息-投资者信息,市场状况,人员变动,未决诉讼等,那么答案可能是肯定的,因为公司负担不起

有很多常用的工具可用来窥探员工的互联网使用情况。数据包捕获,代理服务器以及服务器,路由器和工作站中内置的软件。

请记住:您将获得报酬以从事工作,浏览互联网或查看eBay出价。做好您的工作,并有理由离开公司以获得所需的信息。

评论


窥探员工是否意味着更多的人可以访问信息?根据HIPAA规则,如果某个(非常可靠的)IT人员可以窥探我使用的信息并以这种方式查看机密的患者数据,那是否不合法?

– gnasher729
16年11月19日在19:40

不必要。授予执行涉及使用您的个人数据的任务的公司一揽子权限,以查看和使用您的个人数据,其中通常包括与备份您查看的数据一样侦探您的IT人士。这不一定是非法的。但是,如果IT人员以违反HIPAA法规的方式使用该数据,那么是的,他很麻烦。

–安德鲁·杰伊(Andrew Jay)
16年11月27日在7:10

#8 楼

这将取决于公司的规模以及他们对网络/安全基础架构的投入。

使用Internet时是否需要身份验证?
是否有任何内容过滤器正在停止您访问社交媒体或幽默网站?通常会附带Forcepoint或BlueCoat消息。

如果您在金融机构或政府工作,则答案很可能是肯定的。

他们将获得列表。在您访问过的URL和IP中,他们将能够在YouTube上看到该URL,并从中看到您观看的视频。

内部电子邮件和IM服务将可见。

评论


登录时是否有警告标语? (美国政府站点必须显示警告标语以指示监视;其他政府站点也已执行类似的政策。)

–马克C.华莱士
16年11月16日在18:43

@ MarkC.Wallace可以引用此消息的来源吗?我从未听说过此要求,过去曾在政府在线房地产上工作。

–培根·布拉德
16年11月16日在19:15

NIST 800-53 AC-8

–马克C.华莱士
16 Nov 16在20:00



我发现AC-8很傻。政策/法律胜过它,因此无法始终显示它。通过SQL端口连接到计算机将无法显示此横幅。

– MikeP
16年11月17日在16:26

#9 楼



无论您是否在公司提供的设备上使用了自己的互联网。他们始终可以跟踪您。

例如,系统中安装的许多软件都可以直接跟踪在浏览器中打开的内容以及所有Web请求的去向。像Activatrak这样的软件可以执行所有这些操作,甚至不让用户知道系统正在运行什么。

如果您使用公司路由器的Internet进行访问,他们可以使用任何网络跟踪软件来跟踪您。例如,无线网络监视程序

,只有在拥有自己的设备使用互联网的情况下,您才能退出此跟踪。

#10 楼


是使用我自己的计算机还是由我的
老板提供给我的计算机有关系吗?


是的。如果您使用雇主提供的计算机/移动设备,则他们可以(尽管不一定会)看到任何程序上的所有内容,包括任何类型的活动。他们甚至可以在执行操作时看到您的屏幕。如果您在自己的计算机上安装了雇主提供的任何程序/应用程序(例如VPN软件),即使在使用家庭网络时也有效。


我使用的程序是否重要,或我访问了哪些网站?


是和否。如果硬件不是您自己的,请参见上文。如果是您的,则您没有在工作时安装任何应用程序,但在使用他们的网络时,他们仍然可以看到在任何未加密的协议(HTTP,FTP,DNS,BitTorrent等)上所做的任何事情。请记住,大多数网站和程序/应用程序并不真正在乎公开您在网上所做的事情:它们只是使用HTTP。

如果您仅使用加密协议(HTTPS,FTPS,SFTP,SSH,.. 。)他们只能看到您使用的域(无论程序如何)以及传输的数据量。这仍然可能给您带来麻烦,因为域会多次泄露您所做的事情。

但是,即使使用安全协议,如果您使用的应用程序未正确实现,他们仍然可能会看到数据。安全协议。例如,任何现代的浏览器(不受干扰)都将检测该公司是否尝试拦截您的HTTPS连接,但是某些(也许大多数)其他应用可能仅使用HTTP或不检查证书的有效性。

和往常一样,即使使用自己的移动设备,在移动运营商网络上,总会有摄像头或窥视周围的物体。

#11 楼

从理论上讲,具有适当访问级别的任何人都可以调查任何网络上发生的一切,尤其是在您的办公室网络上。

网络管理员可以学习的内容在某种程度上取决于已经存在或可以激活的安全和监视工具/系统类型,以及为后代记录和记录的内容。如果网络访问是否容易与特定用户相关联也取决于。

您的网络连接
您的网络可能要求每个用户进行身份验证,然后才允许任何形式的网络连接,这样一来,所有在线活动都可以绑定到特定的人,或者您的网络访问权限可能更开放。
较小的WiFi网络通常在所有用户之间共享一个密码,但是公司网络通常需要使用个人凭据登录,类似地,有线网络连接可能配置了IEEE 802.1x,要求每个客户端设备在授予网络访问权限之前进行身份验证,或者简单地插入网络电缆可能已经授予您访问权限。

然后,网络访问控制列表和防火墙策略将确定您是否具有完全开放的Internet访问权限,某种程度上受限制的访问权限或根本没有直接的Internet访问权限,并且需要(登录并)使用代理服务器。

尽管要求您使用代理服务器的组织很有可能会监视您访问的站点,甚至可能应用策略禁止某些(类别)站点,即使完全开放的访问权限也可以仍然受到监视。大多数企业网络设备都允许镜像端口收集传输的每个位和字节的完整副本,通常将其馈送到入侵检测/预防系统中,也用于执法部门和内部监控/遵从系统。

DNS
DNS是一种低级协议,需要将容易记住的主机名(例如Facebook.com,webmail.example.com等)转换为通过Internet与这些服务联系所需的IP地址。
DNS是明文协议,即使您使用HTTPS记录您访问过Facebook或阅读网络邮件的情况,也很容易记录,即使使用HTTPS遮盖了您从这些站点访问的特定页面和电子邮件。