トラフィックスニッフィングの法的およびポリシー上の影響は何ですか?
多くの従業員がいる英国の組織にセキュリティホールが見つかりました。ログインフォームは、ユーザー名とパスワードをクリアテキストでHTTP経由でパブリックIPに送信します。最初は私はこれをITに向けましたが、彼らは理解しておらず、スクリーンショットを要求しました。内部ネットワークにアクセスできないゲストWiFiネットワークで、スニファーを使用してユーザー名とパスワードを表示しました。 ARPポイズニングは使用しませんでした。
ITは私の要求に応えて、彼らはそれを認識しており、問題をすぐには修正しないと述べました。また、私がスニファーを使用したという事実のために、ITはセキュリティの責任者に私を報告しました。
[〜#〜] q [〜#〜]:どうすればよいですか?英国の組織内でスニファを使用するとどのような影響がありますか?
学習したレッスン
ITに直接報告するのではなく、上司に相談してください。
私は弁護士ではなく、これは法的な助言ではないという通常の発言から始めます:)
私が知っている限り、イギリスではネットワークスニファ自体の使用は違法ではありません(多くのITプロフェッショナルが深刻な問題に直面しているとしたら!)。
関連する法律がある場合、それは コンピュータ誤用法 、 調査権限の規制だと思いますAct および/または Data Protection Act 。
他の人に属するトラフィックを傍受して表示した場合、それは問題になる可能性がありますが、自分のPCにインストールし、ターゲットネットワークが標準のスイッチ環境を実行している場合は、おそらく、他のユーザーのトラフィックにアクセスできたので、事実上、自分の情報を表示するだけです。
適切な保護(SSLなど)なしで信頼できないネットワーク(インターネットなど)を介して個人を特定できるデータを送信している場合、会社はデータ保護法に違反していると見なされる可能性があります。
ただし、許可されていない場合は、会社のITポリシーに違反している可能性があります。このポリシーは、入会時に与えられ、署名を求められる場合があります(ここでは、会社の従業員であると想定しています)。ネットワーク内で不正なソフトウェアを使用した
@Isziが実際に請求するのではないかと心配している場合は、弁護士に相談することをお勧めします。
以下は私の個人的な意見であり、誰もが言ったように、通信/コンピュータ法の訓練を受けた弁護士から法的助言を得る必要があります。
弁護士がいなければ、英国のコンピューター不正使用法の条項に違反しているとは思いません。通信の傍受に関連する法律に違反している可能性がありますが、これは暗号化されていないため、判別するのは困難です。私は最近のGoogleのケースを思い出させます。彼らは同様のことをしました-暗号化されていないWiFiネットワークでスニファを実行しています-誰かがそれらをうまく起訴できなかったと思います(私はその話をフォローアップしていません): http ://www.wired.com/threatlevel/2011/04/google-wi-fi-spy-flap/
とはいえ、もっと重要なのはコンピューター犯罪ではなく、採用時に署名した会社のポリシー違反です。これは彼らが最初に見るものです、私はそれがもっと何かにエスカレートするつもりはないと思います。まず、会社のポリシーをお読みください。
私は弁護士ではありません。これは法律上の助言ではありません
[〜#〜] q [〜#〜]どうすればよいですか?
[〜#〜] a [〜#〜]反響について真剣に懸念している場合は、弁護士に相談してください。法律は、同じ国内でも、管轄によって大きく異なります。ここにいる誰もが、あなた、あなたの仕事、そしてあなたの行動について多くのことを知ることなく、おそらくあなたが公のフォーラムで明かすよりも、あなたの行動がもたらすかもしれない法的影響を包括的に評価できるとは思えません。
英国の民間組織内でスニファを使用した結果はどうなりますか。
繰り返しますが、これはあなたが本当に弁護士、そして/またはあなたが持っている場合には労働組合代表を必要とする場所です。すでに述べたように、法律は管轄区域と企業ポリシーによってさらに大きく異なります。法的責任を問われる行為はありませんが、雇用主はコンピュータの利用ポリシーに違反していることに気づき、それに応じて懲戒する場合があります。
だれでもお勧めできると思うのは、あなた(またはあなたの弁護士)が、盗聴できたデータを適切に保護しないために会社が違反している可能性のある法律や規制を調査することです。次に、それらの法律や規制の遵守を実施する責任を負っている組織に連絡し、調査結果を共有します。ただし、これを行う際には、状況に適用できる「内部告発者」保護法が存在する場合と存在しない場合があることを十分に認識しておく必要があります。
詳細な情報を入手したので、セキュリティヘッドに話をしたくなります。あなたが言うことから、あなたはあなた自身のトラフィックを盗聴しただけで、私は彼らが他の方法で証明することができる方法を知りません。彼らがたぶん証明することができる唯一のことは、それが彼らの方針によってカバーされるならば、会社のハードウェアまたはそのようなものでの承認されていないソフトウェアの使用です。要するに、彼らはあなたに対して何もしませんでした(彼らがラップトップを持っていて、他の人のトラフィックでダンプが残っている場合を除いて、彼らがそうしなかった場合、ヒントを得ます...)、しかし他の人が言ったように、特に次のように自分を責めるのをやめますあなたがしたことはほとんど間違っていませんでした。
正直なところ、あなたの言うことから(そしてそれは話の片側にすぎません)、IT部門が非常に悪い仕事をし、内部告発者(あなた)の責任をそらし、その過程であなたを怖がらせようとしているように見えます。それはセキュリティの頭で飛ぶかもしれないし、飛ばないかもしれません。もしそれが私だったら、懲らしめられることも、警告されることもありません。と話しました、はい、何が言われるかは、どんな政策が実施されているかにかなり依存します。
tl; dr:他の人のトラフィックを聞いていることを彼らが証明できない場合、私はそれがどのようにあなたにとってあまりにも悪くなるかわかりません。次に、IANAL。
IANAL-しかし、グローバルコンサルタントのためにこれを行う際に、私は法的な種類から作成しなければなりませんでした。
- マシンにスニファをインストールする-会社のポリシー違反の可能性
- 会社のネットワークでのパッシブスニッフィング-会社のポリシー違反の可能性
それらの両方はおそらく英語またはスコットランドの法律による法的問題ではありません
- 個人ユーザーデータの収集-データ保護法およびコンピュータ誤用法に違反する可能性があるため、これははるかに灰色の領域です。
判例法はおそらくあなたは法的には大丈夫であるがおそらく会社の方針に違反している(懲戒処分につながる可能性がある)ことを示しますが、真剣に、念のため弁護士を雇ってください-「意図なし」の議論はそれを妨げないようですすべての場合
これは古典的な間違いです。この種のことで何人の人が解雇されたかは言えません。または悪いことに;刑務所に行きました。裁判官と陪審員は、「ただ嗅いでいる」か「arp中毒」のような細かい点を理解するのが得意ではありません。
あなたの質問に答えるために:「私は何をしますか?」。弁護士を雇う必要があります。この問題に関する「民間組織」とのコミュニケーションは、弁護士に相談する必要があります。自分を無罪にするのはやめてください。
次回、脆弱性を見つけたときは、それを自分で保管するか、匿名で開示する方法を見つけてください。