インタラクティブなログインバナーは持つ価値がありますか?
一般的なコンセンサスはそれらがそうであるということですが、バナーは何を言うべきですか?
考慮されているいくつかのこと(特定の順序はありません):
米国司法省の出版物 Prosecuting Computer Crimes から:
被害者の対応と報告のベストプラクティス
A.侵入に直面する前の手順
バナーの使用を検討する-この監視の事前通知がすべてのユーザーに与えられている場合、攻撃のリアルタイム監視は通常合法です。このため、組織は、侵入者が組織のシステムにアクセスする可能性が高く、組織が侵入者の通信とトラフィックを監視しようとする可能性があるポートに、書面による警告または「バナー」を展開することを検討する必要があります。バナーが既に設置されている場合は、サイバー攻撃に対応して使用される可能性のある監視の種類に適していることを確認するために、定期的に確認する必要があります。このトピックの詳細については、CCIPSのWebサイト http://www.cybercrime.gov を参照してください。
また、USDOJが推奨するネットワークバナー言語のサンプルとその機能の説明を、米国司法省による コンピューターの検索と押収および犯罪捜査における電子的証拠の入手 から紹介します。
付録A:サンプルネットワークバナー言語
ネットワークバナーは、コンピュータネットワークのユーザーに法的権利を通知する電子メッセージです。法的な観点から、バナーには4つの主要な機能があります。最初に、バナーを使用して、タイトルIIIに基づくリアルタイム監視への同意を生成できます。第2に、バナーを使用して、ECPAに従って保存されたファイルおよびレコードの取得に同意を生成できます。第三に、政府のネットワークの場合、バナーは、政府の従業員や他のユーザーがO'Connor対Ortega、480 US 709(1987 )。第4に、非政府ネットワークの場合、バナーはシステム管理者の「共通の権限」を確立して、米国対マトロック、415 U.S. 164(1974)に基づく法執行捜査に同意することができます。
これは間違いなくそれほど簡単に見落とされるべきではない法的問題です。おそらく、あなたは法務部(もしあれば)または対応する意思決定者に相談すべきです。また、バナーに実装されているものは何でも、内部および外部について述べられていることは、おそらく既に合意されたネットワーク使用ポリシーで冗長であってはなりません(おそらく、すでに合意したことについて常に人々に警告したくないでしょう)。
法務担当者に相談してください。何をするかを決めるのは技術者の責任ではありません。これは技術的な問題ではなく、ポリシーの問題です。あなたがどの国にいるかに応じて、地元のコンピューター誤用法に関連する政府の勧告があります。
それは本当に誰がログインしているか、そしてその理由に依存します。 Shellアカウントを提供するためにサーバーを実行している場合は、スパムボットを実行しないように人々に思い出させるために、かなり強力な対話型ログインバナーがおそらく必要です。一方、サーバーにアクセスしているのが8人しかない運用チームのメンバーだけがアクセスしている場合は、バナーはおそらく必要ありません。実際には、これはポリシーの問題に要約されます。これは、バナーが動作に目立った違いをもたらさず、多くの法的場で効果がないためです。
これが私たちが使用するものです:
-----------------------------------------------------------------
Warning: This system is restricted to ABC Company
authorized users for business purposes only. Unauthorized access
or use is a violation of company policy and the law. This system
may be monitored for administrative and security reasons. By
proceeding, you acknowledge that (1) you have read and understand
this notice and (2) you consent to the system monitoring.
-----------------------------------------------------------------
「このリソースの使用は、AUPの条件に従う」のようなもので十分です。それにエッセイを書く必要はありません。その後、法務部門と人事部門の担当者は、自分のものをAUPに入れることができます。
ただし、ログインする前に全員にAUPの紙のコピーがあることを確認する必要があります。 IANALですが、ユーザーがまだ読んでいないものに同意するように求めている場合は、ラットのにおいがします。
ログインバナーの簡単な発言。 「すべてがログに記録されるので、たわごとを壊さないでください」しかし、私たちのサーバーにSSHでアクセスする唯一の技術者です。
私の心の中で、これはあなたが最近十分に手に入れることができないように思われるもう一つのCYAアイテムです。