Работодатель следит за работниками

ЛОЛ, прокси был достаточен во времена http

Никакая защита не поможет, если грамотный спец всерьёз задастся целью слить корпоративные данные. Поэтому безопасность - это просто отмазка, чтобы вкорячить сотрудникам зонды.

На мой не установлен, там тупо федора.

А ты тоже из Red Hat?

Да.

Это очень обширная тема для обсуждения на самом деле. Очень помогает этим товарищам проблема джуниора (нет опыта, для трудоустройства нужен опыт) например. Т.е. такие условия изначально могут действовать только для некоторых позиций, а затем уже масштабируются на всю контору, когда джуны становятся в основной своей массе синьёрами. Не удивлюсь, если на твоей текущей работке, если это что-то больше 500человек штата, уже есть инициативная група которая прорабатывает план по внедрению чего-то подобного. Т.к. хеды в основном предоставлены сами себе, самой ненужной части из них надо как-то оправдывать своё существование, отсюда и появляются подобные инициативы, а аргументацией необходимости внедрения является отсылка к тренду (самоподогревающая история, примерно как с DevOps).

Угу, сейчас уровень соковыжималочки нужно контролировать вручную, а тут у тебя будет +ползунок на дэшборде.

Вот забавное чтиво ещё из начала прошлой декады.

Там разрешают самостоятельно устанавливать систему? Можно выбрать какой-то spin или только меинстримный Workstation c GNOME?

Хехе. Перепись сильных независимых женщин линупсоидов с песней «отповедь древней греческой старухе, как если бы она домогалась моей любви».

На моей текущей работе штата под 100 тыс, какбэ. Но не суть. Во-первых, вводить в айтишных конторах себе дороже - народ понимает, что происходит да и в целом знает, как обойти. Во-вторых, это тупо нелегально. И это мы еще не начали говорить про репутационные издержки на перегретом рынке. Хороший пример, это письма. Контора обязана их сохранять и предоставить в случае расследования. Это не значит, что какой-то васян может взять и прочитать их, для этого есть потоколы. Как минимум, ты должен попасть под расследование на основании веских подозрений и будет очень горько обидно и неприятно, если эти подозрения окажутся в суде недостаточно вескими.

Вот от чего страдаем, так это от дристучих антивирусов, которых уже в разных ипостасях 3 штуки — на маке-то! На днях было слезное письмо, где заклинали их не отключать, мол, помните о супружеском, ой, корпоративном долге, что вы обязались блюсти корпоративную безопасность, мы, мол, работаем над стратегиями по уменьшению их кол-ва по причине крепкого мата от вас, ака пользователей. Всякие истории про подмену сетификатов это какой-то стук из параллельной вселенной. Валите оттуда.

Там разрешают самостоятельно устанавливать систему, можно выбрать хоть арч, хоть LFS.

Забавно. И что, кто-то из разработчиков выбирает не Red Hat related дистрибутив в качестве основной системы?

Я не рискнул, слишком много внутренних штуковин опакечено под федору и RHEL, в том числе теперь и моих. Но вполне верю в то, что среди застрявших в IDE девелоперов такие есть — умудряются же некоторые юзать мак.

Интересно, почему Red Hat не боится доверять своим работникам и не требует устанавливать зонды прямо в рабочий комп? Не думаю, что абсолютно все данные, скажем на твоём компьютере, позволено сливать в открытый доступ.

За последние 12 лет я работал в 5 местах (госконтора, банк, прозиводитель медицинских девайсов, финтек контора). Везде, кроме одной мелкой конторы с узкоспецифичным продуктом, трафик с рабочих устройств мониторился.

На одной работе ходил со своим ноутом, интернет через телефон раздавал. На рабочем ноуте работал работу.

На следующей работе можно было выбрать ноут с линуксом, там шпиён стоял, весь трафик предварительно заворачивающий на себя. Я ему в сокет /dev/urandom слал, через несколько дней попросили не делать этого. Хорошо, шпиёна выкосил, больше вопросов не было.

На ещё следующей работе тоже захотели шпиёна внедрить, но мы с коллегами так бурно начали обсуждать, как именно шпиёна можно утопить, что для отдела низкоуровневых разработчиков шпиёна отменили.

На текущей работе дали хромбук, каждый шаг, соответственно, отслеживается, но я работаю на своём железе. С хромбука только на митинги звоню. Пользоваться этим гомном страшно, у него постоянно какие-то детские проблемы. И, почему-то, связанные с потерей данных на локальном диске. Пока не трогают.

Уже свалили. Как раз когда подобные движухи начали внедрять(но это скорее совпадение а не первопричина). Но вообще я удивлён, в том плане, что это не разовая новость в моём окружении, куда ни плюнь в том или ином виде оно везде есть, и это не ноунейм, а вполне себе известные и респектабельные конторы. Возможно, в этом и порылась собака - крупные конторы с хорошим брендом могут позволить себе подобные репутационные риски. А вот какой-нить ростелеком - не может себе такого позволить несмотря на размер, разве что в отдельных дочках.

А всё-таки уточню - разве в такой большой конторе, нет своего УЦ? Сертификаты этого УЦ не требуется устанавливать в качестве доверенных? Доступ к корпоративным ресурсам происходит не через vpn со своим DNS?

Просто вот этих трёх штук технически достаточно для этого самого mitm.

Нельзя, конечно. Для некоторых даже внутри команды разглашение ограничено (а некоторые нельзя записывать, только обсуждать устно). Я и не разглашаю.

А вот только при чем тут зонды, чтоб отдельно переживать и за меня, и за зонды?

Встречный вопрос – что заставляет соглашаться на такие условия труда?

200К баксов в год

Понятно, что там есть свой сертификат и доступ к ресурсам в основном по SSO. В основном через Cloud, но есть и по VPN, если в системы лезть надо. Но это все не казах-стайл подмена сертификатов на свои чтобы нюхать весь зашифрованный трафик.

Также сам упор неверный - это комп работодателя, а не мой. И он enrolled, в целом этот процесс достаточно прозрачный на макоси, но в деталях ты его не контролируешь. Залить он туда технически может много что, а вот юридически это уже другой вопрос. Это вопрос доверия. Работодатель доверяет мне, а я ему. Я например, когда захожу в здание, то провожу карточкой по губам двери. Технически ничто не мешает замерять, сколько я там нахожусь. Но легальной базы и соглашения нет и это не делают - для этого пришлось бы менять рабочие контракты, как минимум. К чему это я - если вы там собираетесь с такими вещами бороться технически, то вы уже проиграли.

Это нормальная схема работы для подразделений с обоснованно (не всегда) повышенной паранойей, называемой «секретность». Оборонка, финансы, политика. Мало того, есть места, где нельзя приносить не только свой ноут, но и смартфон - только кнопочник, а кое где и его нельзя. Кое-где нет и выхода в инет для всех сотрудников, кое где обрезан рабочей группой ресурсов Такой конторе гораздо проще максимально обезопасить себя технически на корню, сузив круг возможных утечек чем полагаться на подписки о нераглашении (вон как в англии кто-то из сотрудников вынес и забыл на остановке важные бумаги, с таким же успехом это мог оказаться рабоче-домашний ноут)

В принципе ничего страшного и унизительного в этом нет, если конечно работник не неврастеник и не вольнолюбивый расп$$$яй. Утомляет конечно побольше, но в этом смысле гораздо важнее интересность работы, адекватность начальства и коллег.

Кстати кое-где такую психологическую нагрузку адекватное начальство компенсирует теннисным и бильярдными столами в шаге от рабочего места и нестрогим графиком, походами на пиво и в сауну за казенный счет )

Во всех компаниях где я работала, и даже в университете где я писала диссер можно было установить Linux на свой рабочий комп. И никто кроме меня разумеется не имел к нему админский доступ.

На моём ноуте установлена Fedora. Из внутреннего софта ставятся только сертификаты необходимые для SSL-доменов во внутренней сети, и конфиг клиента openvpn, чтобы не настраивать все возможные vpn-доступы руками.

Есть и gentoo, и ubuntu, и debian И макось. Я думаю что даже и винду можно найти, только не у RHEL-разработчиков.

Нельзя, конечно. Для некоторых даже внутри команды разглашение ограничено (а некоторые нельзя записывать, только обсуждать устно). Я и не разглашаю.

А вот только при чем тут зонды, чтоб отдельно переживать и за меня, и за зонды?

При том, что первым твоим абзацем обычно оправдывают необходимость зондов. А иначе как, тот же самый Red Hat, сможет якобы проконтролировать то, что ты не сливаешь их корпоративные секреты кому-то ещё? То, что Red Hat на столько доверяет своим работникам - это хорошо, но если я начну ссылаться на Red Hat у себя на работе меня могут спросить как же Red Hat защищает свои корпоративные секреты при таком доверии? Честно говоря я не знаю что на это ответить.

Я например, когда захожу в здание, то провожу карточкой по губам двери. Технически ничто не мешает замерять, сколько я там нахожусь. Но легальной базы и соглашения нет и это не делают - для этого пришлось бы менять рабочие контракты, как минимум.

В одной из прошлых контор именно так моё рабочее время и расчитывали. При этом паркова была за воротами. Вышел что-то из машины забрать и пока ты там, это время за рабочее не считается.

При том, что первым твоим абзацем обычно оправдывают необходимость зондов.

Оставим эту ложь на их совести.

как же Red Hat защищает свои корпоративные секреты при таком доверии?

«Спасибо, хорошо».

Мои страсти, кстати, не про корпоративные интересы, а больше о неразглашении уязвимостей, раскрытых нам на на определённых условиях и о дурацких законах США в отношении криптографии. Большинство engineering команд, как понимаю, вообще об этом всем голову не греет, живя себе в апстриме. Только диски шифрует, экраны блокирует да логи клиентов налево-направо не показывает, если вдруг и увидит.

Я для себя разделил: рабочее на рабочем, личное на личном. Заодно управлять временем помогает.

Сразу видно, что ты работаешь в конторе разрабатывающей опенсорс продукт, который красть смысла нет. Конечно там и не слышали про промышленный шпионаж. А у нас к нему, после одного случая, относятся серьёзней.

А теперь вопрос - будете ли вы логиниться с такого рабочего лептопа, ну скажем в stackoverflow.com или посчитаете, что светить паролем от туда работодателю не стоит и будете туда логиниться исключительно с личных девайсов?

Отдельный рабочий аккаунт для каждого сайта если это так надо.

не все ж такие рабы, как ты

Никакая дверь в квартиру не защитит от профессионального квартирного вора. Так что, теперь её не запирать?

а что ты сделал, чтобы этому всему воспрепятствовать

так ты ещё и под вендой работаешь, фуу какой зашквар

В Tieto можно было, в WG можно.

Так что, теперь её не запирать?

Запирать. Но не сажать у двери охранника, который будет переписывать паспортные данные всех входящих)

Гордые, но голодные?

Это нормальная схема работы для подразделений с обоснованно (не всегда) повышенной паранойей, называемой «секретность». Оборонка, финансы, политика. Мало того, есть места, где нельзя приносить не только свой ноут, но и смартфон - только кнопочник, а кое где и его нельзя. Кое-где нет и выхода в инет для всех сотрудников, кое где обрезан рабочей группой ресурсов Такой конторе гораздо проще максимально обезопасить себя технически на корню, сузив круг возможных утечек чем полагаться на подписки о нераглашении (вон как в англии кто-то из сотрудников вынес и забыл на остановке важные бумаги, с таким же успехом это мог оказаться рабоче-домашний ноут)

В моём случае это не оборонка, не финансы и не политика. Обычный кровавый энтерпрайз для всяких бизнес процессов. К реальной секретности вся их активность имеет примерно такое же отношение как советская агитация к реальной жизни людей. Они иногда ещё и фишинг имитируют, типа для тренировки сотрудников. Мало мне обычного корпоративного спама, всякого ЛГБТ, так ещё и это периодически приходит. Но если кто-то из работников решит на самом деле украсть или слить наружу что-то секретное, к чему имеет доступ, обойти все эти зонды, DLP и прочее будет не трудно.

В принципе ничего страшного и унизительного в этом нет, если конечно работник не неврастеник и не вольнолюбивый расп$$$яй. Утомляет конечно побольше, но в этом смысле гораздо важнее интересность работы, адекватность начальства и коллег.

Ты всегда светишь свои пароли на stackoverflow.com github.com и прочем?

Кстати кое-где такую психологическую нагрузку адекватное начальство компенсирует теннисным и бильярдными столами в шаге от рабочего места и нестрогим графиком, походами на пиво и в сауну за казенный счет )

Слабая компенсация, все эти бильярды, плейстейшены и прочее развлекалово. Обычно это компенсируется немного более высокими зарплатами и бонусами. В одной такой конторе автоматически предлагают зарплату на штуку больше (чуть больше 300 баксов), чем попросил.

так ты ещё и под вендой работаешь, фуу какой зашквар

Ну это же не мой вобор. Вот сейчас говорят, что Маки должны подвезти к концу года. Их бы прямо сейчас уже нам раздали, но в IT ещё не решили как правильно туда все необходимые зонды впилить. Как решат и впилят, так сразу и раздадут.

Ты всегда светишь свои пароли на stackoverflow.com github.com и прочем?

Если по работе нужен доступ на подобные ресурсы - он по любому должен быть на служебные аккаунты. Мешать личное/домашнее с рабочим - как минимум непрофессинально

Обычно это компенсируется немного более высокими зарплатами и бонусами

Чаще зарплаты важны лишь поначалу. Потом для большинства оказывается важнее психологическая обстановка и они пересматривают систему ценностей. Да и слежка за производимым на компе не так страшна, как ее малюют. Даже работа в openspace и то больше доставляет проблем людям

Ну следит и следит, делов-то. Даже в интернет банк иногда захожу с рабочего, не вижу в этом проблем. Во-первых MFA, во-вторых никто в своём рассудке не станет воровать эти данные, так как за следаками тоже следят.

Если по работе нужен доступ на подобные ресурсы - он по любому должен быть на служебные аккаунты. Мешать личное/домашнее с рабочим - как минимум непрофессинально

Это ещё почему? Stackoverflow как раз для работы и предназначен, но я не хочу менять аккауны после смены работодателя и не хочу привязывать свой аккаунт к работодателю. Это площадка для личного общения на рабочие темы.

Это делают шарашкины конторы мелкого размера

Если компания с десятками тысяч сотрудников и офисами по всему миру - шарашка, то да, именно они так и поступают.

с дураками во главе

Нет, они повышают вероятность того, что данные компании не утекут. Человек дважды подумает, прежде чем получать доступ к данным, которые ему не нужны по работе и передавать их куда-нибудь. Конечно, можно записать содержимое экрана на телефон, но это уже детали обхода того или иного слоя защиты данных.

Человек дважды подумает, прежде чем получать доступ к данным, которые ему не нужны по работе и передавать их куда-нибудь.

Пусть такая контора сначала подумает, почему у нее такие процессы, что сотрудник может получить секретные данные, которые ему не нужны по работе. Потому это и шарашкина контора - вместо налаженного процесса ставят на запугивание.

А теперь вопрос - будете ли вы логиниться с такого рабочего лептопа, ну скажем в stackoverflow.com

Нет. На рабочем компе рабочие учётки. Личные учетки не смешиваю с рабочими.

И что, тебя и alpha не заставляют хотя бы диск шифровать?

Какой смысл сидеть в stackoverflow с рабочей учёткой? Это как регистрироваться на LinkedIn с рабочего мейла и у каждого работодателя заново.

Какой смысл сидеть в stackoverflow с рабочей учёткой?

В рабочее время на stackoverflow я анонимно смотрю результаты поиска. Если ничего нет, то можно вечером с домашнего компа вопрос задать. Пару часов ничего не изменят. Зато свои логины/пароли на чужих компах не свечу.

Не, ну если ты внимательно читал все подписанные соглашения и принятые CoC’и и там и правда не было ничего подобного - то, отличная контора и всё там замечательно. Но таких единицы видимо.

В РФ проживаешь?

Пусть такая контора сначала подумает, почему у нее такие процессы, что сотрудник может получить секретные данные

Не обязательно секретные. В больших организациях, также как в государственных структурах, есть несколько уровней доступа к данным, начиная от неограниченного и заканчивая совершенно секретными. Так вот, всё что строже неограниченного доступа нельзя выносить в публичный доступ / сливать. Но мне кажется мы не туда пошли, ведь речь про слежкой за содержимым экрана сотрудника. Так вот, что такое может быть у сотрудника на устройстве, которое принадлежит компании и по какой-то причине не должно быть доступно компании? А не кажется ли вам, что вы паразитируете на железке, предоставленной компанией, когда делаете дела не связанные с прямой работой? Я думаю любой что-то такое делает, но это не значит, что надо бить по рукам или увольнять. Все имеют право на перекур / срач на форуме / почитать новости и это не возбраняется, потому что люди не роботы и им необходимо передохнуть между «подходами к работе».

А зачем с этим что-то делать? Тебе есть чего скрывать? Или ты на рабочем месте вместо работы занимаешься личными делами?