All’inizio di quest’anno, l’amministratore delegato di una casa editrice cristiana ha riunito le sue truppe per una riunione in cui è andato su tutte le voci diffuse sulla società da fonti interne – e poi ha punito i colpevoli non identificati licenziando 25 dipendenti. Durante la riunione – che ha ottenuto la copertura della stampa grazie ad uno dei dipendenti che l’ha segretamente registrata – Ryan Tate ha rivelato di aver monitorato l’attività informatica dei suoi dipendenti per cercare di capire chi fosse responsabile.
“Ho guardato dall’altra parte… Mi sono fidato di te. Buon Dio. Vuoi guardare Netflix? Lascia che guardino Netflix. Lascia che lo mettano su un proiettore, se vogliono. Vogliono stare su Facebook tutto il giorno? State su Facebook tutto il giorno. Certo che ti pago per farlo. Va tutto bene”, ha detto.
Ryan Tate, presidente e amministratore delegato della Tate Publishing (da non confondere con Ryan Tate di Gawker/Wired… fama)
Ha accettato che i dipendenti si divertano, ma non che parlino male della società. “Devo leggere alcune delle vostre pagine di Facebook. Il mio preferito è quando pubblicate qualcosa e poi lo togliete e non pensate che lo archiviamo tutto.”
Ho contattato l’azienda all’epoca per vedere come stavano facendo il loro monitoraggio, ma non ho mai avuto risposta. Tate potrebbe aver avuto una politica aziendale di monitoraggio dell’attività dei dipendenti sui social network, o potrebbe aver catturato le loro sessioni di Facebook sui loro computer di lavoro (o forse era solo un bluff). In ogni caso, la Tate è lontana dall’essere l’unico datore di lavoro a spiare l’attività digitale dei dipendenti. La FDA sta attualmente combattendo una causa da parte di scienziati che sostengono di essere stati licenziati per aver fatto delle soffiate, qualcosa che l’agenzia federale ha capito che stavano facendo grazie a un programma spyware di SpectorSoft che catturava le loro e-mail e l’attività del computer. Grazie a un pasticcio di un appaltatore che mantiene i file, le 80.000 (!) pagine del dossier di spionaggio sono state temporaneamente divulgate online, rendendo chiaro quanto fosse esteso il monitoraggio.
Non è insolito per i datori di lavoro monitorare i computer dei dipendenti e anche i loro smartphone, ma molti dipendenti non pensano a questo nel corso della loro giornata di lavoro, passando le pause a guardare le e-mail personali potenzialmente sensibili, ad avere chat sexy, a scorrere gli album di foto (si spera non troppo scandalosi) di Facebook, o forse anche a controllare gli annunci di lavoro altrove. Prima di fare qualcosa di troppo scandaloso sul tuo computer di lavoro, potresti voler pensare se è monitorato. Ho parlato con l’esperto di computer forensics Michael Robinson e il ricercatore di sicurezza Ashkan Soltani su alcuni segnali che potrebbero rivelare che sei potenzialmente osservato.
Prima di tutto, dovresti controllare il tuo manuale del dipendente o l’accordo di utilizzo del computer. Se il tuo datore di lavoro dice lì che la tua attività al computer potrebbe essere monitorata – che è abbastanza standard – allora hanno il diritto di sbirciare. Ma poi c’è la questione se stanno effettivamente sfruttando questo diritto.
“Se sarete in grado di dirlo dipende da dove viene fatto il monitoraggio”, dice Robinson. “Se è a monte, al firewall, è difficile che l’utente lo sappia. Questo dirà solo ai datori di lavoro quali siti web i dipendenti stanno visitando, così potrebbero controllare, per esempio, quanti dipendenti sono andati su Monster.com quel mese. Ma se vogliono effettivamente vedere un’attività più granulare, devono mettere un software di monitoraggio sul computer stesso.”
Il ricercatore di sicurezza Ashkan Soltani dice che uno strumento come netalyzr.icsi.berkeley.edu può dirvi se siete monitorati dal Firewall. “Dimostrerà che c’è qualcosa ‘in mezzo’ alle vostre comunicazioni sicure”, dice. “Non è affidabile al 100%, ma spesso ci sono dei “segni”.”
Se siete su una rete aziendale, tutte le comunicazioni non-https sono visibili a chi controlla la rete. Alcuni dipendenti pensano erroneamente che se sono su Gmail o Facebook – che offrono sicurezza https – le loro comunicazioni saranno criptate e nessuno potrà leggerle. Questo può essere vero se il monitoraggio avviene a monte, anche se ci sono metodi per un’azienda per vedere attraverso la crittografia dal momento che controllano la rete e spesso il dispositivo attraverso il quale si accede alle informazioni personali. Per esempio, vedi questa guida di BlueCoat per ottenere il controllo delle sessioni criptate. E se il software è sul tuo computer, https-ssl non offre alcuna protezione.
Il software di monitoraggio di un computer cattura le sequenze di tasti e gli screenshot. Ciò significa che può ricostruire la vostra sessione di Gmail o Facebook (che può essere il modo in cui Tate Publishing aveva le registrazioni di ciò che i suoi dipendenti avevano messo su Facebook, e poi tolto). Questi tipi di programmi non appariranno come applicazioni, ma appariranno come processi in esecuzione.
- Se siete su un PC, potete vedere un processo in esecuzione premendo “Alt-Ctrl-Del” e tirando su il vostro “Task Manager”. Passa alla scheda “Processi”.
- Su un Mac, vai al tuo “Launchpad”, apri “Gadget e Gizmos”, poi vai a “Utilità” e clicca su “Monitoraggio attività”.”
Il processo probabilmente ha un nome innocuo, ma sarà abbastanza occupato perché ha molte attività da catturare. Quindi, come si fa a sapere se uno di questi processi è uno spyware? Una possibilità è quella di confrontare i vostri processi con quelli in esecuzione sul computer di un collega. Se uno di voi è monitorato e l’altro no, probabilmente noterete alcuni processi diversi in esecuzione. Se siete entrambi monitorati, però, questo non è molto utile (“e probabilmente dovreste trovare un nuovo lavoro”, dice Robinson). Fortunatamente, c’è un’altra opzione per eseguire un controllo.
Sorprendentemente, molti di questi programmi “spyware” sono segnalati da programmi anti-virus e malware come dannosi. Che strano. Di conseguenza, alcune delle aziende che offrono questo software hanno fatto “liste bianche” in modo che i dipartimenti IT che li gestiscono possano assicurarsi che Symantec, McAfee e altri riconoscano i loro processi come non maligni. E in molti casi, queste liste bianche sono pubbliche, così si può vedere esattamente quali sono i nomi dei file. Se i consulenti della FDA avessero controllato i loro processi, probabilmente avrebbero visto alcuni di questi eseguibili in esecuzione sui loro computer, tramite la lista bianca di SpectorSoft.
SpectorSoft offre una lista bianca dei suoi processi di spionaggio in modo che i dipartimenti IT possano configurare… software anti-virus per ignorarli
Grazie a questo, se cercate su Google uno strano processo che state vedendo ed è uno spyware, probabilmente vi riporterà al sito web del fornitore di spyware.
Purtroppo, alcuni programmi spyware sono più intelligenti di altri. “I più sofisticati si comportano più come rootkit in quanto si nascondono alla vista”, dice Soltani.
“Lavoravo per un’azienda che quando si dava il preavviso, l’HR diceva all’IT di monitorarti per assicurarsi che non venisse rubata la proprietà intellettuale”, dice Robinson. “Il giorno in cui ho dato le dimissioni, è saltato fuori un aggiornamento di Windows. Pensavano di essere subdoli. Ho scritto sullo schermo, ‘Ti vedo mentre mi guardi mentre mi guardi’”
“Se il tuo capo sta effettivamente aprendo la tua email e la sta leggendo, potresti essere in grado di incorporare i beacon di monitoraggio nei messaggi di posta e poi monitorare quando vengono aperti”, dice Soltani. È possibile utilizzare un programma come emailprivacytester.com o ReadNotify – il programma che un fan pazzo ha usato per controllare se Jay-Z stava leggendo le e-mail che gli inviava.
I capi che stanno facendo catture complete di tutto ciò che i loro dipendenti stanno facendo sono probabilmente una rarità, dice Robinson. “Passerebbero più tempo a monitorare che a gestire”, dice.
È più probabile che accada se un capo è effettivamente preoccupato per un particolare dipendente, o se sono preoccupati che informazioni sensibili lascino l’azienda. Nel caso della FDA, l’agenzia federale era preoccupata che i consulenti facessero trapelare informazioni critiche dell’agenzia ai membri del Congresso (e avevano ragione).
Dati i molti modi in cui il vostro datore di lavoro potrebbe spiarvi – e il fatto che non sono tutti rilevabili – è probabilmente più saggio salvare qualsiasi cosa troppo sensibile per il vostro dispositivo personale o computer di casa.
Nelle sue osservazioni di chiusura ai suoi dipendenti in quella riunione rivelatrice di tutte le mani, l’editore Ryan Tate ha detto, “Siate intelligenti soprattutto in questa era digitale. Capisco se siete a casa e vi lamentate con una persona cara, ma chi va online per farlo, o manda una mail?”
Um. Tutti, direi. Ma siate intelligenti sul computer da cui lo fate. E naturalmente, se scegliete l’opzione più sicura del vostro computer di casa, tenete le dita incrociate che una persona cara non vi stia spiando lì.