Eerder dit jaar verzamelde de CEO van een christelijke uitgeverij zijn troepen voor een vergadering waarin hij tekeer ging tegen geruchten die door interne bronnen over het bedrijf werden verspreid — en vervolgens strafte hij de onbekende schuldigen door 25 werknemers te ontslaan. Tijdens de vergadering, die veel media-aandacht kreeg omdat een van de werknemers het stiekem had opgenomen, onthulde Ryan Tate dat hij de computeractiviteiten van zijn werknemers in de gaten had gehouden om erachter te komen wie verantwoordelijk was. Ik heb de andere kant opgekeken. Ik heb je vertrouwd. Goeie God. Wil je Netflix kijken? Laat ze Netflix kijken. Laat ze het maar op een projector zetten als ze willen. Willen ze de hele dag op Facebook zitten? Wees dan de hele dag op Facebook. Natuurlijk betaal ik je om dat te doen. Dat is allemaal oké,” zei hij.
Ryan Tate, president en CEO van Tate Publishing (niet te verwarren met Ryan Tate van Gawker/Wired… faam)
Hij vond het goed dat werknemers zich uitleven, maar niet met hun slecht praten over het bedrijf. “Ik heb een aantal van jullie Facebook-pagina’s gelezen. Mijn favoriet is wanneer je iets post en het dan weghaalt en niet denkt dat we het allemaal archiveren.”
Ik heb contact opgenomen met het bedrijf in die tijd om te zien hoe ze hun monitoring deden, maar nooit meer iets gehoord. Tate kan een bedrijfsbeleid hebben gehad om de sociale netwerkactiviteiten van werknemers te monitoren, of het kan hun Facebook-sessies op hun werkcomputers hebben vastgelegd (of misschien was het gewoon bluf). Hoe dan ook, Tate is lang niet de enige werkgever die de digitale activiteiten van werknemers in de gaten houdt. De FDA vecht momenteel tegen een rechtszaak van wetenschappers die beweren dat ze zijn ontslagen omdat ze klokkenluiden, iets wat het federale agentschap zich realiseerde dat ze deden dankzij een spywareprogramma van SpectorSoft dat hun e-mails en computeractiviteiten vastlegde. Dankzij een fout van een aannemer die de bestanden bijhield, zijn de 80.000 (!) pagina’s in het spionagedossier tijdelijk online uitgelekt, waardoor duidelijk werd hoe uitgebreid de monitoring was.
Het is niet ongebruikelijk dat werkgevers computers en zelfs smartphones van werknemers monitoren, maar veel werknemers denken hier tijdens hun werkdag niet over na en besteden pauzes aan het bekijken van potentieel gevoelige persoonlijke e-mail, het hebben van sexy chats, het scrollen door (hopelijk niet al te schandalige) Facebook-fotoalbums, of misschien zelfs het bekijken van vacatures elders. Voordat je iets buitensporigs doet op je werkcomputer, kun je je afvragen of je computer in de gaten wordt gehouden. Ik sprak met computerforensisch expert Michael Robinson en beveiligingsonderzoeker Ashkan Soltani over enkele aanwijzingen waaruit blijkt dat je mogelijk in de gaten wordt gehouden.
Ten eerste moet je je werknemershandboek of overeenkomst voor computergebruik controleren. Als uw werkgever daarin zegt dat uw computeractiviteiten kunnen worden gevolgd – wat vrij standaard is – dan hebben ze het recht om te gluren. Maar dan is het nog maar de vraag of ze dat recht ook echt gebruiken.
“Of je dat kunt zien, hangt af van waar de monitoring plaatsvindt,” zegt Robinson. “Als het upstream is, bij de firewall, is het moeilijk voor de gebruiker om dat te weten. Dat vertelt de werkgevers alleen naar welke websites de werknemers gaan, zodat ze bijvoorbeeld kunnen controleren hoeveel werknemers die maand naar Monster.com zijn gegaan. Maar als ze echt meer granulaire activiteit willen zien, moeten ze monitoringsoftware op de computer zelf zetten.”
Veiligheidsonderzoeker Ashkan Soltani zegt dat een tool als netalyzr.icsi.berkeley.edu je kan vertellen of je bij de Firewall wordt gemonitord. “Het zal aantonen dat er iets ‘in de weg’ zit van je beveiligde communicatie,” zegt hij. “Het is niet 100% betrouwbaar, maar vaak zijn er ’tells’.”
Als je op een bedrijfsnetwerk zit, is alle niet-https communicatie zichtbaar voor degene die het netwerk beheert. Sommige werknemers denken ten onrechte dat als ze op Gmail of Facebook zitten – die https beveiliging bieden – dat hun communicatie dan versleuteld is en niemand ze kan lezen. Dat kan waar zijn als er stroomopwaarts toezicht is, maar er zijn methoden waarmee een bedrijf door de versleuteling heen kan kijken, aangezien zij het netwerk beheren en vaak ook het apparaat waarmee u uw persoonlijke gegevens raadpleegt. Zie bijvoorbeeld deze BlueCoat-gids voor het verkrijgen van controle over versleutelde sessies. En als de software op uw computer zelf staat, biedt https-ssl zeker geen bescherming.
Monitoringsoftware op een computer legt toetsaanslagen en screenshots vast. Dat betekent dat het je Gmail- of Facebook-sessie kan reconstrueren (wat kan zijn hoe Tate Publishing gegevens had over wat zijn werknemers op Facebook hadden gezet, en later weer hebben verwijderd). Dit soort programma’s zijn niet zichtbaar als applicaties, maar wel als lopende processen.
- Als je op een PC zit, kun je een lopend proces zien door “Alt-Ctrl-Del” in te drukken en je “Taakbeheer” op te roepen. Ga naar het tabblad “Processen”.
- Op een Mac, ga naar je “Launchpad”, open “Gadgets and Gizmos”, ga dan naar “Utilities” en klik op “Activity Monitor.”
Het proces heeft waarschijnlijk een onschuldige naam, maar zal behoorlijk druk zijn, omdat het veel activiteit vast te leggen heeft. Dus hoe weet je of een van deze processen spyware is? Eén mogelijkheid is om uw processen te vergelijken met de processen die op de computer van een collega draaien. Als één van u wordt gemonitord en de ander niet, zult u waarschijnlijk een aantal verschillende processen zien draaien. Als u beiden wordt gecontroleerd, is dat echter niet erg nuttig (“en moet u waarschijnlijk een andere baan zoeken,” zegt Robinson). Gelukkig is er nog een andere mogelijkheid om een controle uit te voeren.
Vrassend genoeg worden veel van deze “spyware” programma’s door anti-virus en malware programma’s gemarkeerd als kwaadaardig. Dat is frappant. Als gevolg daarvan hebben sommige van de bedrijven die deze software aanbieden “witte lijsten” gemaakt, zodat de IT-afdelingen die ze beheren ervoor kunnen zorgen dat Symantec, McAfee en anderen hun processen als niet kwaadaardig herkennen. En in veel gevallen zijn die witte lijsten openbaar, zodat je precies kunt zien wat de bestandsnamen zijn. Als de consultants van FDA hun processen hadden gecontroleerd, zouden ze waarschijnlijk een aantal van deze uitvoerbare bestanden op hun computers hebben zien draaien, via de witte lijst van SpectorSoft.
SpectorSoft biedt een witte lijst van zijn spionageprocessen, zodat IT-afdelingen kunnen configureren… AntiVirus software om ze te negeren
Dankzij dit, als u een vreemd proces dat u ziet googelt en het is spyware, zal het u waarschijnlijk terugleiden naar de website van de spyware leverancier.
Helaas, sommige spyware programma’s zijn slimmer dan anderen. “De meer geavanceerde gedragen zich meer als rootkits in die zin dat ze zich aan het zicht onttrekken,” zegt Soltani.
“Ik werkte voor een bedrijf waar, wanneer je ontslag nam, HR de IT zou vertellen om je te monitoren om ervoor te zorgen dat er geen intellectueel eigendom werd gestolen,” zegt Robinson. “De dag dat ik ontslag nam, verscheen er een Windows-update. Ze dachten dat ze stiekem bezig waren. Ik typte op het scherm: ‘I see you watching me watching you watching me.'”
“Als je baas daadwerkelijk je e-mail opent en leest, kun je misschien tracking beacons in e-mailberichten insluiten en vervolgens in de gaten houden wanneer ze worden geopend”, zegt Soltani. Je kunt een programma gebruiken zoals emailprivacytester.com of ReadNotify — het programma dat een gekke fan gebruikte om te controleren of Jay-Z de e-mails las die hij naar hem stuurde.
Bazen die op grote schaal alles vastleggen wat hun werknemers doen, zijn waarschijnlijk een zeldzaamheid, zegt Robinson. “Ze zouden meer tijd besteden aan het monitoren dan aan het managen,” zegt hij.
Het is waarschijnlijker dat het gebeurt als een baas zich echt zorgen maakt over een bepaalde werknemer, of als ze zich zorgen maken over gevoelige informatie die het bedrijf verlaat. In het geval van de FDA was het federale agentschap bezorgd dat de adviseurs informatie lekten die kritisch was over het agentschap naar leden van het Congres (en ze hadden gelijk).
Gezien de vele manieren waarop je werkgever je zou kunnen bespioneren – en het feit dat ze niet allemaal detecteerbaar zijn – is het waarschijnlijk het verstandigst om alles wat te gevoelig is gewoon te bewaren voor je persoonlijke apparaat of thuiscomputer.
In zijn afsluitende opmerkingen aan zijn werknemers op die onthullende bijeenkomst voor alle medewerkers, zei uitgever Ryan Tate: “Wees slim, vooral in dit digitale tijdperk. Ik snap het als je thuis bent en klaagt tegen een geliefde, maar wie gaat online om dat te doen, of stuurt een e-mail?”
Um. Iedereen, zou ik zeggen. Maar wees wel slim vanaf welke computer je dat doet. En natuurlijk, als je voor de veiligere optie van je thuiscomputer kiest, duim dan dat een geliefde je daar niet bespiedt.