Tidigare i år samlade vd:n för ett kristet förlag sina trupper till ett möte där han blev galen över rykten som spreds om företaget av interna källor – och sedan straffade han de oidentifierade skyldiga genom att avskeda 25 anställda. Under mötet – som fick uppmärksamhet i pressen tack vare att en av de anställda i hemlighet spelade in det – avslöjade Ryan Tate att han hade övervakat sina anställdas datoraktivitet för att försöka ta reda på vem som var ansvarig.
”Jag har tittat åt andra hållet… Jag har litat på dig. Gode Gud. Vill du titta på Netflix? Låt dem titta på Netflix. Låt dem slänga upp det på en projektor om de vill. Vill de vara på Facebook hela dagen? Var på Facebook hela dagen. Visst betalar jag dig för att göra det. Det är helt okej”, sade han.
Ryan Tate, VD och koncernchef för Tate Publishing (inte att förväxla med Ryan Tate från Gawker/Wired… kändisskap)
Han var okej med att de anställda skojade, men inte med att de skällde ut företaget. ”Jag fick läsa några av era Facebook-sidor. Min favorit är när ni lägger upp något och sedan tar ner det och tror inte att vi arkiverar allt.”
Jag kontaktade företaget vid den tidpunkten för att se hur de skötte sin övervakning, men fick aldrig något svar. Tate kan ha haft en företagspolicy för övervakning av de anställdas aktivitet på sociala nätverk, eller så kan det ha fångat deras Facebook-sessioner på deras arbetsdatorer (eller så var det kanske bara en bluff). Hur som helst är Tate långt ifrån den enda arbetsgivaren som snokar i anställdas digitala aktivitet. Livsmedelsverket kämpar för närvarande mot en stämning från forskare som hävdar att de fick sparken för att de hade visselblåst, något som den federala myndigheten insåg att de gjorde tack vare ett spionprogram från SpectorSoft som fångade upp deras e-post och datoraktivitet. Tack vare ett misstag av en entreprenör som skötte filerna läckte de 80 000 (!) sidorna i spionageakten tillfälligt ut på nätet, vilket gjorde det tydligt hur omfattande övervakningen var.
Det är inte ovanligt att arbetsgivare övervakar anställdas datorer och till och med deras smarttelefoner, men många anställda tänker inte på detta under sin arbetsdag, utan tillbringar rasterna med att titta på potentiellt känslig personlig e-post, ha sexiga chattar, bläddra i (förhoppningsvis inte alltför skandalösa) fotoalbum på Facebook, eller kanske till och med kolla in jobbannonser på andra ställen. Innan du gör något alltför upprörande på din arbetsdator bör du fundera på om den är övervakad. Jag pratade med datorforensikexperten Michael Robinson och säkerhetsforskaren Ashkan Soltani om några berättelser som skulle kunna avslöja att du eventuellt är övervakad.
För det första bör du kontrollera din anställningshandbok eller ditt avtal om datoranvändning. Om din arbetsgivare där säger att din datoraktivitet kan övervakas – vilket är ganska vanligt – har de rätt att titta. Men frågan är om de verkligen utnyttjar den rätten.
”Om du kan se det beror på var övervakningen sker”, säger Robinson. ”Om övervakningen sker uppströms, vid brandväggen, är det svårt för användaren att veta. Arbetsgivarna får bara veta vilka webbplatser de anställda besöker, så att de till exempel kan kontrollera hur många anställda som besökt Monster.com den månaden. Men om de vill se mer detaljerad aktivitet måste de installera övervakningsprogram på själva datorn.”
Säkerhetsforskaren Ashkan Soltani säger att ett verktyg som netalyzr.icsi.berkeley.edu kan tala om för dig om du blir övervakad vid brandväggen. ”Det kommer att visa att det finns något i vägen för din säkra kommunikation”, säger han. ”Det är inte hundraprocentigt tillförlitligt, men ofta finns det ”indikationer”.”
Om du befinner dig i ett företagsnätverk är all icke-https-kommunikation synlig för den som kontrollerar nätverket. Vissa anställda tror felaktigt att om de är på Gmail eller Facebook – som erbjuder https-säkerhet – kommer deras kommunikation att vara krypterad och ingen kan läsa den. Det kan vara sant om övervakningen sker uppströms, men det finns metoder för ett företag att se igenom krypteringen eftersom de kontrollerar nätverket och ofta den enhet som du får tillgång till din personliga information via. Se till exempel den här BlueCoat-guiden för att få kontroll över krypterade sessioner. Och om programvaran finns på själva datorn erbjuder https-ssl definitivt inget skydd.
Övervakningsprogram på en dator fångar tangenttryckningar och skärmdumpar. Det innebär att den kan rekonstruera din Gmail- eller Facebook-session (vilket kan vara hur Tate Publishing hade register över vad dess anställda hade lagt upp på Facebook, och senare tog ner). Den här typen av program visas inte som program, men de visas som pågående processer.
- Om du använder en dator kan du se en pågående process genom att trycka på ”Alt-Ctrl-Del” och öppna din ”Task Manager”. Byt till fliken ”Processer”.
- På en Mac går du till din ”Launchpad”, tar fram ”Gadgets and Gizmos”, går till ”Utilities” och klickar på ”Activity Monitor”.
Processen har antagligen ett oskyldigt namn, men kommer att vara ganska upptagen eftersom den har mycket aktivitet att fånga upp. Så hur vet du om en av dessa processer är spionprogram? Ett alternativ är att jämföra dina processer med dem som körs på en kollegas dator. Om en av er övervakas och den andra inte gör det, kommer ni troligen att märka att några olika processer körs. Om ni båda övervakas är det dock inte till någon större hjälp (”och du borde nog skaffa dig ett nytt jobb”, säger Robinson). Som tur är finns det ett annat alternativ för att köra en kontroll.
Troligt nog flaggas många av dessa ”spionprogram” av antivirus- och malwareprogram som skadliga. Det är ju fantastiskt. Som ett resultat av detta har några av de företag som erbjuder dessa program gjort ”vita listor” så att de IT-avdelningar som driver dem kan se till att Symantec, McAfee och andra känner igen deras processer som inte onda. Och i många fall är dessa vita listor offentliga, så att du kan se exakt vilka filnamnen är. Om FDA:s konsulter hade kollat upp sina processer skulle de sannolikt ha sett några av dessa körbara filer som körs på deras datorer, via SpectorSofts vita lista.
SpectorSoft erbjuder en vitlista över sina spionageprocesser så att IT-avdelningar kan konfigurera… AntiVirus-program att ignorera dem
Tack vare detta, om du googlar en konstig process som du ser och det är spionprogram, kommer det sannolikt att leda dig tillbaka till spionprogramsleverantörens webbplats.
Tyvärr är vissa spionprogram smartare än andra. ”De mer sofistikerade beter sig mer som rootkits genom att de döljer sig själva”, säger Soltani.
”Jag arbetade förr på ett företag där personalavdelningen, när du sa upp dig, bad IT-avdelningen att övervaka dig för att se till att ingen immateriell egendom stals”, säger Robinson. ”Den dag jag sa upp mig dök en Windows-uppdatering upp. De trodde att de var smygande. Jag skrev på skärmen: ”Jag ser att du tittar på mig, du tittar på mig, du tittar på mig.”
”Om din chef faktiskt öppnar din e-post och läser den kan du kanske bädda in spårningsfyrar i e-postmeddelanden och sedan övervaka när de öppnas”, säger Soltani. Du kan använda ett program som emailprivacytester.com eller ReadNotify – det program som ett galet fan använde för att kontrollera om Jay-Z läste de e-postmeddelanden han skickade till honom.
Bossar som gör fullskaliga fångster av allt som deras anställda gör är förmodligen en sällsynthet, säger Robinson. ”De skulle ägna mer tid åt övervakning än åt ledning”, säger han.
Det är mer troligt att det händer om en chef faktiskt är orolig för en viss anställd, eller om de är oroliga för att känslig information ska lämna företaget. I fallet med FDA var den federala myndigheten orolig för att konsulterna läckte information som var kritisk mot myndigheten till kongressledamöter (och de hade rätt).
Med tanke på de många sätt på vilka din arbetsgivare kan spionera på dig – och det faktum att de inte alla kan upptäckas – är det förmodligen klokast att spara allt som är alltför känsligt på din personliga enhet eller hemdator.
I sina avslutande kommentarer till sina anställda vid det avslöjande mötet med alla anställda sa förläggaren Ryan Tate: ”Var smarta, särskilt i denna digitala tidsålder. Jag förstår om du är hemma och klagar till en älskad person, men vem går in på nätet för att göra det, eller skickar ett e-postmeddelande?”
Um. Alla, skulle jag säga. Men var smart när det gäller vilken dator du gör det från. Och om du väljer det säkrare alternativet med din hemdator, håll tummarna för att en älskad person inte snokar på dig där.