Discussion:
HTTPS Inspection
(te oud om op te antwoorden)
Paul van der Vlis
2012-07-12 13:59:07 UTC
Permalink
Hallo,

Ik lees op een Microsoft website onderstaande. Ik dacht altijd dat je
bij een https site een beveiligde connectie tussen je browser en een
webserver maakt, dan valt er weinig te inspecteren.
Op deze manier kun je paswoorden stelen etc. uit een https sessie.
Hoe doet men dit?
Kan dit met elke browser?

------
HTTPS Inspection enables Forefront TMG 2010 to inspect inside your
users' SSL-encrypted Web traffic. By inspecting within these encrypted
sessions, Forefront TMG 2010 can both detect possible malware as well as
limit employee web usage to approved sites. Sensitive sites, such as
banking sites, can be excluded from inspection.
------
http://www.microsoft.com/en-us/server-cloud/forefront/threat-management-gateway-features.aspx

Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer, Groningen
Martijn van Buul
2012-07-12 14:29:20 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Ik lees op een Microsoft website onderstaande. Ik dacht altijd dat je
bij een https site een beveiligde connectie tussen je browser en een
webserver maakt, dan valt er weinig te inspecteren.
Dat heet nou een Man-in-the-middle attack. Dit is niks nieuws, ISA deed
dit ook al jaren. Je bouwt in dit geval als client geen verbinding op met
de webserver, maar met de ISA (cq forefront)-server die vervolgens een
verbinding opbouwt naar de daadwerkelijke webserver. Dus ja, het is
eigenlijk een man-in-the-middle attack, ware het niet dat het in dit
geval tot "feature" is verheven, aangezien de man-in-the-middle ook
wel bekend staat als je lokale systeembeheerder. Om onduidelijke redenen
vinden die van zichzelf dat ze betrouwbaar zijn.
Post by Paul van der Vlis
Op deze manier kun je paswoorden stelen etc. uit een https sessie. Hoe doet
men dit? Kan dit met elke browser?
Ja, dit kan met alle browsers. SSL is niet inherent veilig, dat wordt
het pas zodra er een certificaat aan is verbonden dat te controleren valt.

Overigens valt er ook dan wel een mouw aan te passen: het enige wat de
man in the middle hoeft te doen is jou verleiden tot het accepteren van
zijn certificaat. Een hacker moet daar moeite voor doen, een systeem-
beheerder hoeft alleen maar een grote bek op te zetten :)
--
Martijn van Buul - ***@dohd.org
Paul van der Vlis
2012-07-12 14:52:24 UTC
Permalink
Post by Martijn van Buul
Post by Paul van der Vlis
Hallo,
Ik lees op een Microsoft website onderstaande. Ik dacht altijd dat je
bij een https site een beveiligde connectie tussen je browser en een
webserver maakt, dan valt er weinig te inspecteren.
Dat heet nou een Man-in-the-middle attack. Dit is niks nieuws, ISA deed
dit ook al jaren. Je bouwt in dit geval als client geen verbinding op met
de webserver, maar met de ISA (cq forefront)-server die vervolgens een
verbinding opbouwt naar de daadwerkelijke webserver. Dus ja, het is
eigenlijk een man-in-the-middle attack, ware het niet dat het in dit
geval tot "feature" is verheven, aangezien de man-in-the-middle ook
wel bekend staat als je lokale systeembeheerder. Om onduidelijke redenen
vinden die van zichzelf dat ze betrouwbaar zijn.
Post by Paul van der Vlis
Op deze manier kun je paswoorden stelen etc. uit een https sessie. Hoe doet
men dit? Kan dit met elke browser?
Ja, dit kan met alle browsers. SSL is niet inherent veilig, dat wordt
het pas zodra er een certificaat aan is verbonden dat te controleren valt.
Overigens valt er ook dan wel een mouw aan te passen: het enige wat de
man in the middle hoeft te doen is jou verleiden tot het accepteren van
zijn certificaat. Een hacker moet daar moeite voor doen, een systeem-
beheerder hoeft alleen maar een grote bek op te zetten :)
Als ik het goed begrijp dan wordt er dus gebruik gemaakt van een soort
transparante proxy, en wordt al het https verkeer met die proxy als
veilig verklaard door een speciaal certificaat wat op de PC
geinstalleerd moet zijn.

Kun je ook zien of je met zo'n man-in-the-middle-attack te maken hebt,
bijvoorbeeld door het certificaat van de site te bestuderen?

Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer, Groningen
Martijn van Buul
2012-07-12 15:31:08 UTC
Permalink
Post by Paul van der Vlis
Kun je ook zien of je met zo'n man-in-the-middle-attack te maken hebt,
bijvoorbeeld door het certificaat van de site te bestuderen?
Uiteraard. Het staat gewoon in het certificaat.
--
Martijn van Buul - ***@dohd.org
Martijn Lievaart
2012-07-17 06:55:27 UTC
Permalink
Post by Martijn van Buul
Post by Paul van der Vlis
Kun je ook zien of je met zo'n man-in-the-middle-attack te maken hebt,
bijvoorbeeld door het certificaat van de site te bestuderen?
Uiteraard. Het staat gewoon in het certificaat.
Als je het goed doen, zie je het alleen aan het certificatie pad. En
aangezien je toch al een aantal velden uit het originele certificaat moet
overnemen om je browser niet te laten zeuren (met name moet het
certificaat bij de hostname passen), is het een kleine moeite om de rest
van de velden ook te kopieren. Ik denk dus dat het wel te zien is, maar
niet triviaal voor de gemiddelde gebruiker.

M4
Rob
2012-07-17 07:57:23 UTC
Permalink
Post by Martijn Lievaart
Post by Martijn van Buul
Post by Paul van der Vlis
Kun je ook zien of je met zo'n man-in-the-middle-attack te maken hebt,
bijvoorbeeld door het certificaat van de site te bestuderen?
Uiteraard. Het staat gewoon in het certificaat.
Als je het goed doen, zie je het alleen aan het certificatie pad. En
aangezien je toch al een aantal velden uit het originele certificaat moet
overnemen om je browser niet te laten zeuren (met name moet het
certificaat bij de hostname passen), is het een kleine moeite om de rest
van de velden ook te kopieren. Ik denk dus dat het wel te zien is, maar
niet triviaal voor de gemiddelde gebruiker.
Het is met die certificaten net zoals met de meeste checks die je in
een complexe computeromgeving kunt doen. Ik heb al een tijdje zo'n
plugin meedraaien die een database aanhoudt van certificaten en een
waarschuwing geeft als er op een bepaalde hostnaam ineens een ander
certificaat gebruikt wordt zonder dat het vorige verlopen was, maar
daar heb je in de praktijk weinig aan want dat ding geeft een voortdurende
stroom van waarschuwingen omdat de sitebeheerders zich niet houden aan
de conventies waar dit soort software vanuit gaat.

(bijvoorbeeld de grotere websites draaien meerdere servers met een
vorm van loadbalancing en hebben dan niet hetzelfde certificaat op
alle servers staan)
Fred Mobach
2012-07-12 15:49:39 UTC
Permalink
Post by Martijn van Buul
Post by Paul van der Vlis
Op deze manier kun je paswoorden stelen etc. uit een https sessie.
Hoe doet
men dit? Kan dit met elke browser?
Ja, dit kan met alle browsers. SSL is niet inherent veilig, dat wordt
het pas zodra er een certificaat aan is verbonden dat te controleren valt.
Het lijkt me pas veiliger worden als die certificaten ook daadwerkelijk
door gebruikers worden gecontroleerd, nadat die gebruikers de lijst van
CA's in hun applicatie hebben uitgedund. Zeg maar zo rond St. Juttemis.
Het inperken van de functieomvang van browsers zou trouwens ook nog wel
iets kunnen toevoegen aan de veiligheid van omvanrijke netwerken.
--
Fred Mobach
website : https://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
Martijn van Buul
2012-07-12 16:46:33 UTC
Permalink
Post by Fred Mobach
Post by Martijn van Buul
Post by Paul van der Vlis
Op deze manier kun je paswoorden stelen etc. uit een https sessie.
Hoe doet
men dit? Kan dit met elke browser?
Ja, dit kan met alle browsers. SSL is niet inherent veilig, dat wordt
het pas zodra er een certificaat aan is verbonden dat te controleren valt.
Het lijkt me pas veiliger worden als die certificaten ook daadwerkelijk
door gebruikers worden gecontroleerd, nadat die gebruikers de lijst van
CA's in hun applicatie hebben uitgedund.
Tsja, dat klopt wel ja. Overigens zijn er opvallend veel sites die nog
steeds denken weg te komen met een self-signed (of simpelweg foutief)
certificaat. En dan hebben we het nog niet eens gehad over "controversiele"
CA's als CACert.
Post by Fred Mobach
Zeg maar zo rond St. Juttemis. Het inperken van de functieomvang van
browsers zou trouwens ook nog wel iets kunnen toevoegen aan de veiligheid van
omvanrijke netwerken.
Jamaar! Web 2.0 enzo! Je weet toch dat anno 2012 locale applicaties helemaal
on-hip zijn, en alles in "de cloud" hoort plaats te vinden?
--
Martijn van Buul - ***@dohd.org
Paul van der Vlis
2012-07-12 17:23:07 UTC
Permalink
Post by Fred Mobach
Post by Martijn van Buul
Post by Paul van der Vlis
Op deze manier kun je paswoorden stelen etc. uit een https sessie.
Hoe doet
men dit? Kan dit met elke browser?
Ja, dit kan met alle browsers. SSL is niet inherent veilig, dat wordt
het pas zodra er een certificaat aan is verbonden dat te controleren valt.
Het lijkt me pas veiliger worden als die certificaten ook daadwerkelijk
door gebruikers worden gecontroleerd, nadat die gebruikers de lijst van
CA's in hun applicatie hebben uitgedund.
Ik hoorde laatst iemand vertellen dat hij alle CA's uit zijn browsers
standaard verwijderd. Hij ging certificaten zelf wel controleren, net
zoals een PGP key. Zijn bank deed daar niet moeilijk over.

Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer, Groningen
Martijn van Buul
2012-07-12 17:48:18 UTC
Permalink
Post by Paul van der Vlis
Ik hoorde laatst iemand vertellen dat hij alle CA's uit zijn browsers
standaard verwijderd. Hij ging certificaten zelf wel controleren, net
zoals een PGP key.
Dat is een behoorlijke tegenspraak. Ten eerste: Hoe wil je SSL keys
zelf controleren? Hoe wil je garanderen dat het certificaat van, zeg,
ABN-Amro geldig is?

En ten tweede: Hoe verhoudt zich dat tot PGP? Tenzij je iedereen wiens
authenticiteit je wil controleren hoogst persoonlijk zelf gaat bezoeken
is er geen mogelijkheid om het "zelf" te controleren.

Tenslotte: Wat denk je hiermee te bereiken? "Joh, ik vertrouw jullie
geen van allen, ik ga.. euh... unencrypted http gebruiken! Yes!"

Tijd voor de aluhoedjes.
Post by Paul van der Vlis
Zijn bank deed daar niet moeilijk over.
Waarom zou zijn bank daar moeilijk over doen? Een bank zal je niet
verplichten om een CA-certificaat te gebruiken. Het zal mijn bank verder
ook een rotzorg wezen waar ik mijn geld aan spendeer...
--
Martijn van Buul - ***@dohd.org
Paul van der Vlis
2012-07-12 21:22:50 UTC
Permalink
Post by Martijn van Buul
Post by Paul van der Vlis
Ik hoorde laatst iemand vertellen dat hij alle CA's uit zijn browsers
standaard verwijderd. Hij ging certificaten zelf wel controleren, net
zoals een PGP key.
Dat is een behoorlijke tegenspraak. Ten eerste: Hoe wil je SSL keys
zelf controleren? Hoe wil je garanderen dat het certificaat van, zeg,
ABN-Amro geldig is?
Door te gaan bellen met de bank en de fingerprint van het certificaat te
controleren.
Post by Martijn van Buul
En ten tweede: Hoe verhoudt zich dat tot PGP? Tenzij je iedereen wiens
authenticiteit je wil controleren hoogst persoonlijk zelf gaat bezoeken
is er geen mogelijkheid om het "zelf" te controleren.
Ik doe dat in de praktijk ook door te gaan bellen en de fingerprint te
controleren.
Post by Martijn van Buul
Tenslotte: Wat denk je hiermee te bereiken? "Joh, ik vertrouw jullie
geen van allen, ik ga.. euh... unencrypted http gebruiken! Yes!"
Tijd voor de aluhoedjes.
Post by Paul van der Vlis
Zijn bank deed daar niet moeilijk over.
Waarom zou zijn bank daar moeilijk over doen? Een bank zal je niet
verplichten om een CA-certificaat te gebruiken. Het zal mijn bank verder
ook een rotzorg wezen waar ik mijn geld aan spendeer...
Ze deden niet moeilijk over het controleren van de fingerprint van het
certificaat.

Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Martijn van Buul
2012-07-13 08:42:26 UTC
Permalink
Post by Paul van der Vlis
Post by Martijn van Buul
Post by Paul van der Vlis
Ik hoorde laatst iemand vertellen dat hij alle CA's uit zijn browsers
standaard verwijderd. Hij ging certificaten zelf wel controleren, net
zoals een PGP key.
Dat is een behoorlijke tegenspraak. Ten eerste: Hoe wil je SSL keys
zelf controleren? Hoe wil je garanderen dat het certificaat van, zeg,
ABN-Amro geldig is?
Door te gaan bellen met de bank en de fingerprint van het certificaat te
controleren.
En hoe controleer jij dat de meneer met wie jij aan de lijn hangt
daadwerkelijk van de ABN-Amro is? Een telefoonverbinding is niet secure,
en is niet geschikt voor authenticatie.

Als je paranoide genoeg bent om te denken dat je root-CA gehacked is
speciaal om jou een verrot certificaat te leveren moet je er ook
vanuit gaan dat je telefoonmaatschappij gehacked is, cq erop uit is om je
te belazeren.
--
Martijn van Buul - ***@dohd.org
Paul van der Vlis
2012-07-13 13:51:24 UTC
Permalink
Post by Martijn van Buul
Post by Paul van der Vlis
Post by Martijn van Buul
Post by Paul van der Vlis
Ik hoorde laatst iemand vertellen dat hij alle CA's uit zijn browsers
standaard verwijderd. Hij ging certificaten zelf wel controleren, net
zoals een PGP key.
Dat is een behoorlijke tegenspraak. Ten eerste: Hoe wil je SSL keys
zelf controleren? Hoe wil je garanderen dat het certificaat van, zeg,
ABN-Amro geldig is?
Door te gaan bellen met de bank en de fingerprint van het certificaat te
controleren.
En hoe controleer jij dat de meneer met wie jij aan de lijn hangt
daadwerkelijk van de ABN-Amro is? Een telefoonverbinding is niet secure,
en is niet geschikt voor authenticatie.
Ik vind het een redelijke beveiliging.
Uiteraard let ik wel goed op welk nummer ik bel.
Post by Martijn van Buul
Als je paranoide genoeg bent om te denken dat je root-CA gehacked is
speciaal om jou een verrot certificaat te leveren moet je er ook
vanuit gaan dat je telefoonmaatschappij gehacked is, cq erop uit is om je
te belazeren.
Paranoide genoeg om te denken dat het hele systeem van root-CA's niet
erg betrouwbaar is vind ik niet vreemd. Het zou me niets verbazen als
het binnenkort als een kaartenhuis in elkaar zakt.

Bij veel sites is het niet echt belangrijk allemaal, daar kun je gewoon
op "toevoegen" klikken en het certificaat wordt tijdens zijn looptijd
als betrouwbaar gezien. Het lijkt me wel lastig dat die dingen zo vaak
verlopen overigens.

Bij sommige sites, zoals bij een bank, wil je het misschien even wat
zekerder weten, en vind ik een check op een fingerprint op zijn plaats.

Maar je moet er maar tijd & zin in hebben.

Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Rob
2012-07-12 16:32:25 UTC
Permalink
Post by Martijn van Buul
Overigens valt er ook dan wel een mouw aan te passen: het enige wat de
man in the middle hoeft te doen is jou verleiden tot het accepteren van
zijn certificaat. Een hacker moet daar moeite voor doen, een systeem-
beheerder hoeft alleen maar een grote bek op te zetten :)
Nou dat hoeft niet hoor. De systeembeheerder kan de uitgever van het
locale certificaat gewoon toevoegen aan de lijst vertrouwde uitgevers
via group policy.

Je merkt er dan niks van als je niet per site gaat kijken of het slotje
wel de juiste informatie naar boven tovert.

Overigens kan dit soort dingen niet alleen in een bedrijfsnetwerk.
Zoals bekend is de "Staat der Nederlanden" een in de browsers gemarkeerde
vertrouwde uitgever van certificaten, dus de staat kan zo een dergelijke
man in de the middle opzetten zonder dat je dat snel merkt.

(bijvoorbeeld om te kijken wat een verdachte uitspookt)
Martijn van Buul
2012-07-12 17:49:32 UTC
Permalink
Post by Rob
Post by Martijn van Buul
Overigens valt er ook dan wel een mouw aan te passen: het enige wat de
man in the middle hoeft te doen is jou verleiden tot het accepteren van
zijn certificaat. Een hacker moet daar moeite voor doen, een systeem-
beheerder hoeft alleen maar een grote bek op te zetten :)
Nou dat hoeft niet hoor. De systeembeheerder kan de uitgever van het
locale certificaat gewoon toevoegen aan de lijst vertrouwde uitgevers
via group policy.
Moet je eens kijken wat er gebeurt als je dat probeert te weigeren. Mijn
ervaring is dat die systeembeheerder dan een grote bek opzet :)
Post by Rob
Je merkt er dan niks van als je niet per site gaat kijken of het slotje
wel de juiste informatie naar boven tovert.
Tsja, dat is heel de gedachte van een MITM-attack: Je slachtoffer laten
geloven dat er niets aan de hand is.
Post by Rob
Overigens kan dit soort dingen niet alleen in een bedrijfsnetwerk.
Zoals bekend is de "Staat der Nederlanden" een in de browsers gemarkeerde
vertrouwde uitgever van certificaten, dus de staat kan zo een dergelijke
man in de the middle opzetten zonder dat je dat snel merkt.
Correct.
--
Martijn van Buul - ***@dohd.org
Rob
2012-07-12 17:59:58 UTC
Permalink
Post by Martijn van Buul
Post by Rob
Post by Martijn van Buul
Overigens valt er ook dan wel een mouw aan te passen: het enige wat de
man in the middle hoeft te doen is jou verleiden tot het accepteren van
zijn certificaat. Een hacker moet daar moeite voor doen, een systeem-
beheerder hoeft alleen maar een grote bek op te zetten :)
Nou dat hoeft niet hoor. De systeembeheerder kan de uitgever van het
locale certificaat gewoon toevoegen aan de lijst vertrouwde uitgevers
via group policy.
Moet je eens kijken wat er gebeurt als je dat probeert te weigeren. Mijn
ervaring is dat die systeembeheerder dan een grote bek opzet :)
Dat kun je helemaal niet weigeren...
Tenminste niet als je PC onderdeel is van een domein, wat meestal wel
het geval zal zijn in een bedrijfsnetwerk.
Post by Martijn van Buul
Post by Rob
Je merkt er dan niks van als je niet per site gaat kijken of het slotje
wel de juiste informatie naar boven tovert.
Tsja, dat is heel de gedachte van een MITM-attack: Je slachtoffer laten
geloven dat er niets aan de hand is.
Deze vorm is niet zozeer gericht op slachtoffers maar op medewerkers
van een bedrijf. Als je een PC van een bedrijf gebruikt dan doe je
dat op de condities van het bedrijf. Ga je er niet mee accoord dat je
telebankieren gegevens worden meegelezen door de baas, dan telebankier
je niet op je werkplek maar thuis.
Net zoals je niet belt via de telefoon van je baas als je niet wilt dat
de gespreksgegevens (en eventueel zelfs het gesprek) door je baas wordt
opgeslagen.

Overigens, voor dat mensen gaan denken dat Microsoft in deze de kwaaie
is, Squid kan dit ook voor je doen, althans de wat recentere versies.
Martijn van Buul
2012-07-12 18:18:21 UTC
Permalink
Post by Rob
Post by Martijn van Buul
Post by Rob
Post by Martijn van Buul
Overigens valt er ook dan wel een mouw aan te passen: het enige wat de
man in the middle hoeft te doen is jou verleiden tot het accepteren van
zijn certificaat. Een hacker moet daar moeite voor doen, een systeem-
beheerder hoeft alleen maar een grote bek op te zetten :)
Nou dat hoeft niet hoor. De systeembeheerder kan de uitgever van het
locale certificaat gewoon toevoegen aan de lijst vertrouwde uitgevers
via group policy.
Moet je eens kijken wat er gebeurt als je dat probeert te weigeren. Mijn
ervaring is dat die systeembeheerder dan een grote bek opzet :)
Dat kun je helemaal niet weigeren...
My point exactly.
Post by Rob
Tenminste niet als je PC onderdeel is van een domein, wat meestal wel
het geval zal zijn in een bedrijfsnetwerk.
Vaak omdat de systeembeheerder het je de facto verplicht, aangezien je anders
weinig werk kunt verrichten.
Post by Rob
Post by Martijn van Buul
Post by Rob
Je merkt er dan niks van als je niet per site gaat kijken of het slotje
wel de juiste informatie naar boven tovert.
Tsja, dat is heel de gedachte van een MITM-attack: Je slachtoffer laten
geloven dat er niets aan de hand is.
Deze vorm is niet zozeer gericht op slachtoffers maar op medewerkers
van een bedrijf.
Dat is hetzelfde. Het verschil is de insteek.
Post by Rob
Als je een PC van een bedrijf gebruikt dan doe je dat op de condities van het
bedrijf.
En aangezien die vaker wel dan niet zijn opgesteld door *precies diezelfde
systeembeheerder* (zeker in het MKB) is het buitengewoon ergerlijk als hij er
zich vervolgens achter gaat verschuilen alsof hij er ook niks aan kan doen.
Post by Rob
Overigens, voor dat mensen gaan denken dat Microsoft in deze de kwaaie
is, Squid kan dit ook voor je doen, althans de wat recentere versies.
In feite proberen zowel hackers als systeembeheerders hetzelfde te
bereiken: Zoveel mogelijk mijn privacy schenden. Het verschil is dat de
systeembeheerder ervoor zorgt dat hij dat op een (min of meer) legale
manier probeert te bereiken, en er bovendien voor wordt betaald om mij het
leven zuur te maken, en dat de hacker het doet omdat 'ie het leuk vindt....
--
Martijn van Buul - ***@dohd.org
Rob
2012-07-12 18:46:05 UTC
Permalink
Post by Martijn van Buul
Post by Rob
Overigens, voor dat mensen gaan denken dat Microsoft in deze de kwaaie
is, Squid kan dit ook voor je doen, althans de wat recentere versies.
In feite proberen zowel hackers als systeembeheerders hetzelfde te
bereiken: Zoveel mogelijk mijn privacy schenden. Het verschil is dat de
systeembeheerder ervoor zorgt dat hij dat op een (min of meer) legale
manier probeert te bereiken, en er bovendien voor wordt betaald om mij het
leven zuur te maken, en dat de hacker het doet omdat 'ie het leuk vindt....
De primaire motivatie van dit meekijken met https is (naar ik aanneem)
meestal niet de nieuwsgierigheid naar privegegevens, maar de angst dat
er in een encrypted tunnel wellicht gegevens getransporteerd worden die
schadelijk kunnen zijn voor het bedrijf.

Dit kan bijvoorbeeld het scannen op virussen zijn, maar ook het blokkeren
van ongewenste content (steeds meer sites bieden een https toegang).

En sommige bedrijven proberen zelfs (volgens mij heilloos) om te scannen
wat er het bedrijf uit gaat, om te voorkomen dat geheime informatie naar
buiten lekt.

Als iemand iets post op wetransfer dan wil men controleren of dat geen
bedrijfsgeheimen zijn.

Het is dus niet "zoveel mogelijk je privacy schenden" maar "zoveel mogelijk
het bedrijf beschermen, waarbij eventuele privacyschendingen van minder
belang zijn".

Ik ben het er in grote lijnen wel mee eens. Mensen die vinden dat het
onder hun privacy valt wat ze de hele dag op hun werk uitvoeren daar heb
ik niet echt medelijden mee. Op je werk ben je bezig met je werk, niet
met je prive activiteiten.
Martijn van Buul
2012-07-13 08:38:59 UTC
Permalink
Post by Rob
Ik ben het er in grote lijnen wel mee eens. Mensen die vinden dat het
onder hun privacy valt wat ze de hele dag op hun werk uitvoeren daar heb
ik niet echt medelijden mee. Op je werk ben je bezig met je werk, niet
met je prive activiteiten.
Klopt, maar er is een grens. Zo vond mijn eigen sysadmin het onlangs een
goed idee om namens mij mail te sturen, en vervolgens mijn mailbox te
monitoren op zoek naar het verwachte antwoord (om dat vervolgens fijn uit
mijn mailbox te verwijderen). Ongetwijfeld met de beste bedoelingen, maar
zonder mij daarvan te informeren, en ik vond dat toch echt een brug te ver.

En ja, ik doe moeite om mijn prive-mail niet in de buurt te laten komen
van mijn werk-mailaccount. Maar toch.
--
Martijn van Buul - ***@dohd.org
Rob
2012-07-13 09:09:45 UTC
Permalink
Post by Martijn van Buul
Post by Rob
Ik ben het er in grote lijnen wel mee eens. Mensen die vinden dat het
onder hun privacy valt wat ze de hele dag op hun werk uitvoeren daar heb
ik niet echt medelijden mee. Op je werk ben je bezig met je werk, niet
met je prive activiteiten.
Klopt, maar er is een grens. Zo vond mijn eigen sysadmin het onlangs een
goed idee om namens mij mail te sturen, en vervolgens mijn mailbox te
monitoren op zoek naar het verwachte antwoord (om dat vervolgens fijn uit
mijn mailbox te verwijderen). Ongetwijfeld met de beste bedoelingen, maar
zonder mij daarvan te informeren, en ik vond dat toch echt een brug te ver.
Dat gaat wel heel ver ja.
Maar als dit in het belang van het bedrijf is dan kan het gebeuren.
Ik heb als sysadmin ook wel hele mailboxen overgedragen aan Hoffman
om te onderzoeken op malversaties. Privacy speelt daarbij niet. Als
je dit met een prive mailbox zou willen doen dan kan het alleen via
justitie, maar voor bedrijven geldt dat niet.
Post by Martijn van Buul
En ja, ik doe moeite om mijn prive-mail niet in de buurt te laten komen
van mijn werk-mailaccount. Maar toch.
Is bij ons ook een regel. Je mag wel een mailtje naar huis sturen ofzo,
maar je werk mail gebruiken voor bijvoorbeeld inschrijvingen op de
website van Wehkamp ofzo dat mag niet.
Cecil Westerhof
2012-07-15 10:19:29 UTC
Permalink
Ik ben het er in grote lijnen wel mee eens. Mensen die vinden dat het
onder hun privacy valt wat ze de hele dag op hun werk uitvoeren daar heb
ik niet echt medelijden mee. Op je werk ben je bezig met je werk, niet
met je prive activiteiten.
Tja, als een bedrijf het 'normaal' vind dat zijn werknemers in privé
tijd voor het bedrijf bezig zijn, dan zouden ze het omgekeerde ook
niet erg moeten vinden.

En als je fulltime werkt, wordt het wat lastig om een telefonische
afspraak met je huisarts, tandarts, … te maken. (Telefoon gesprekken
kwamen ook in de thread voorbij.)
--
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof
Rob
2012-07-15 10:37:13 UTC
Permalink
Post by Cecil Westerhof
En als je fulltime werkt, wordt het wat lastig om een telefonische
afspraak met je huisarts, tandarts, … te maken. (Telefoon gesprekken
kwamen ook in de thread voorbij.)
Er zijn altijd grenzen.
Een afspraak met de huisarts zal meestal wel mogen.
Maar de hele dag aan de lijn hangen op een duur 0900 nummer, mag dat?

Er bestaan zelfs speciale 0900 nummers voor fraudeurs. Daar bel je heen
en een deel van wat dat kost komt dan op een "account" ergens en kun je
weer laten uitbetalen of besteden.

Je snapt wel dat een bedrijf er niet aan mee wil doen dat personeel
dergelijke nummers belt.
Cecil Westerhof
2012-07-15 11:25:53 UTC
Permalink
Post by Rob
Post by Cecil Westerhof
En als je fulltime werkt, wordt het wat lastig om een telefonische
afspraak met je huisarts, tandarts, … te maken. (Telefoon gesprekken
kwamen ook in de thread voorbij.)
Er zijn altijd grenzen.
Een afspraak met de huisarts zal meestal wel mogen.
Maar de hele dag aan de lijn hangen op een duur 0900 nummer, mag dat?
Dat ben ik geheel met je eens, maar de opmerking was absoluut niet
bellen en e-mailen tijdens je werk. Dat vind ik overdreven en is denk
ik niet haalbaar.
Post by Rob
Er bestaan zelfs speciale 0900 nummers voor fraudeurs. Daar bel je heen
en een deel van wat dat kost komt dan op een "account" ergens en kun je
weer laten uitbetalen of besteden.
Ik weet daar een oude variant op. Dat was toen 0900 nummers nog 06
nummers waren. Dus dat is ‘even’ geleden.

Iemand was gaan werken bij een schoonmaakbedrijf. Hij belde een nummer
dat een bandje met een in gesprek toon afspeelde. Op het moment dat
iemand dan –de volgende dag– de hoorn van de haak vond, dacht men daar
niet bij na. Heeft die man fortuinen opgeleverd.
Post by Rob
Je snapt wel dat een bedrijf er niet aan mee wil doen dat personeel
dergelijke nummers belt.
Dat wil ik als personeel niet eens. :-D
--
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof
Rob
2012-07-15 11:51:16 UTC
Permalink
Post by Cecil Westerhof
Post by Rob
Post by Cecil Westerhof
En als je fulltime werkt, wordt het wat lastig om een telefonische
afspraak met je huisarts, tandarts, … te maken. (Telefoon gesprekken
kwamen ook in de thread voorbij.)
Er zijn altijd grenzen.
Een afspraak met de huisarts zal meestal wel mogen.
Maar de hele dag aan de lijn hangen op een duur 0900 nummer, mag dat?
Dat ben ik geheel met je eens, maar de opmerking was absoluut niet
bellen en e-mailen tijdens je werk. Dat vind ik overdreven en is denk
ik niet haalbaar.
Dat heb je misschien zelf bedacht maar dat heb ik in ieder geval
niet geschreven. Mijn mening is dat er grenzen zijn en dat de
werkgever in ieder geval mag monitoren of die grenzen overschreden
worden. Als je dat niet wilt dan moet je geen prive zaken op het
werk afhandelen, en als je wel privezaken op het werk afhandelt dan
moet je het er mee eens zijn dat dat in de gaten gehouden wordt.

Dat betekent dus NIET "absoluut niet bellen" of "absoluut niet mailen"
maar WEL "er wordt gelogd wat je doet en als er iets blijkt dan kunnen
die logs worden doorgespit".
Post by Cecil Westerhof
Post by Rob
Je snapt wel dat een bedrijf er niet aan mee wil doen dat personeel
dergelijke nummers belt.
Dat wil ik als personeel niet eens. :-D
Nee maar toen we op het werk ontdekten dat er honderden euro per maand
aan dergelijke 0900 fraude nummers verbeld werd hebben we wel de
instellingen van de centrale gewijzigd. 0900 mag nu niet meer tenzij het
nummer op een uitzonderingslijst staat of je het belt via de telefoniste.

Als je de logs doorspit kom je er ook achter dat er heel veel mensen
zo kleinzielig zijn om het "zet uw advertentie hoger in marktplaats"
mailtje naar het werk door te sturen en dan vervolgens op het werk het
betaalnummer bellen.

En dan zijn wij nog een klein bedrijf. Ik kan me best voorstellen dat
nog grotere bedrijven hier gigantische kosten en risico's mee lopen en
dat ze daarom aan HTTPS Inspection doen (waar deze thread mee begon).
Ook als dat bij bepaalde werknemers een "ik wil niet bekeken worden"
snaar raakt. Het blijkt namelijk nodig te zijn om bekeken te worden.
richard lucassen
2012-07-15 13:03:30 UTC
Permalink
On 15 Jul 2012 11:51:16 GMT
Post by Rob
En dan zijn wij nog een klein bedrijf. Ik kan me best voorstellen dat
nog grotere bedrijven hier gigantische kosten en risico's mee lopen en
dat ze daarom aan HTTPS Inspection doen (waar deze thread mee begon).
Ook als dat bij bepaalde werknemers een "ik wil niet bekeken worden"
snaar raakt. Het blijkt namelijk nodig te zijn om bekeken te worden.
Ik ken een klein bedrijf waar de proxy-logs door alle users te zien.
Iedereen kan zien wie waar naartoe surft en hoe laat dat gebeurt.
Policy is dat er tijdens werkuren niet prive gesurft wordt. Het werkt
wonderbaarlijk goed.

Niet "open source", maar "open logs" dus.
--
richard lucassen <***@lucassen.org>
Mark Huizer
2012-07-18 07:59:37 UTC
Permalink
Post by Cecil Westerhof
Ik ben het er in grote lijnen wel mee eens. Mensen die vinden dat het
onder hun privacy valt wat ze de hele dag op hun werk uitvoeren daar heb
ik niet echt medelijden mee. Op je werk ben je bezig met je werk, niet
met je prive activiteiten.
Tja, als een bedrijf het 'normaal' vind dat zijn werknemers in privé
tijd voor het bedrijf bezig zijn, dan zouden ze het omgekeerde ook
niet erg moeten vinden.
Het lijkt me meer een kwestie dat je krijgt wat je geeft. Beoordeel je
mensen op hun output ipv op de tijd dat ze er zijn en ze niets
"verkeerds" doen, heb je meer kans dat mensen zich ook echt betrokken
voelen en gemotiveerd zijn.

Mark
Rob
2012-07-18 08:09:07 UTC
Permalink
Post by Mark Huizer
Post by Cecil Westerhof
Ik ben het er in grote lijnen wel mee eens. Mensen die vinden dat het
onder hun privacy valt wat ze de hele dag op hun werk uitvoeren daar heb
ik niet echt medelijden mee. Op je werk ben je bezig met je werk, niet
met je prive activiteiten.
Tja, als een bedrijf het 'normaal' vind dat zijn werknemers in privé
tijd voor het bedrijf bezig zijn, dan zouden ze het omgekeerde ook
niet erg moeten vinden.
Het lijkt me meer een kwestie dat je krijgt wat je geeft. Beoordeel je
mensen op hun output ipv op de tijd dat ze er zijn en ze niets
"verkeerds" doen, heb je meer kans dat mensen zich ook echt betrokken
voelen en gemotiveerd zijn.
Ja maar dat is niet altijd even gemakkelijk.
Wij hebben bijvoorbeeld een groep medewerkers die niet veel meer doet
dan "opletten".

Of hun "output" verminderd is dat merk je pas als er een ongeluk gebeurt,
en daar wil je meestal niet op wachten.
Mark Huizer
2012-07-18 08:24:54 UTC
Permalink
Post by Rob
Post by Mark Huizer
Het lijkt me meer een kwestie dat je krijgt wat je geeft. Beoordeel je
mensen op hun output ipv op de tijd dat ze er zijn en ze niets
"verkeerds" doen, heb je meer kans dat mensen zich ook echt betrokken
voelen en gemotiveerd zijn.
Ja maar dat is niet altijd even gemakkelijk.
Wij hebben bijvoorbeeld een groep medewerkers die niet veel meer doet
dan "opletten".
Of hun "output" verminderd is dat merk je pas als er een ongeluk gebeurt,
en daar wil je meestal niet op wachten.
Mjah, maar dan praat je ook over veiligheidsaspecten, dat is wel iets
anders.

Mark
Rob
2012-07-18 08:56:59 UTC
Permalink
Post by Mark Huizer
Post by Rob
Post by Mark Huizer
Het lijkt me meer een kwestie dat je krijgt wat je geeft. Beoordeel je
mensen op hun output ipv op de tijd dat ze er zijn en ze niets
"verkeerds" doen, heb je meer kans dat mensen zich ook echt betrokken
voelen en gemotiveerd zijn.
Ja maar dat is niet altijd even gemakkelijk.
Wij hebben bijvoorbeeld een groep medewerkers die niet veel meer doet
dan "opletten".
Of hun "output" verminderd is dat merk je pas als er een ongeluk gebeurt,
en daar wil je meestal niet op wachten.
Mjah, maar dan praat je ook over veiligheidsaspecten, dat is wel iets
anders.
Om maar even aan te geven dat het niet zo simpel ligt als je daar
schreef.
Jeroen Beerstra
2012-07-18 11:47:31 UTC
Permalink
Post by Rob
Post by Mark Huizer
Post by Rob
Post by Mark Huizer
Het lijkt me meer een kwestie dat je krijgt wat je geeft. Beoordeel je
mensen op hun output ipv op de tijd dat ze er zijn en ze niets
"verkeerds" doen, heb je meer kans dat mensen zich ook echt betrokken
voelen en gemotiveerd zijn.
Ja maar dat is niet altijd even gemakkelijk.
Wij hebben bijvoorbeeld een groep medewerkers die niet veel meer doet
dan "opletten".
Of hun "output" verminderd is dat merk je pas als er een ongeluk gebeurt,
en daar wil je meestal niet op wachten.
Mjah, maar dan praat je ook over veiligheidsaspecten, dat is wel iets
anders.
Om maar even aan te geven dat het niet zo simpel ligt als je daar
schreef.
Toch ben ik het met Mark eens: in het algemeen dan. Als je werknemers
gaat betuttelen krijg je dat 2x zo hard terug. Natuurlijk zijn er
uitzonderingen op de regel, een werksituatie bv waar een zeer hoog
security nivo essentieel is.

Stel dat je voorstelt om overal camera's op te hangen in een standaard
werksituatie, tot in de wc's aan toe. 't Is immers allemaal van de baas
en in zijn tijd, dus niet zeuren! Ieder normaal denkend mens zal je voor
gek verklaren. Als je bijna hetzelfde maar dan in ICT voorstelt is het
ineens een goed idee?? :S
--
jb
Mark Huizer
2012-07-18 20:24:36 UTC
Permalink
Post by Jeroen Beerstra
Stel dat je voorstelt om overal camera's op te hangen in een standaard
werksituatie, tot in de wc's aan toe. 't Is immers allemaal van de baas
en in zijn tijd, dus niet zeuren! Ieder normaal denkend mens zal je voor
gek verklaren. Als je bijna hetzelfde maar dan in ICT voorstelt is het
ineens een goed idee?? :S
Aan de andere kant... als je https en zo gaat intercepten om te filteren
op virussen en andere troep, en dat gaat volautomatisch, dan is het al
een heel ander verhaal. En op dezelfde manier kan je volautomatisch
allerlei chat- en andere social-sites blokkeren. Tsja... als je dat
gewoon in een beleid zet en dat aan je medewerkers meedeelt, is het vrij
acceptabel lijkt me.

Mark
Martijn van Buul
2012-07-19 08:02:02 UTC
Permalink
Post by Mark Huizer
Aan de andere kant... als je https en zo gaat intercepten om te filteren
op virussen en andere troep, en dat gaat volautomatisch, dan is het al
een heel ander verhaal. En op dezelfde manier kan je volautomatisch
allerlei chat- en andere social-sites blokkeren. Tsja... als je dat
gewoon in een beleid zet en dat aan je medewerkers meedeelt ...
... moet je niet achteraf net gaan doen alsof jij er ook niks aan kunt
doen, want het is immers het beleid. En als achteraf blijkt dat je
beleid ten gevolge heeft dat het niet meer mogelijk is om gebruik te
maken van je duur betaalde licenties, danwel dat het onmogelijk blijkt om
bij belangrijke werk-gerelateerde documentatie te komen moet je ook die
verantwoordelijkheid nemen, en tot de conclusie komen dat je beleid wel
eens zijn doel voorbij kan zijn geschoten.
--
Martijn van Buul - ***@dohd.org
Mark Huizer
2012-07-19 21:30:25 UTC
Permalink
Post by Martijn van Buul
Post by Mark Huizer
Aan de andere kant... als je https en zo gaat intercepten om te filteren
op virussen en andere troep, en dat gaat volautomatisch, dan is het al
een heel ander verhaal. En op dezelfde manier kan je volautomatisch
allerlei chat- en andere social-sites blokkeren. Tsja... als je dat
gewoon in een beleid zet en dat aan je medewerkers meedeelt ...
... moet je niet achteraf net gaan doen alsof jij er ook niks aan kunt
doen, want het is immers het beleid. En als achteraf blijkt dat je
beleid ten gevolge heeft dat het niet meer mogelijk is om gebruik te
maken van je duur betaalde licenties, danwel dat het onmogelijk blijkt om
bij belangrijke werk-gerelateerde documentatie te komen moet je ook die
verantwoordelijkheid nemen, en tot de conclusie komen dat je beleid wel
eens zijn doel voorbij kan zijn geschoten.
Jouw ruzie met je systeembeheerder lijkt me een ander probleem.

Mark
Cecil Westerhof
2012-07-21 08:01:53 UTC
Permalink
Post by Mark Huizer
Post by Cecil Westerhof
Ik ben het er in grote lijnen wel mee eens. Mensen die vinden dat het
onder hun privacy valt wat ze de hele dag op hun werk uitvoeren daar heb
ik niet echt medelijden mee. Op je werk ben je bezig met je werk, niet
met je prive activiteiten.
Tja, als een bedrijf het 'normaal' vind dat zijn werknemers in privé
tijd voor het bedrijf bezig zijn, dan zouden ze het omgekeerde ook
niet erg moeten vinden.
Het lijkt me meer een kwestie dat je krijgt wat je geeft. Beoordeel je
mensen op hun output ipv op de tijd dat ze er zijn en ze niets
"verkeerds" doen, heb je meer kans dat mensen zich ook echt betrokken
voelen en gemotiveerd zijn.
Dat is ook een valide opmerking. Er zijn natuurlijk uitzonderingen op,
zoals verderop in de thread is aangegeven. Een collega van mij beweerd
zelfs dat er onderzoek is geweest waarbij wanneer mensen 50% van de
tijd voor zichzelf bezig waren, een hogere productiviteit hadden, dan
mensen die absoluut niet andere zaken konden doen. Dit neem ik met een
korreltje zout, maar Google laat natuurlijk niet voor niets zijn
werknemers een dag per week aan eigen zaken besteden.
--
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof
Martijn van Buul
2012-07-21 09:29:00 UTC
Permalink
maar Google laat natuurlijk niet voor niets zijn werknemers een dag per week
aan eigen zaken besteden.
Het "vrijdagmiddagproject" gebeurt op wel meer plaatsen dan bij Google, bij
ons is het ook een bekend verschijnsel. Het zijn overigens nooit "eigen
zaken", maar meer "aan werk gerelateerde projecten die ik zelf belangrijk
vind, maar waarvan de baas nog niet het nut heeft ingezien". Het is dan ook
zeer zeker geen vrije tijd - ook niet bij google. "Niet-geroosterde tijd"
is een betere benadering.

Als ik op vrijdagmiddag besluit om eens te gaan experimenteren met techiek
X omdat ik verwacht dat het voor mijn bedrijf interessant kan zijn ook
al heb ik er (nog!) geen directe toepassing voor is dat nogal wat anders dan
wanneer ik op vrijdagmiddag besluit om eens lekker nethack te gaan spelen.
Sterker nog, als ik op vrijdagmiddag iets in elkaar fabriek is het eigendom
van de baas, doe ik hetzelfde op zaterdagmiddag is het (waarschijnlijk) van
mij.
--
Martijn van Buul - ***@dohd.org
Martijn van Buul
2012-07-17 07:49:47 UTC
Permalink
Post by Rob
De primaire motivatie van dit meekijken met https is (naar ik aanneem)
meestal niet de nieuwsgierigheid naar privegegevens, maar de angst dat
er in een encrypted tunnel wellicht gegevens getransporteerd worden die
schadelijk kunnen zijn voor het bedrijf.
Van de andere kant: Je zorgt er op deze manier wel voor dat je het
eventuele kwaadwillenden wel HEEL gemakkelijk maakt; ze hoeven alleen maar
even de firewall te ondermijnen, en kunnen veel vertrouwelijke informatie
inzien: Het komt gratis en voor niets langs, en het valt niemand op dat
er een extra verdacht certificaat rondslingert.
--
Martijn van Buul - ***@dohd.org
Martijn Lievaart
2012-07-16 20:21:05 UTC
Permalink
Post by Rob
Overigens kan dit soort dingen niet alleen in een bedrijfsnetwerk.
Zoals bekend is de "Staat der Nederlanden" een in de browsers
gemarkeerde vertrouwde uitgever van certificaten, dus de staat kan zo
een dergelijke man in de the middle opzetten zonder dat je dat snel
merkt.
Klopt, daarom is het belangrijk dat SSL snel wordt uitgebreid met issuer-
CNs (IIRC) in DNSSec, dan kan dit niet meer.
Post by Rob
(bijvoorbeeld om te kijken wat een verdachte uitspookt)
Met hoe Nederland met afluisteren omgaat, FVVO "verdachte".

M4
Loading...