Foto - Ed Robertson - Unsplash.com
Você não pode simplesmente pegar e monitorar funcionários remotamente
A crise corona fez do teletrabalho a tendência incondicional deste ano, mas esse formato de organização de empregos apareceu antes mesmo da revolução industrial. Ele passou do trabalho doméstico de artesãos e oficinas em casa para uma gradual " fuga dos escritórios " no final dos anos 90 e o "remoto" agora disponível não apenas para especialistas em TI e funcionários. Suas vantagens, como economia de tempo e horários flexíveis, são óbvias, mas existem dificuldades em trabalhar fora do escritório.
No pico da quarentena, os métodos off-line usuais para avaliar a eficácia dos funcionários caíram sob um "bloqueio" e as tentativas de rastreamento on-line do pessoal que tinha acabado de sair para um local remoto geraram críticas ferozes. As razões para isso foram: alguém exigiu que os controladores remotos colocassem keyloggers em computadores pessoais e laptops, outros inseriram rastreadores de tempo neles, e ainda outros foram ainda mais longe e construíram o processo de avaliação em torno de comunicação por vídeo e webcams.
Era preciso se adaptar rapidamente e muitos serviços o fizeram: o Zoom desligou a capacidade de controlar a atenção do interlocutor e o Basecamp decidiurecusar qualquer funcionalidade de vigilância, exceto pelo fato de que ajuda a monitorar voluntariamente o fluxo de trabalho (calendário e cronômetro para tarefas). Mas a essência da questão foi resolvida apenas por aquelas empresas que desviaram sua atenção da escolha das ferramentas para as próprias pessoas e seus problemas em uma situação de crise.
O fato é que durante a "primeira onda" aumentaram os riscos de esgotamento de especialistas que lidam com tarefas complexas e criativas. As tentativas de vincular ferramentas primitivas de rastreamento a trabalhos que desafiam a contabilidade rotineira causaram uma verdadeira crise de confiança. A questão de como resolver "pacificamente" ainda está em aberto para muitas empresas e está sendo discutida no Habré.
Triagem de dispositivos móveis - como são as coisas no mundo
Neste verão, um tribunal de Seattle proibiu serviços especiais e policiais de análises irracionais da tela de bloqueio do smartphone. Agora, isso requer um despacho especial, enfatizando o caráter excepcional da situação e a necessidade de tais medidas. Essa regulamentação afeta apenas o trabalho dos departamentos dos Estados Unidos. Por isso decidimos fazer uma visão geral de como está evoluindo a situação com a inspeção de gadgets em outros países.
Na prática britânica, um mandado não é necessário para essas tarefas. Além disso, a legislação local permite o despejo mesmo de dispositivos bloqueados usando sistemas especiais - eles já foram adquiridosPolícia escocesa. Na Austrália, ainda existe a obrigação de obter um mandado, mas um tipo especial de licença é necessário para inspecionar os dispositivos dos jornalistas. Por outro lado, os serviços especiais australianos podem sempre solicitar oportunidades para descriptografar dados de desenvolvedores e fabricantes de dispositivos - eles têm o direito de fazê-lo pelas leis do país.
Essas práticas são cada vez mais discutidas na comunidade de TI. O Basecamp até publicou diretrizes temáticas para manter o nível adequado de segurança da informação em viagens de negócios. Também fizemos uma publicação geral com estatísticas de inspeção e alguns comentários de representantes de empresas de tecnologia.
Você não pode simplesmente pegar e "reflash" seu gadget
Se você comprou um gadget, isso não significa que todo o seu recheio esteja à sua disposição. E isso não tem nada a ver com a Right to Repair e as tentativas dos fornecedores de vincular os clientes a oficinas autorizadas. Desta vez, é uma questão de direito modificar componentes de software e hardware para expandir as capacidades ou reaproveitar completamente os dispositivos que você adquiriu.
Então, nesta primavera, um entusiasta compartilhoumodificação do conhecido modelo da calculadora. Durante a reengenharia, ele substituiu a bateria solar por um display OLED e adicionou um módulo Wi-Fi ao dispositivo, e publicou os resultados no GitHub. Após uma resposta tempestuosa da comunidade geek e o lançamento de materiais nas maiores publicações temáticas, seu repositório foi fechado a pedido de uma organização engajada na luta contra a falsificação de eletrônicos.
E este não é o primeiro caso. Nove anos atrás, a Activision estava em litígio sobre a modificação de um dispositivo para ler tags RFID em bonecos de jogos da empresa. Sem qualquer motivo, o fornecedor expressou preocupação de que as alterações feitas permitiriam a abertura de conteúdo no jogo e o recebimento de produtos virtuais gratuitos relacionados a brinquedos.
Só podemos imaginar como a regulamentação de tais questões se desenvolverá, mas no Habré e no Hacker News, eles expressaram repetidamente críticas e propostas para fixar sanções na legislação por falsas acusações de entusiastas e engenheiros independentes que não buscam qualquer comercialização em massa dos gadgets que eles converteram.
Coleções de livros sobre cibersegurança ( primeiro , segundo )
Vimos o que eles recomendam no Habré, Hacker News e Reddit. Esta é uma espécie de "livro de memórias" de um alto administrador da Microsoft; a visão de um conhecido especialista em segurança da informação sobre a luta pelo ciberespaço; revisão especializada de métodos de engenharia social; a história de um pentester sobre o mundo dos "hackers brancos"; material analítico sobre segurança da informação para IoT; e uma referência para testes de penetração.
O segundo conjunto contém um pouco menos de prática e um pouco mais de drama. A primeira edição fala sobre um dos grupos de culto da cibersegurança underground do final do século passado, a segunda é uma investigação do editor da Wired sobre os distribuidores de NotPetya, a terceira é um livro sobre a caça a Paul Le Roux.
Outros livros do resumo enfocam tópicos como hardware aberto, regulamentação de engenharia reversa, segurança e vazamento de dados pessoais. Além disso, não esquecemos de compartilhar a publicação sobre a história do lendário Kevin Mitnick e sua experiência de trabalho.
Como "encobrir seus rastros" e se retirar dos serviços mais populares
Estamos discutindo o tema da ciber-higiene pessoal, o “direito ao esquecimento” e os serviços de exclusão rápida de contas em redes sociais e plataformas de mídia populares. Um desses projetos é chamado JustDeleteMe . Ele tem até uma extensão para o Chrome, que vai te ajudar a entender se vale a pena registrar onde será bem difícil deletar dados pessoais.
O que mais temos em nosso blog:
Ataques potenciais a HTTPS e como se proteger contra eles
Quais ferramentas ajudarão a cumprir o GDPR
Por que os desenvolvedores são mais caros do que dinheiro, como economizá-lo e aumentá-lo
“Encontrado, visto, recebido”: convites incomuns para uma entrevista
Um computador que se recusa a morrer