[uylug-varios] "HTTPS Inspection" ¿es ético?

[Carlos M. Martinez]

Esto se hace en Irán y en China rutinariamente. Así que en mis ojos cualquier empresa que haga eso no es mejor que esos dos ejemplos. Es decir, están definitivamente abusando de sus empleados. 

Como dice Luis Pablo, si el propio producto recomienda que se avise antes de hacerlo es porque tienen sobrados temores de que, al menos donde hay leyes de privacidad y protección de datos personases, esto termine en un lindo juicio. 

S2

Carlos

Sent from my iPad

On May 1, 2012, at 7:12 AM, Luis Pablo Pérez <kylroy at gmail.com> wrote:

> 2012/5/1 Gabriel Menini <gabriel.menini at gmail.com>:
>> Hola, uylug-varios.
>> 
>> Obviamente que este no es sobre "uylug", ni sobre "lug", ni sobre "línucs"
>> (escribo así "línucs", entre comillas, para no caer en la tentación de tener
>> que poner sufijos y/o prefijos que puedan dar lugar a encendidas discusiones
>> que determinen, luego, la pérdida de foco del hilo que pretendo iniciar).
>> <respiro>. :-P
>> 
>> Definitivamente es sobre "varios" y, también, es sobre "uy" ;-)
>> 
>> 
>> 
>> En la empresa donde trabajo, el acceso a internet se realiza a través de un
>> producto de Microsoft que reune una oblea de servicios en un solo producto
>> (creo): firewall, proxy, filtro de contenidos, y quién sabe cuánto más.
>> 
>> Parece que se está trabajando en la migración a la nueva evolución del
>> producto, cuyo rimbombante nombre comercial es "Forefront Threat Management
>> Gateway (TMG) 2010" <respiro>.
>> 
>> Parece que una de las características a habilitar sería HTTPS Inspection [1]
>> y (más cortito) aquí [2]
>> 
>> En este enlace leo:
>> 
>> A Word of Caution
>> 
>> Before implementing HTTPS inspection, it is strongly suggested that you
>> communicate your intentions to your legal and HR departments and obtain
>> their consent. Inspecting end user’s private encrypted communication can be
>> a sensitive subject, for obvious reasons. Before a production roll-out of
>> HTTPS inspection, make certain that your corporate security and acceptable
>> uses policies have been updated to indicate that encrypted communication
>> will be inspected. User notification and exemption of sites deemed sensitive
>> (e.g. banking and medical sites) may also be necessary.
>> 
>> Traducción del párrafo vía BabelFish: [3].
>> 
>> Ahora, la pregunta: ¿no es acaso un problema ético andar inspeccionando una
>> transacción HTTPS? Es como si pusieran un keylogger para saber mi contraseña
>> corporativa, o como si en los baños pusieran camaritas para ver si orino de
>> pie, sentado, saltando o haciendo el paro de manos...
>> 
>> No sé... el límite es bastante difuso... El "HTTPS Inspection" tira por la
>> borda la finalidad del HTTPS. Es un ataque de man-in-the-middle, ¿cómo voy a
>> andar accediendo al e-BROU con un certificado emitido y autofirmado por un
>> producto gestionado por otras personas que no soy yo??
>> 
>> Lamentablemente, no puedo confiar una sesión cifrada a un WinSysAdmin.
>> Espero que RRHH y Jurídica puedan darse cuenta de esto....
>> 
>> ¿Estoy siendo muy paranoico? Creo que otros fabricantes de firewall también
>> lo implementan...
> 
> Por donde comenzar?? esto tiene tantas puntas... flame wars!!!! :)
> 
> Primero lo primero: no se puede hacer un man-in-the-middle de una
> conexión HTTPS solo mirando el tráfico. Si se puede es porque hay un
> bug buscando una solución.
> Claro, por 'no se puede' aquí se entiende que es TAN difícil que es
> materialmente imposible.
> 
> Los que estos buenos señores están haciendo es romper la cadena de
> confianza.... o obligarte a confiar en ellos. Como el trafico pasa por
> ellos lo que hacen es crear un certificado a partir del certificado
> original. Una vez que alguien esta como autoridad certificadora y ese
> alguien esta en el medio... es GAME OVER.
> 
> Esta es la parte fácil... sobre si es ético, legal ... pff,
> probablemente hay bibliotecas enteras al respecto. Pueden darse todas
> la combinaciones, ético y legal no están relacionados.
> 
> es legal ? depende de donde te encuentres, lo mejor es preguntar a un
> abogado. Sospecho que en lugares como Europa hacer algo así debe ser
> ilegal... bha, apuesto que si agregas 'terrorismo' en la justificacion
> pueden permitirte hacerlo :)
> 
> Luego, si es ético... pff x 10 ... yo que se... depende de como lo
> implementen ... puedo imaginar argumentos a favor y en contra.
> Ej: es ético acceder a tu cuenta de e-Brou desde tu trabajo usando
> infraestructura (energía, ancho de banda, tu tiempo que esta siendo
> pago por tu empleador) ?
>     Ojo, no digo que no lo sea solo que la pregunta puede estar en la
> cabeza de alguna gente.
> 
> Personalmente creo que esta solución muy peligrosa... EXTREMADAMENTE
> peligrosa: ese servicio esta creando certificados para acceder a todo
> sitio seguro de internet transformándolo en literalmente inseguro. Una
> empresa que actúe eticamente debería comunicar detalladamente en forma
> PERIÓDICA (1 vez por mes?) a todos los empleados de esto. En esa
> comunicación se debe explicar las razones y recomendaciones para
> evitar que información privada (ie: personal) corra el riesgo de
> terminar en manos no deseadas (desde otro empleado a alguien que toma
> el control del firewall).
> 
>> 
>> 
>> 
>> [1]
>> <http://www.isaserver.org/tutorials/Configuring-HTTPS-Inspection-Forefront-Threat-Management-Gateway-TMG-2010.html>
>> [2]
>> <http://www.microsoftnow.com/2010/06/demystifying-outbound-https-inspection-in-forefront-tmg.html>
>> [3] <http://tiny.cc/babelfish>
>> 
>> Abrazo,
>> --
>> Arle
>> _______________________________________________
>> Uylug-varios mailing list
>> Uylug-varios at listas.uylug.org.uy
>> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy