È accettabile che un sito HR interno funzioni su HTTP? [chiuso]

La principale motivazione di HTTPS è impedire a un utente malintenzionato di leggere e manipolare la tua comunicazione con un sito web. Pertanto, la decisione di distribuirlo sui siti interni dipende dal rischio di manomissione del traffico all'interno della rete aziendale.

Se il sito HR interno serve solo contenuto statico già accessibile a chiunque nell'intranet dell'azienda, allora si potrebbe sostenere che HTTPS non aggiunge alcuna sicurezza perché l'intercettazione del traffico verso quella pagina all'interno della rete interna sarebbe inutile.

Tuttavia, se il sito utilizza un sistema di accesso e non si ritiene che i dipendenti non interferiscano con la rete interna o che gli ospiti possano accedervi, è necessario accedere sempre al sito tramite una connessione sicura.

it's a site we log into (using a password we're forced to keep to max 8 lower-case characters only), where we can view wage slips, personal address / contact details etc.

Questo è preoccupante. Non solo il limite di lunghezza della password artificiale molto basso e la restrizione solo in minuscolo è discutibile. Se il sito utilizza un semplice HTTP, un collaboratore falso (o malware sul proprio computer) potrebbe intercettare la connessione alla pagina, annusare la password e registrare le interazioni con quel sito. Poiché stai dicendo che è una grande azienda, non tutti quelli che accedono potrebbero essere completamente fidati e quindi dovrebbero prendere in considerazione l'implementazione di HTTPS.

No, non è sicuro. Hai detto che non è una piccola azienda, il che significa che probabilmente ci sono persone che non tutti si fidano completamente (il che è piuttosto impossibile per 10 dipendenti) e probabilmente significa anche che ci sono alcune posizioni occupate da persone diverse che entrano nell'azienda e le lasciano abbastanza frequentemente. Probabilmente anche solo poche settimane per esperienza lavorativa, un lavoro estivo o qualcosa di simile.

Non ci si può fidare di queste persone per non manipolare i sistemi IT ai quali hanno accesso. Quando si inviano dati non crittografati su Ethernet, tutti gli utenti possono leggerlo.

Non usi nemmeno l'autenticazione challenge-response ma una password. Questo significa che nessun attacco elaborato coinvolge la manipolazione del traffico in diretta o l'intercettazione di pacchetti e l'invio dopo averli manipolati o sperando che gli stessi pacchetti possano essere nuovamente inviati dopo averli manipolati quando sono stati inviati al server in precedenza (quindi la persona che usa il sito non lo fa) t notare perché ottengono la risposta dal server). Invece, si può semplicemente registrare il traffico, analizzarlo in seguito, ottenere la password e accedere al sito delle risorse umane fino a quando la password non viene cambiata e devono registrare nuovamente il traffico.

Se la manipolazione dall'interno della intranet è possibile, prima o poi qualcuno lo farà. Le persone addirittura inventano annunci ufficiali quando possono:

The employee in this case had altered the Company’s intranet welcoming page with the following message: “500 jobs to be gone at Waterford plant before end of first quarter 2008”.

( link )

Ci sono molti report (come link ) su Internet dove le persone ammettono di aver infranto le deboli misure di sicurezza. Questo non deve nemmeno essere malizioso. Può derivare dalla noia, dalla curiosità (nel caso della vostra azienda: il signor Smith davvero fa così tanto che è in grado di permettersi quelle 3 belle macchine?), Anche per aumentare la produttività, distruggendo le barriere di sicurezza.

Ci sono molti consigli simili a questo:

Every employer needs to have a detailed policy regarding use of company computers and resources accessed with computers, such as e-mail, Internet, and the company intranet, if one exists.

( link )

Ovviamente, vale la pena pochissimo se la conformità non viene applicata. E la tua connessione è il più aperta possibile all'interno dell'azienda, poiché non viene utilizzata alcuna crittografia di trasporto e persino le password vengono trasmesse in formato testo. Il modo migliore per applicare una politica è ignorarlo è impossibile. Certo, non è sempre possibile, ea volte ci sono modi migliori, ma sembra che questo sia il modo più semplice, migliore e più affidabile in questo caso.

Questo avviso è molto vicino a ciò che sta affrontando la tua azienda:

In addition to ensuring that they don't run afoul of HIPAA regs, companies need to focus on another critical intranet security issue: internal breaches. Internet security expert Norbert Kubilus, a member of Tatum CIO Partners, said that in most cases, intranet "hackers" are unhappy employees looking to inconvenience the company or gain some personal advantage.

"Most of what I've heard about and observed is internal abuse," Kubilus said. "You can get a disgruntled employee who gets into the intranet and raises havoc by changing vacation schedules or time cards. If you don't have the right protections in place, or the right education and process in place, you leave yourself vulnerable to a disgruntled employee."

( link )

Se si considera che i dati a rischio sono piuttosto importanti, è chiaro che si tratta di un rischio inaccettabile. A seconda di dove si trova la tua azienda, potrebbe anche essere illegale gestire il sito in quel modo, ad es. perché contiene dati personali non sufficientemente protetti.

Dire alla direzione che questo è illegale (se lo è) probabilmente ha maggiori probabilità che la sicurezza sia migliorata piuttosto che dire che il sistema non è sicuro.

Non conosco la legge del Regno Unito, ma penso che sicuramente non si possa avere un tale sistema sotto il diritto dell'UE e quindi non sotto la legge del Regno Unito.

Dopo una ricerca rapida, ho trovato questo regolamento UE . Una citazione dell'articolo 32 che potrebbe darti la speranza che sia illegale:

Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

[...]

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

Non puoi garantire la riservatezza e l'integrità se tutti gli utenti dell'azienda possono accedere al sito HR dopo aver visto un video YouTube di 10 minuti su come collegare i cavi Ethernet in modo che il laptop sia tra il server e un computer HR e un 5 minuti YouTube video su come utilizzare Wireshark per ottenere una password che è stata inviata attraverso la rete. Ovviamente, praticamente chiunque abbia mai giocato con Wireshark potrebbe farlo senza perdere 15 minuti guardando prima i video di YouTube. ; -)

Ci sono diversi problemi con HTTP contro HTTPS e l'essere su una rete interna dovrebbe attenuarne alcuni.

• nessuna identificazione strong del server: non importante su una rete interna, è improbabile che possa esistere un server falso nella rete interna. Normalmente un attacco MITM richiederebbe privilegi amministrativi e, in un'organizzazione aziendale, è già necessario affidarsi agli amministratori perché gestiscono tutte le apparecchiature di rete e le macchine client.
• riservatezza delle risposte alle richieste fatte dai dipendenti autorizzati: dipende dal fatto che tutti gli accessi autorizzati provengano tutti dallo stesso ufficio (solo amministratori o colleghi con autorizzazioni di accesso equo dovrebbero essere in grado di spiare (*)) o se un manager può fare richieste. In quest'ultimo caso, il rischio di intercettazione di dati riservati è importante ma l'attaccante (interno) non può sapere in anticipo quali informazioni otterrà.
• protezione delle credenziali: se anche la procedura di autenticazione utilizza HTTP semplice, il problema è molto più serio. In tal caso, un utente malintenzionato potrebbe ottenere le credenziali ed essere in grado di emettere richieste (comprese le modifiche) per conto di un utente legittimo: l'integrità non è più garantita senza parlare di riservatezza

Naturalmente, se si tratta di un server di sola lettura e se la riservatezza non è davvero un problema, è possibile utilizzare HTTP. Ma non appena parliamo di risorse umane, la riservatezza dovrebbe immediatamente elevarsi a un livello medio-alto.

(*) nelle reti aziendali comuni, l'utilizzo di switch e proxy consente solo lo scambio di spie sulla stessa sottorete, ad eccezione degli amministratori di rete che possono vedere tutto il traffico non crittografato del proprio dominio.

La mancanza di HTTPS consente a un utente malintenzionato sulla stessa rete di ascoltare le connessioni a questo server e modificare richieste e risposte. Questo può essere usato per annusare le password utilizzate dalle persone delle risorse umane, per esempio.

Che cosa esattamente "la stessa rete" dipende dalla configurazione della tua rete e quanto lavoro l'aggressore è disposto a inserire. È molto probabile che tu possa eseguire un attacco dal tuo computer aziendale. A volte un attacco man-in-the-middle è possibile dal parcheggio utilizzando il WiFi dell'azienda.

Dato che stiamo parlando di risorse umane e le risorse umane solitamente amministra i benefici, è probabile che non siano conformi a HIPAA.

In other words, SSL and TLS usage must comply with the details set out in NIST 800-52. This implies that other encryption processes, especially those weaker than recommended by this publication, are not valid.

link

Chiaramente non è una grande idea, ma ci sono molti ifs e buts a seconda della configurazione di rete complessiva.

Vale la pena sottolineare che un amministratore malintenzionato potrebbe installare un certificato attendibile su tutte le macchine e intercettare comunque tutto il traffico. Non c'è quasi nulla che puoi fare per fermare un amministratore malintenzionato.

Da un punto di vista legale, l'azienda deve adottare misure ragionevoli per proteggere i dati. Se un tirocinante estivo può intercettare i dati in transito collegando il proprio laptop, questi non rispondono alla loro responsabilità legale. Se un pentester esperto richiede un accesso fisico non supervisionato, probabilmente lo sono.

No, questo non è assolutamente accettabile e dipende dalla tua giurisdizione potrebbe essere illegale fino al punto di responsabilità penale.

La maggior parte dei paesi ha leggi in vigore che affermano fondamentalmente che i dati personali sensibili - e i record di occupazione rientrano quasi sempre in quella categoria - devono essere protetti da "mezzi tecnici adeguati".

Sebbene il significato preciso di tale termine sia intenzionalmente aperto all'interpretazione, i tribunali in genere lo interpretano come una tecnologia che è prontamente disponibile e comune e serve allo scopo di proteggere i dati. In altre parole: non devi inventare qualche nuova cosa per la sicurezza, ma se c'è qualche misura di sicurezza facile da usare che altre persone usano e tu no, non stai proteggendo adeguatamente i dati.

HTTPS è molto, molto comune e tipicamente utilizzato proprio per tali scopi. Non usarlo è molto probabilmente negligenza grossolana. Leggi più specifiche nella tua giurisdizione potrebbero spingersi più in alto.