Quali potrebbero essere le conseguenze legali e politiche dello sniffing del traffico?

Inizierò con le solite dichiarazioni che non sono un avvocato e questo non è un consiglio legale:)

Ciò detto per quanto ne sappia l'uso di uno sniffer di rete, di per sé, non è illegale nel Regno Unito (un gran numero di professionisti IT sarebbe in guai se lo fosse!).

Se esiste una legislazione pertinente penserei che sarebbe la Computer Misuse Act , la Regolamentazione della legge sui poteri di indagine e / o Legge sulla protezione dei dati .

Se hai intercettato e visualizzato traffico appartenente ad altre persone, questo potrebbe essere un problema, ma se lo hai installato sul tuo PC e la rete di destinazione sta eseguendo un ambiente standard commutato, allora non l'avrei pensato probabilmente avresti avuto accesso al traffico di altri utenti, quindi tutto ciò che hai fatto è visualizzare le tue informazioni.

La società potrebbe essere considerata in violazione della legge sulla protezione dei dati, se sta inviando dati personali identificabili su una rete non protetta (ad esempio, Internet) senza una protezione adeguata (ad esempio, SSL)

Tuttavia, a meno che tu non fossi autorizzato, potresti essere in violazione della politica IT della società, che potresti aver ricevuto e chiedere di firmare quando ti sei iscritto (presumo che tu sia un dipendente della società ) se hai utilizzato software non autorizzato all'interno della loro rete

come @Iszi ha detto che se sei preoccupato che possano effettivamente farti pagare, ti consiglio vivamente di parlare con un avvocato.

Ciò che segue è la mia opinione personale e, come hanno detto tutti, dovresti ricevere una consulenza legale da un avvocato specializzato in comunicazioni / diritto informatico.

Senza essere un avvocato, non penso che tu abbia violato nessuna delle disposizioni della legge britannica sull'uso di computer. Forse stai violando le leggi relative all'intercettazione delle comunicazioni, ma poiché questo non è stato criptato è difficile dirlo. Ricorderò a tutti il recente caso di Google, dove hanno fatto qualcosa di simile - eseguire sniffer su reti WiFi non crittografate - non credo che qualcuno sia riuscito a perseguirli con successo (anche se non ho seguito questa storia): link

Detto questo, ciò che è più importante non sono i crimini informatici, ma la violazione della politica aziendale , che hai firmato quando sei stato assunto. Questo è quello che guarderanno prima, non penso che aumenterà a qualcosa di più. Leggi prima le norme della tua azienda.

Non sono un avvocato e questo non è un consiglio legale

Q What shall I do?

A Se sei seriamente preoccupato per le ripercussioni, prendi un avvocato. Le leggi variano molto per giurisdizione, anche all'interno dello stesso paese. Dubito che qualcuno qui sarà in grado di valutare esaustivamente quali conseguenze legali potrebbero avere le tue azioni, senza sapere molto di più su di te, sul tuo lavoro e sulle tue azioni, di quanto probabilmente sei disposto a divulgare su un forum pubblico.

What are the consequences of using a sniffer within a private organisation in UK.

Di nuovo, questo è dove realmente hai bisogno di un avvocato e / o di un rappresentante sindacale se ne hai uno. Come già affermato, le leggi variano notevolmente dalla giurisdizione e dalle politiche aziendali ancora di più. Sebbene tu possa non essere legalmente colpevole per qualsiasi parte delle tue azioni, il tuo datore di lavoro potrebbe ancora trovarti in violazione delle loro politiche di utilizzo del computer e potrebbe disciplinarti di conseguenza.

Una cosa, penso che chiunque possa consigliare, è che tu (e / o il tuo avvocato) indaghino su quali leggi e regolamenti la società potrebbe violare per non proteggere adeguatamente i dati che sei stato in grado di annusare. Quindi, contatta qualsiasi organizzazione incaricata di applicare la conformità a tali leggi o regolamenti e condividi i risultati. Nel fare questo però, dovresti anche renderti profondamente consapevole delle eventuali leggi di protezione "informatore" che potrebbero o meno essere applicabili alla tua situazione.

Ora che abbiamo ulteriori informazioni sarei tentato di dire di parlare con il capo della sicurezza. Da quello che dici hai solo annusato il tuo stesso traffico, e non vedo come potrebbero essere in grado di dimostrare il contrario. L'unica cosa che potrebbero provare è l'uso di software non approvato su hardware aziendale o simili, se è coperto dalla loro politica. In breve, non hanno nulla contro di te (a meno che non prendano il portatile e ci siano ancora discariche con altre persone che lo trafficano, se non lo facessero, ottieni il suggerimento ...), ma come detto in altri casi, smetti di incriminarti specialmente come quello che hai fatto è stato appena sbagliato.

Per essere onesti, da quello che dici (ed è solo un lato della storia) sembra un po 'come se il dipartimento IT abbia fatto un lavoro pessimo e cerchi di deviare la colpa sul denunciante (te), spaventandoti il processo. Questo può o non può volare con il capo della sicurezza, molto probabilmente no. Se fossi stato io non saresti stato disciplinato e nemmeno avvertito. Parlato, sì, ciò che si direbbe dipenderebbe un po 'da qualsiasi politica sia in atto.

tl; dr: se non riescono a dimostrare di aver ascoltato il traffico di altre persone, non vedo come potrebbe andare troppo male per te. Poi di nuovo, IANAL.

IANAL - ma, dal tipo di legals che ho dovuto fare quando ho fatto questo per le consulenze globali:

• installazione dello sniffer sulla macchina - possibile violazione dei criteri aziendali
• sniffing passivo sulla rete aziendale - possibile violazione della politica aziendale

entrambi questi probabilmente non sono un problema legale secondo la legge inglese o scozzese

• raccolta di dati di utenti privati - si tratta di un'area molto più grigia in quanto potresti essere in violazione del Data Protection Act e del Computer Misuse Act.

La giurisprudenza indica che probabilmente stai legalmente legalmente, ma probabilmente violando la politica aziendale (che potrebbe portare a un'azione disciplinare), ma seriamente, procurati un avvocato per ogni evenienza - poiché una discussione su "nessun intento" non sembra tagliarlo in ogni caso

Questo è un errore classico. Non posso dirti quante persone sono state licenziate per questo tipo di cose. O peggio; andato in prigione. Giudici e amp; le giurie non sono brave a capire i punti più sottili come "solo fiutando" contro "avvelenamento da arp".

Per rispondere alla tua domanda: "Cosa devo fare?". Devi assumere un avvocato. Qualsiasi comunicazione su questo argomento con "organizzazione privata" deve passare attraverso il consiglio. Smetti di incriminarti.

La prossima volta che trovi una vulnerabilità, tienila per te o scopri come divulgarla in modo anonimo.