eXplorer web corner

Sul telelavoro e l'infosec

Collegandomi al precedente pezzo dove facevo alcune considerazioni sui computer ed il consumo di risorse per produrli, osservando che sviluppare desktop ben fatti e lavorare su desktop ben fatti consuma meno risorse che non continuare a produrre pattume dalla corta vita operativa per il popolino che non sa e compra dalla GDO qui proseguo, questa volta ispirato da un articolo (sia pur sponsorizzato) di BleepingComputer per osservare scuotendo la testa come di nuovo gli autori, per carità tirando l'acqua al loro mulino, descrivono comunque una realtà vera, per ignoranza dei più, ma non tecnicamente vera perché il lavoro da remoto oggi è visto da tantissimi come lavoro ibrido casa-ufficio, cosa che è un ASSURDO TOTALE senza alcuna ragione d'essere se non per la grande finanza che vivendo sopra la città moderna ha bisogno di tenere la gente li e non potendo fermare il telelavoro lo rende comunque geograficamente vincolato imponendo qualche giorno in ufficio. Altro assurdo: l'articolo chiaramente implica che i lavoratori usino l'wifi di casa, spesso mal configurato (ma non è questo il punto) e che ciò sia un problema di sicurezza (lo è), ma l'assurdo è che i più lavorino su laptop, magari 12-14", da casa loro anziché aver postazioni fisse connesse via cavo. Ancora il pezzo implica problemi di sicurezza per quel lavoro da remoto su desktop (ferro + OS) del lavoratore usati come meri thin client per accedere ad un desktop remoto hostato dall'azienda.

Questa in particolare è la cosa più comune e FOLLE che viene massivamente usata da IT ignoranti, primi di sysadmin in casa, che non han la bencheminima idea di come gestire macchine nomadiche/remote, ovvero di come deployare un host in casa d'altri e mantenerlo.

La faccio breve:

  • per lavorare alla scrivania serve una postazione FISSA, con monitor, tastiera, eventuale microfono/altoparlante per il vivavoce ecc ecc ecc NON su un laptop quando il proprio lavoro non consiste nell'andar in giro con un computer;
  • per conseguenza del punto di cui sopra è assurdo il lavoro ibrido anche tecnicamente, poiché implica o l'uso improprio di un laptop con docking station o il lavoro iper-scomodo su un laptop al posto d'una postazione fissa, o aver doppia postazione a casa ed al lavoro;
  • per lavorare serve una stanza ufficio, come serve in un ufficio (non già gli open-space pattume usati da tante aziende per risparmiare), con clima, comfort acustico e PORTA CHIUSA chiudibile a chiave;
  • l'azienda fornisce l'apparato attivo principale, ovvero il dipendente è libero di usare un monitor suo se gli aggrada, sua tastiera (con qualche patema d'animo per tante tastiere con fw proprietari a bordo), ma il computer lo spedisce l'azienda pronto FDE1 o per alcuni dipendenti con competenze IT può negoziare il fornire solo lo storage con l'IT aziendale che si occupa di supportare il resto del ferro nell'OS gestito2.

Certo questo non può garantire non esistano keylogger interposti, duplicatori HDMI/DisplayPort/VGA con registrazione e via dicendo, ma è un rischio non diverso da aver gli stessi in azienda, messi da qualcuno che ha avuto modo di accedere agli uffici, tipicamente come nel caso del lavoratore stesso un dipendente infedele, che a casa potrebbe essenzialmente colpire solo se stesso (se si esclude azioni da spie dove qualcuno penetra non visto in casa del lavoratore e questi non si accorge di nulla) mentre in ufficio potrebbe colpire altri dipendenti, è un livello di sicurezza oggi NON GARANTIBILE se non creando ferro personale e il livello di rischio va ben oltre la sicurezza tipica di un'azienda anche importante, sono livello intelligence di rango solo per alcuni usi speciali. Lo stesso riguarda vettori d'attacco powerline/ELINT/COMINT/SIGINT locale e via dicendo.

Il punto è che SE propriamente preso sul serio il telelavoro è sicuro quanto se non di più del lavoro in ufficio, certo l'azienda deve avere un IT interno che sappia far il suo mestiere, cosa peraltro necessaria anche in ufficio. Cosa tipicamente assente nel mondo reale.

Lo scopo di questo pezzo è dire urlare che è ben tempo di dir chiaro che telelavoro significa lato lavoratore offrire una stanza chiusa, climatizzata, arredata, "insonorizzata" quanto basta per lavorare come in ufficio e per l'azienda allo stesso modo non pagare i buoni pasto ma compensare il lavoratore per la stanza e gli arredi messi a disposizione, il resto lo fa internet e la logistica fisica (corrieri che portano materiale da/verso imballato). Perché si, non c'è alcuna ragione di aver uffici per far lavoro d'ufficio se non quella di svegliare la massa della popolazione che crede di vivere ancora negli anni '50.

1

Full-Disk Encryption, ovvero il disco è cifrato eccetto il bootloader (oggi come oggi l'EFI System Partition) e viene decifrato al boot fornendo la chiave/passkey/smart-card necessaria a leggerlo, tipicamente parliamo di LUKS o zfs crypto su GNU/Linux, BitLocker su Windows, FileVault su OSX, Geli o zfs su FreeBSD e via dicendo, quindi chiunque rubi il ferro può usarlo piallandolo ma non legger i dati per farla corta.

2

questo sarebbe proprio una cosa limitata a sviluppatori/personale IT stesso che vuole ferro migliore di quello che offre l'azienda e lo offre come parte del pacchetto "stanza ufficio" a disposizione dell'azienda, qualcosa che si negozia solo in casi particolari per dipendenti particolari.