[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] Blockera fjärrstyrning av elevdator i hemmanätet

Hej Linus, tack för ditt svar och dina synpunkter.
Jag håller inte med dig om att filtrering i routern på domännamn eller ip-adress via IP-tables in någon väsentlig grad skulle öka risken för oönskad exponering av datainnehåll som är integritetskänsligt. OS-kärnan har ju redan paketet i sitt minne för att kunna skicka iväg det till hårdvarugränssnittet. IP-tables är en del av kärnan så om det sker en regelevaluering baserat på destination kommer det snarast att leda till att packet kastas tidigare än att det hanteras av IP-stacken tills ACK från mottagaren erhållits. Om du tänker i banorna Deep packet inspection så går det utanför vad jag kan om Linux, i vilket fall tror jag inte att det är tillgängligt i OpenWrt. Utveckla gärna ditt argument här om du tycker att jag missförstått något.

En annan punkt du tog upp är att jag borde kräva in en specifikation av installerade programvaror. Du verkar ha missat att kommunens IT-avdelning inte är i min förtroendezon. Om de fanns där skulle jag inte ha några problem med deras dator i mitt nät. Dokumentation från dem är alltså något jag bör välja att inte lita på. Och jag har förmodligen ändå inte kompetens att utvärdera vad som är problematiska programvaror även om specifikationen är fullständig. Dessutom har ju administratörer möjlighet att ändra i datorn efterhand utan att det finns något garanti för att deklarationen uppdateras. För mig är den här vägen bortkastad tid.

Den 3 december 2015 13:40 skrev Linus Nordberg <linus@xxxxxxxxxxx>:
Non Return Zero <non.return.zero@xxxxxxxxx> wrote
Thu, 3 Dec 2015 12:53:33 +0100:

|                                  Att en skola eller IT-avdelning kan ges
| tekniska möjligheter för att t.ex. använda Web-kameran för att spionera på
| elever har också förmodligen redan hänt (se tex
| http://www.csmonitor.com/USA/Justice/2010/0817/Did-school-use-laptops-to-spy-on-students-Feds-won-t-press-charges).

Mycket intressant fall. Mer om det: https://en.wikipedia.org/wiki/Robbins_v._Lower_Merion_School_District


| Men om jag nu inte "oroar" mig utan bara har som policy att inte låta
| okända maskiner verka okontrollerat på mitt nätverk. Är det någon som har
| tips på lämpliga brandväggsregler som kan förhindra t.ex. fjärrstyrning av
| en elevdator (Windows OS)? (Elevdatorn ansluter till en egen router med
| IP-tables/OpenWRT).
|
| Borde policyn mer innefatta mer punkter än fjärrstyrning? Vad i så fall?

Jag tror att det här är fel väg att gå. Eleven kommer att vara
övervakad i sitt eget hem, av sina egna familjemedlemmar. Utrustning
som försöker (!) blockera utgående trafik behöver per definition titta
i trafik som är känslig ur ett integritetsperspektiv. Risken för att
hårdvaran och mjukvaran som skall sköta detta gör något som exponerar
känligt data är för stor. Fri programvara (OpenWRT) gör det mindre
problematiskt men inte tillräckligt.

Motargumentet är naturligtvis att det är bättre för ett barn att vara
övervakad av sina egna föräldrar än av ett okänt antal människor som
kontrollerar dess dator. En teknisk lösning som beskriven ovan framstår
då som sänd från himlen.

Byt nu barn mot medborgare och förälder mot myndighet.

Medges att liknelsen haltar eftersom barn behöver mer skydd och hjälp än
vuxna medborgare och också eftersom förälder/barn har en annan relation
än myndighet/medborgare.


Föräldrar borde kräva en exakt deklaration av skoldatorns innehåll, från
leverantören. Deklarationen verifieras av skola och i möjligaste mån
föräldrar. Fristående organisationer kan vara behjälpliga
här. Verifikation skall ske kontinuerligt. Upptäcks något fel i
deklarationen så innebär det ett kontraktsbrott och leverantören lider
skada.


Allt det sagt förstår jag att föräldrar vill skydda sina barn. Om inte
annat innan vettig kontroll finns på plats och fungerar. Det är en svår
avvägning. Nu har jag lagt lite i den andra vågskålen i alla fall.