[Ninux-Wireless] NodogSplash e Traffic Control

[Elena ``of Valhalla'']

On 2016-09-14 at 19:16:43 +0200, Michele Salerno wrote:
> > Un altro caso è bloccare il traffico verso la propria rete privata.
> > Oppure il traffico che proviene dalla propria rete privata.
> >
> Non condivido il pensiero, la mia LAN di Ninux è la LAN che uso in
> casa, non ho altre LAN separate.
> Se sul mio pc di casa metto in shared una cartella, tu sull'altro nodo
> la vedi, se mi fai una scansione con nmap vedi tutti i miei device.
> A me sta bene così in quanto come me altri nunuxer non credo abbiano
> spasmi di cracker.

questo mi pare un po' pericoloso: anche io credo che gli altri membri
della comunità ninux non abbiano intenti malevoli, ma le antenne della
rete ninux sono comunque aperte a chiunque senza nessuna autenticazione
(vedi picopeering agreement) e quindi ci si potrebbe collegare chiunque,
anche non membro della comunità e con intenti malevoli.

Del resto chiunque potrebbe, anche per errore, installare qualcosa che
disturba, mi viene in mente come esempio assolutamente casuale¹ un
secondo DHCP, magari che fornisce dati sbagliati. Già quello mi pare un
buon motivo per tenere separate le due reti.

¹ tipo mi è successo stamattina sulla rete di casa :) 

> > Filtrare il traffico è BRUTTO, per il semplice motovo che vi prendete la
> > responsabilità dei pacchetti che passano sul voltro nodo.
> >
> Sto concetto non mi è chiaro:
> Se metto una Ubiquiti Bullet M2 con una antenna omnidirezionale da 150
> cm sul mio tetto senza password, io sono SEMPRE responsabile di ogni
> pacchetto che transita dal mio router verso Internet. [...]

questo vale qualunque sia la fonte di quel traffico, sia che arrivi da
un hotspot sul tuo tetto che dalla rete ninux, ed è un rischio che ci si
prende nel momento in cui si decide di condividere la propria
connessione ad internet casalinga.

Poi è probabile che il tribunale dichiari innocenti del reato commesso
(ma a seconda di come si son svegliati negli ultimi mesi i legislatori
potrebbe essere tornato illecito fornire accesso ad internet senza
identificare gli utenti), ma in ogni caso nel frattempo la polizia è
arrivata e l'indagine è partita dal titolare del contratto.

Per questo i filtri non servono a molto: ci sono tantissimi reati che è
possibile commettere senza essere bloccati dalle solite blacklist.

Che io sappia, l'unico vero modo per non correre questo rischio è che a
condividere la connessione non sia un privato, ma un'entità legale che
goda delle opportune protezioni di legge ad esempio perché considerabile
ISP.

> > Oltretutto filtrare è oneroso in termini di risorse.
> > Esistono delle librerie (opencv). che trovano facce in un immagine, o targe
> > di auto, oppure GATTINI, [...]
> > Per filtrare i pacchetti in maniera efficente il vostro nodo deve girare su
> > di un vero computer con prestazioni adeguate.
> E' un discorso un po' eccessivo!

beh, filtrare con una manciatina di blacklist non occupa molte risorse,
ma è anche estremamente inefficace e lascia passare numerosi contenuti
che si vorrebbero fermare.

filtrare con sistemi più sofisticati come quelli citati qui sopra occupa
molte più risorse, è più efficace nel senso che blocca molte più cose,
ma di solito causa anche molti più falsi positivi, censurando anche
contenuti particolarmente sensibili ed importanti (vedi l'approccio
facebook).

> > Filtrare è oneroso in termini legali. [...]
> Qualsiasi cosa che transita sulla linea ADSL l'unico responsabile
> SEMPRE è chi ha sottoscritto l'abbonamento ADSL.

in teoria la responsabilità dei reati è personale (poi come tutto ciò
che è correlato coi diritti umani ultimamente si tende un po' a trovare
eccezioni).

Chi ha sottoscritto l'abbonamento ADSL è di sicuro il primo punto da cui
partono eventuali indagini, e probabilmente è legalmente tenuto a fare
il possibile per aiutarle ed aiutare ad identificare il responsabile.

Fino a dove questa responsabilità arrivi non è chiarissimo, e non è
assurdo pensare che a chi fornisce un accesso pesantemente filtrato e
censurato possa essere chiesto di fare di più in tale senso.

> [...]
> Le AP non hanno un DHCP attivo sulla BackBone e chi si collega tra
> virgolette lo conosco in quanto un altro ninuxer.

beh, ma l'assenza di un DHCP non è un vero ostacolo per collegarsi ad
una rete: un'occhiata in giro (magari anche al traffico) e le
impostazioni si trovano.

soprattutto se si hanno già intenzioni illegali, e quindi pochi
scrupoli.

> [...]
> Mr. XX (Bean lo conosco) seduto sulla panchina vede un sid aperto
> "hotpost ninux", si collega....si apre il browser con una splashpage
> che spiega in breve cosa è Ninux, dice che la navigazione è limitata
> solo ed esclusivamente per la Posta e Web tradizionale (wikipedia,
> facebook, google, etc...). Quando clicca su ACCETTA viene indirizzato
> sul sito http://basilicata.ninux.org/

e con questo ha a disposizione le risorse per commettere tutta una serie
di reati, dall'inviare mail truffaldine (a singole persone, non
necessariamente l'invio iniziale di massa) ad harrasment / stalking ecc.

in compenso, visto che hai intenzione di effettuare anche censura di
attività che sarebbero legali (porno), a seconda delle blacklist usate
potrebbero non avere accesso a numerosi contenuti correlati alla salute.

Non sei fornitore di accesso, e quindi hai tutto il diritto di censurare
quello che vuoi, ma secondo me non è un metodo efficace per i tuoi
obiettivi e per contro ti pone in una posizione moralmente opinabile.

> Dopo 30 min di inattività vieni disconnesso, dopo 2 ore di attività
> idem...non devi "lavorare" con la mia ADSL...per modo di dire!

Dopodiché uno cambia mac address e si ricollega, giusto?

> [...]
> Lo scopo è solo quello della promozione di Ninux dando un semplice,
> banale accesso ad internet ma prevenire e tutelare chi mette il
> servizio a disposizione di sconosciuti, negando al 100% l'accesso alla
> rete Ninux perchè deve essere tutelata anche quella da sconosciuti.

ma la rete ninux per sua natura è già aperta verso sconosciuti

-- 
Elena ``of Valhalla''