home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / org / eff / talk / 8288 < prev    next >
Encoding:
Internet Message Format  |  1993-01-04  |  5.6 KB
  1. Xref: sparky comp.org.eff.talk:8288 alt.comp.acad-freedom.talk:3847 comp.security.misc:2427 alt.privacy:2834 alt.society.civil-liberty:7243
  2. Newsgroups: comp.org.eff.talk,alt.comp.acad-freedom.talk,comp.security.misc,alt.privacy,alt.society.civil-liberty
  3. Path: sparky!uunet!mcsun!news.funet.fi!ajk.tele.fi!funic!nntp.hut.fi!usenet
  4. From: jkp@cs.HUT.FI (Jyrki Kuoppala)
  5. Subject: Boycotting CERT because of the keystroke monitoring advisory?
  6. Message-ID: <1993Jan4.212439.4278@nntp.hut.fi>
  7. Sender: usenet@nntp.hut.fi (Usenet pseudouser id)
  8. Nntp-Posting-Host: lusmu.cs.hut.fi
  9. Reply-To: jkp@cs.HUT.FI (Jyrki Kuoppala)
  10. Organization: Helsinki University of Technology, Finland
  11. Date: Mon, 4 Jan 1993 21:24:39 GMT
  12. Lines: 92
  13.  
  14. Here's a repost of a message before the holidays:
  15.  
  16. Newsgroups: comp.org.eff.talk,alt.comp.acad-freedom.talk,comp.security.misc,alt.privacy,alt.society.civil-liberty
  17. From: jkp@cs.HUT.FI (Jyrki Kuoppala)
  18. Subject: Re: CERT and the Dept. of Justice on keystroke monitoring
  19. Message-ID: <1992Dec18.100254.4122@nntp.hut.fi>
  20. Date: Fri, 18 Dec 1992 10:02:54 GMT
  21.  
  22. In article <1992Dec16.192639.12991@eecs.nwu.edu>, mack23@avalon (Chris Walsh) writes:
  23. >In article <1992Dec14.180915.13795@cc.ic.ac.uk> cmaae47@imperial.ac.uk writes:
  24. >>
  25. >>Though property rights come into it, they are not the only issue.
  26. >
  27. >I'll say!  Various posters have asserted that "If you work for WidgetCo,
  28. >and WidgetCo owns your workstation, plus the associated networking infra-
  29. >structure, then its is OBVIOUS that WidgetCo can monitor your keystrokes."
  30. >
  31. >True.  But folks, not every workstation belongs to a commercial firm!  If
  32. >the CERT advisory were directed solely at such organizations, I'd have no
  33. >beef with it.  The fact, however, is that it had a far broader audience.
  34.  
  35. Yes, it is for a broad audience.
  36.  
  37. Earlier I said that property rights are not an issue wrt the CERT
  38. advisory, and that it was not related to companies.  This was based on
  39. my mistaken reading of the advisory - as it was based on the U.S. Dept
  40. of justice advice (order?) to all federal agencies, I though that the
  41. "all systems" on the advisory referred to "all federal systems".
  42. However, it appears I was mistaken - when I asked CERT about this the
  43. answer was that CERT expanded the scope of the advisory and thus it
  44. seems that CERT really means _all_ systems, no matter whether private,
  45. public, government-owned, etc.
  46.  
  47. A part of my argumentation was based on this misunderstanding of the
  48. advisory (for example the claim where I said that property rights are
  49. not involved).  I apologize for the resulting failure of
  50. communication.  However, my argumentation still applies for systems of
  51. federal agencies and many education sites.
  52.  
  53. For privately owned commercial and hobby sites property rights do
  54. apply, and whether the property rights override privacy rights depends
  55. is mostly a matter of opinion.  Where I live, I have the impression
  56. that privacy right overrides property rights at least in the case of
  57. the company monitoring private phone calls from company to elsewhere
  58. even if the company pays the bill.  It is a bit unclear whether it is
  59. legal for the company to get the ID information, ie. what number was
  60. called, how long was spoken and when etc. but in practice I think
  61. companies do get such information and the courts probably wouldn't
  62. judge against this.  Also, as a personal opinion I tend to think
  63. that's not a big privacy problem, as long as the workers know what the
  64. situation is and the last few numbers are blanked out as the habit
  65. apparently is - but that it is an unreasonable invasion of privacy to
  66. monitor the contents of the calls.  For work-related calls I think
  67. it's negotiatable, also at certain environments monitoring all calls
  68. might be defensible (places with highly confidential information).
  69.  
  70. I hope this clears some of the issues wrt property rights.  I sure
  71. don't think there's any _absolute_ right to privacy on company
  72. equipment, and dependig on the situation there may be nothing wrong
  73. with even a policy of "all users are watched all the time" especially
  74. if policy also "company business only" as long as it is negotiated
  75. with and accepted by the workers.  But what CERT is doing is
  76. recommending unilateral announcement of "all users may be monitored
  77. all the time", with no negotation and no negotiated policy of
  78. watching/monitring only on "probable cause".
  79.  
  80. Thus, I think the CERT advisory is thus even more offensive and
  81. disrespectful of privacy than I originally thought, since they
  82. recommend the taking away of a reasonable expectation of privacy and
  83. thus all means to fight intrusions of privacy from users on _all_
  84. systems, not just those in U.S. federal agenices.
  85.  
  86. I have communicated about this with CERT, and they don't seem to think
  87. my interpretation of the advisory is incorrect.  Thus it seems that
  88. CERT really supports measures like this, and I repeat and clarify my
  89. proposal that if it continues to do so, people who value privacy
  90. rights should not cooperate with CERT and we as net.citizens should
  91. see if something can be done to get some of the CERT's functions
  92. implemented in a way that respects freedom and people's rights, and
  93. also see if a message can be posted to comp.security.announce
  94. announcing the recommendation not to cooperate with CERT, the reason
  95. for it, and possible alternatives what to do instead of communicating
  96. with CERT wrt security holes, vulnerabilities etc.
  97.  
  98. I don't know who does CERT's policy decisions and how one might
  99. influence them via other means (possibly organizations like the EFF
  100. and CPSR could work on this) but I do think the most simple thing to
  101. do about an organization doing something you seriously disapprove of
  102. is to stop all support and cooperation with it and suggest others do
  103. the same.
  104.  
  105. //Jyrki
  106.