Giovedi’ 9 ottobre a Pisa — I/Off

ottobre 7th, 2014 by carpa

A pisa dal 9 al 12 ottobre si svolgera’ lo I/off festival, delle diverse cose in programma volevamo segnalarne una che si terra’ in apertura, giovedi’ 9 ottobre alle 19. Guida Galattica per criptoattivisti, tenuto da Claudio ‘Nex’ Guarinieri.

La descrizione completa:

Questo e’ il picco della lotta per la protezione della privacy. E’ la prima opportunita’ di prova di forza per le prime generazioni native digitali. I giornali dicono che siamo gia’ in un mondo post-Snowden, ma cosa e’ cambiato? Per cosa stiamo combattendo? E come possiamo vincere? E in Italia questa opportunita’, ce la stiamo facendo scappare?

E’ un dibattito interessante, fatto con una persona interessante. Io penso che a tutta questa analisi manchi un pezzetto che la ricongiunga ad altri scenari di lotte. Non credo che le generazioni native digitali siano cosi’ diverse dalle precedenti e che i problemi che dovranno affrontare non si origineranno tanto dalla penetrazione della tecnologia nelle loro vite, ma piuttosto dal cambiamento dei flussi di denaro e di assi di potere in corso negli ultmi 40 anni.
Read the rest of this entry »

Lasciate che i giovani vengano a noi

settembre 29th, 2014 by carpa

L’orco che uccise Aaron Swartz non era un orco, perche’ gli orchi come ci ha insegnato shrek sono buoni. Era piuttosto un sistema fatto di persone in carne ed ossa, che ha voluto vendicarsi, dell’infante prodigio traditore.

Qualche settimana fa ho letto un pessimo articolo su Repubblica, riguardo l’allevamento a terra di giovani “genietti” sviluppatori di app. E’ interessante come la nostra societa’ dia vita a comportamenti e valutazioni sul mondo completamente schizofrenici in situazioni del tutto simili: tutti si scandalizzano se in Congo ci sono i bambini soldato, in India quelli che cuciono i palloni e le scarpe, in Thailandia i genitori che affittano i bambini per il turismo sessuale, ma se invece fanno i genietti del web, e aprono aziende con i propri genitori come prestanome, allora va bene, perche’ magari guadagnano milioni di dollari. In Congo servono i soldati, in India i cucitori di palloni, in Thailandia orifizi e corpicini, in America gli sviluppatori geniali di minchiate per smartphone, e i bambini prodigio per il cinema, certo. Negli Stati Uniti pagano meglio di tutti, pero’ allora si dica chiaro che e’ solo una questione di soldi.
Read the rest of this entry »

Important notice to our users/Avviso importante

settembre 20th, 2014 by cavallette

We have had a major issue with one of our servers, please read our announcement

Abbiamo avuto un problema grave ad uno dei nostri server – per favore leggete il nostro avviso

A/I antisocial

settembre 16th, 2014 by carpa

Quest’estate ci hanno chiesto di rispondere a delle domande sui new media e social media per una tesi. Mettendo per iscritto i pensieri in maniera semi serria abbiamo rilevato due particolarita’ del nostro collettivo:

1) non sappiamo cosa siano i new media. Ci abbiamo pensato tanto, ma non l’abbiamo capito
2) abbiamo delle tendenze antisociali, che ci provocano eritemi di fronte ai social media, infatti sappiamo cosa sono, ma fatichiamo ugualmente a comprenderli.

Qui di seguito domande e risposte. Consigliamo la lettura ascoltando “Antisocial” eseguita dagli Anthrax, o se preferite le cose piu’ vetuste, dai Trust

1-Do you identify with a particular movement?

No, vogliamo moderatamente bene a tutti e cerchiamo di aiutare tutti coloro che si muovono nell’ambito dell’autorganizzazione con paletti molto generici, ma categorici: l’antifascismo, l’antissesismo, l’antirazzismo e l’anticapitalismo. Siamo un server di “movimento” in questo senso un po’ ecumenico del termine.

2-What are the principles driving your view about digital technology and new media?

Tutta roba vecchia, niente di nuovo. Autogestione, solidarieta’, mutuo appoggio niente che non si possa gia’ leggere in vecchi libri tipo La conquista del pane di Kropotkin. In sintesi: a steve jobs gli pisciamo sulla tomba, zuckemberg lo prenderemmo a ginocchiate nelle costole e agli occhiali di google, preferiamo gli occhiali da sole per il dopo sbornia.

3-Do you use new and social media? What specific platform do you use?

Quasi nessuna in realta’. Abbiamo messo su’ una piattaforma di blog nostra, noblogs.org, perche’ il sistema di pubblicazione usato nei blog ci sembrava l’unica cosa mediamente interessante partorita dal web 2.0. E’ orientata alla riservatezza, senza profilazione per gli utenti, perche’ ci sembra l’unico sistema in grado di garantire liberta’ d’espressione. Per il resto non sapremmo. Pubblichiamo su twitter le comunicazioni del collettivo qualche volta.

4-For which purposes do you use social and new media?

In generale cerchiamo di non usarli, per una sorta di ecologia mentale

5-What do you like and not like about new and social media?

Non ci piace quasi nulla dei social media. A partire dall’aggettivo social che li connota, perche’ e’ ingannevole, da l’idea che siano stati pensati per mettere in comunicazione le persone, e non per mercificarne le relazioni. Invece attualmente ci sembra valga la seconda e la prima sia solo lo specchietto per le allodole.

6-What do you think are the limitations of the web and in the specific of new and social media?

Il web ha due problemi: i governi e le multinazionali, se eliminiamo quelli poi il web e’ a posto.

7-What kind of audience do you think you can reach through new and social media?

Non siamo molto bravi a porci la questione dell’audience, facciamo quello che ci sembra giusto fare cercando di renderci utili, ispirandoci al principio di mutuo appoggio: mettiamo in campo quello che sappiamo fare, a disposizione della comunita’, se qualcuno ne fa buon uso, siamo contenti.

8-What are the motivations for using new and social media?

Ad occhio e croce, guardandoci un po’ attorno e chiedendo agli amici, diremmo la solita, quella che trascina l’umanita’ dagli albori, anche dopo che e’ scesa dagli alberi: l’accoppiamento.

9-In which ways are social and new media challenging the dominant media system in the specific Italian context?

Non li vediamo cosi’ in competizione, si spalleggiano a vicenda, fingendo di litigarsi, come due fidanzatini.

10-Do you consider new and social media as a potential tool for mobilization?

I social media non creano mobilitazione, sono utili come lo sarebbe qualsiasi altro strumento di comunicazione quando le mobilitazioni esistono gia’ nella realta’. Il conflitto e’ nella realta, oppure e’ solo la rappresentazione del medesimo.

Intervista a Claudio ‘Nex’ Guarnieri, parte 2

settembre 10th, 2014 by cavallette

C – E in Italia invece? Il nostro paese in fatto di sorveglianza ha una “grande tradizione” fin dal secondo dopo guerra ed il rapporto Vodafone di giugno sembra in parte confermare questa tendenza.

N – Dalle nostre analisi emerge in prima battuta una ramificata presenza dell’infrastruttura di comando e controllo di RCS. I server che la compongono sono dislocati anche in altri paesi, ma le nostre rilevazioni hanno mostrato come quelli italiani si contraddistinguano per un’attivita’ piu’ elevata. Questo non significa di per se’ che i dati intercettati provengano esclusivamente da operazioni condotte in Italia, ma semplicemente che i server sul nostro territorio sono costantemente interessati dall’attivita’ di collezionamento dati. Da parte nostra pero’, pur non avendone la certezza, presumiamo che la maggior parte di queste macchine sia utilizzata in operazioni all’interno del nostro paese.

C – Su quali basi fai quest’affermazione?

N – Quello che ti posso dire e’ che durante il corso della ricerca con Citizen Lab abbiamo identificato diversi casi molto probabilmente relativi a operazioni di sorveglianza portate avanti nel nostro paese. Non abbiamo pero’ mai pubblicato i dettagli di cui siamo in possesso perche’ non siamo riusciti a circostanziarne l’uso. E la ricostruzione del contesto in cui tali attacchi si dispiegano e’ fondamentale: senza un’adeguata comprensione di questo retroterra i nostri report non avrebbero alcun valore. A mio avviso pero’ non ci sono dubbi: malware e spyware sono sicuramente utilizzati in Italia e a confermarlo ci sono diversi sintomi…

C – Quali?

N – Durante il lavoro di ricerca su HackingTeam, l’Italia era al primo posto con il maggior numero di endpoint servers in totale, ossia di nodi utilizzati per raccogliere i dati dai vari computer e telefoni controllati. Questo mostra che ci sono agenzie in Italia che utilizzano attivamente RCS.

Ci sono stati anche casi documentati in passato, come l’affare Bisignani, anche se raramente l’utilizzo di spyware viene ammesso in modo trasparente dalle autorita’. A questo proposito, e’ interessante notare che, come abbiamo indicato nel report pubblicato a febbraio, alcuni dei server di HT sono registrati presso CSH & MPS SRL, azienda a cui in passato era stata addebitata la responsabilita’ del malware utilizzato contro Bisignani. Coincidenza? ;)

C – E invece quali ricadute credi possa aver avuto la pubblicazione dei vostri report sui diretti interessati, ovvero su Hacking Team e Gamma International?

N – Dal punto di vista economico non saprei: non ci e’ dato di conoscere le modalita’ con cui operano queste aziende.

Dal punto di vista comunicativo invece Hacking Team e Gamma hanno reagito seguendo strategie diverse. Quest’ultima ha mostrato di essere poco preparata a gestire la situazione. In un primo momento ha tentato di contenere il piu’ possibile il problema, rilasciando interviste e facendo attivita’ di public relations. I risultati sono stati disastrosi: si sono contraddetti e hanno cambiato la loro versione dei fatti piu’ volte. Inizialmente hanno affermato di non aver mai stabilito alcun tipo di rapporto, ne’ stipulato alcun contratto, con il governo egiziano. Un anno dopo invece hanno sostenuto di non aver fornito al regime di Mubarak gli strumenti di sorveglianza utilizzati durante le rivolte del 2011. Successivamente abbiamo dimostrato che stavano mentendo.

Un altro dato certo che abbiamo in mano e’ che la sezione di Gamma International responsabile dello sviluppo dello spyware e’ stata scissa ed ha preso il nuovo nome di Finfisher GmbH: questo potrebbe essere un sintomo delle pressioni legali e politiche che hanno ricevuto. Inoltre alcuni paesi che intrattenevano rapporti commerciali con Gamma li hanno interrotti. Il regime etiope per esempio sembra aver smesso di fare affari con loro e ha siglato nuovi contratti con Hacking Team. Immagino che ora siano alla ricerca di un altro offerente :-)

Ogni volta che pubblichiamo un report cerchiamo sempre di fornire alle societa’ che producono antivirus tutti gli indicatori necessari per rilevare il malware. Fino ad ora abbiamo sempre instaurato con loro un buon livello di cooperazione. Cosi’ facendo riusciamo a creare qualche grattacapo ai produttori di spyware perche’ li costringiamo a reingenierizzare il loro software affiche’ questo non sia visibile ai motori antivirus. In secondo luogo devono ricreare da zero tutta la loro infrastruttura di comando e controllo. Il risultato e’ un incremento dei costi di produzione del malware. L’effetto collaterale e’ quindi rendere il malware il piu’ dispendioso possibile e limitare di conseguenza l’accesso al mercato (sia dal punto di vista dell’acquirente che da quello del produttore).

Abbiamo avuto piu’ difficolta’ a leggere la reazione di Hacking Team. Sono stati piu’ silenziosi e non hanno fatto grosse apparizioni mediatiche. Gamma interveniva in continuazione sui giornali e cosi’ facendo contribuiva a conferire rilevanza alla notizia dei nostri report. Hacking Team l’ha capito e per questo motivo ha scelto di tenere un profilo molto piu’ basso. Quando abbiamo cominciato a pubblicare su di loro in modo piu’ ricorrente e aggressivo hanno provato a rispondere con toni ponderati, premeditati e formali. Le loro argomentazioni sono state sostanzialmente due: primo, che il loro operato si svolge in ottemperanza alle leggi italiane ed internazionali; secondo, che non vendono i loro prodotti a paesi accusati di essere poco rispettosi dei diritti umani. Resta il fatto pero’ che fino ad oggi hanno rifiutato di intavolare qualsiasi tipo di dibattito.

Una prima eccezione e’ avvenuta l’anno scorso quando ho partecipato ad un panel ad RSA dove con Jacob Appelbaum e Kurt Opsahl dell’EFF ci siamo confrontati con i loro rappresentanti. Indirettamente ci hanno accusato di facilitare la vita di terroristi e criminali per aver svelato l’esistenza e il funzionamento dei loro software. Piu’ recentemente ci hanno accusato di portare avanti una campagna dedita esclusivamente a danneggiare il loro business.

Pura retorica. Innanzi tutto perche’ le nostre ricerche sono di carattere tecnico-scientifico e documentano casi di abuso. In secondo luogo perche’, se anche fosse vero quanto sostengono, come spiegano allora l’enorme quantita’ di attivisti e giornalisti messi sotto sorveglianza mediante i software che sviluppano e commercializzano? Ovviamente nel momento in cui abbiamo posto la questione non abbiamo ricevuto alcuna risposta, se non quella per cui le prove presentate erano circostanziali e non dimostravano in alcun modo la paternita’ dei malware esaminati.

Al netto di tutte queste considerazioni pero’ credo vada aggiunta un’ulteriore nota. Nonostante il nostro lavoro la compravendita di malware e’ destinata ad una crescita costante. Dopo l’esplosione del Datagate sono certo che il bacino di clientela di questo mercato sia in impennata. Maggiore e’ il numero di provider che implementa la crittografia di default, piu’ difficile sara’ intercettare su cavo: mettere un plug all’ISP diventa inutile. La conseguenza e’ che l’uso di spyware a fini di controllo diventera’ sempre piu’ diffuso e popolare. Le rivelazioni di Snowden possono forse aver rallentato la sorveglianza massiva ma di certo non hanno fermato le agenzie di intelligence che sempre piu’ ricorreranno a tecniche offensive dirette per intercettare i loro target.

C – C’e’ un aspetto su cui insistete molto nei vostri report e che mi piacerebbe approfondire, ovvero quello dell’assenza di regolamentazione del mercato del malware. Piu’ volte avete sostenuto che la mancanza di norme relative all’esportazione comporta una serie di nuovi rischi per la stabilita’ dei network, sia a livello nazionale che a livello corporate. La diffusione di questi software – dai costi peraltro relativamente ridotti e spesso utilizzati anche contro gli stessi paesi che ne sono produttori – ha infatti come ripercussione un aumento degli attacchi informatici registrati sulle reti globali.

N – Esatto.

C – Ok. Questa dinamica pero’ mi pare foriera di altre conseguenze. Se il livello di instabilita’ dei network cresce, allora e’ plausibile che governi e istituzioni militari comincino la corsa agli armamenti digitali. E infatti gli investimenti in tecnologie offensive sono aumentati vistosamente negli ultimi dieci anni. La loro proliferazione incontrollata porta necessariamente con se’ un altro risvolto, ovvero un ulteriore accrescimento dell’instabilita’ dei network. Questo a sua volta stimolera’ ulteriori investimenti nel settore e cosi’ via. E’ un cane che si morde la coda.

N – Si, l’analisi e’ corretta. Il loop che hai descritto si verifica a causa del concatenarsi di differenti fattori. Quello piu’ rilevante a mio avviso e’ la volonta’ della agenzie di intelligence di mantenere l’attuale status quo, sia a livello economico che legislativo: sono convinto che non permetteranno mai che tali software smettano di essere prodotti, ne’ che certe normative – magari orientate a limitarne l’uso – entrino in vigore.

C – E se anche fosse, quest’ultima opzione rischia di non avere praticamente alcun valore, a meno che non venga adottata su scala globale. In fondo stiamo parlando di aziende che di fronte ad una legislazione nazionale volta a limitarne l’attivita’ potrebbero benissimo spostare la loro sede legale in un altro paese e aggirare in questo modo il problema.

N – Esatto. Inoltre non dobbiamo dimenticare che la deregolamentazione del malware produce una certa instabilita’ globale proprio perche’ e’ una tecnologia che nasce con lo specifico intento di mantenere insicuri reti e sistemi. Se Internet venisse resa sicura diventerebbe molto piu’ complesso estrarre profitto da questo genere di mercato. Ecco perche’ i player del settore (come Gamma, Hacking Team o Vupen) fanno carte false per impedire che certe vulnerabilita’ vengano alla luce o che gli exploit di cui sono in possesso siano resi noti al pubblico. Infine non dimentichiamo che ci sono precisi interessi economici che influenzano i processi di sviluppo del software e le feature di sicurezza dei sistemi operativi (come Windows) passano spesso in secondo piano.

Mi pare evidente: c’e’ un palese interesse a mantenere Internet insicura e vulnerabile. Se ci pensi per un istante ti rendi conto che ci guadagnano un po’ tutti. In primis le agenzie di intelligence che hanno molta piu’ facilita’ a rastrellare informazioni da una rete che e’ un colabrodo. E a dirlo non sono io: le rivelazioni sull’NSA hanno messo in chiaro come le tech companies siano spesso complici nell’accomodare le necessita’ delle rispettive agenzie governative. Poi ci sono le imprese che trafficano in spyware e che hanno interessi economici concreti, ovvero la vendita di vulnerabilita’ e di report d’intelligence in esclusiva a esecutivi e istituzioni militari (si tratta di una pratica piuttosto comune); last but not the least il mercato della security commerciale, che aumenta la sua clientela grazie allo stato penoso in cui versano le infrastrutture comunicative globali. Si tratta di una condizione ambientale necessaria per la crescita del mercato. Anzi, potremmo dire che l’industria della sicurezza diventa piu’ un’industria dell’insicurezza dato che prospera in larga parte sulla destabilizzazione delle reti di telecomunicazione e non sulla ricerca o sullo sviluppo di soluzioni che possano eliminare alla radice una serie di problematiche note.

Di contro, se anche solo una frazione dei miliardi che vengono buttati nell’acquisto di gadget inutili fossero investiti in processi di sviluppo e auditing di software sicuro – do you remeber Heartbleed? – e, piu’ in generale, in alternative open source, l’attuale mercato della security collasserebbe nel giro di una notte. Certo, anche la costruzione di infrastrutture open source presenta problematiche inevitabili, anche perche’ in questo momento si basa largamente su lavoro volontario. Ma la tendenza ad adottare tecnologie proprietarie per me rimane un mistero. Come puoi pensare di realizzare un’infrastruttura sicura se non hai neppure il controllo del codice che utilizzi per implementarla?

Intervista a Claudio ‘Nex’ Guarnieri, parte 1

settembre 8th, 2014 by cavallette

E’ apparsa sul Manifesto di qualche settimana fa un’intervista a Nex, un ricercatore del progetto citizenlab.org. Qui di seguito c’e’ la versione completa della chiaccherata rivista dall’autore dell’articolo (ctrlplus.noblogs.org, twitter.com/ctrlplus_) per cavalette. La pubblichiamo in 2 puntate perche’ e’ piuttosto lunga.

Secondo noi e’ interessante per due motivi:

1) Delinea una visione critica del mondo della sicurezza informatica visto dall’interno.

2) Citizenlab fa un gran lavoro sui malware come strumento di controllo, spesso rivolto nei confronti di attivisti politici.
In Italia si sta tentando di inserirli nella legislazione come “Captatori Informatici” (un termine che rimanda agli “Elaboratori Computazionali” e ai tecnici in camice bianco…), perche’ malware, backdoor, trojan suonavano evidentemente male.

Read the rest of this entry »

avviso di manutenzione – upcoming maintenance

agosto 30th, 2014 by cavallette

Durante il weekend effettueremo una manutenzione sui servizi di posta di A/I. I server di posta verranno fermati a rotazione per alcune ore, durante le quali gli utenti ospitati sul server in questione non saranno in grado di leggere la posta. I messaggi di posta in entrata non subiranno disservizi e la posta sara’ nuovamente disponibile una volta finita la manutenzione.


A/I mail services will undergo maintenance during the weekend. All mail servers will be stopped in turn over some hours, while a server is being stopped it won’t be possible to check email. Inbound messages however won’t be impacted by the maintenance and email will be fully available once maintenance is over.

 

UPDATE
La manutenzione e’ terminata e tutte le caselle di posta sono nuovamente accessibili. A causa di un errore nello script per la manutenzione purtroppo alcuni filtri della webmail sono stati cancellati, vi chiediamo quindi, se ne avevate, di ricrearli. E’ un errore grave di cui ci siamo accorti troppo tardi, ci scusiamo con tutti gli utenti per il disguido.

Maintenance is over and all mailboxes are accessible again. Unfortunately due to an error in the maintenance script we have lost the Sieve webmail filters of some users, we’d ask users who are affected to re-create them. It is a bad mistake and it shouldn’t have happened, we truly apologise with all users.

Non e’ mai troppo tardi…

agosto 30th, 2014 by carpa

… per pisciare sulla tomba di steve jobs

E’ tanto che non scrivo su questo blog, e’ che gli argomenti di cui scrivevo, sono stati ingurgitati in un tunnel del vento dove tutto viene accellerato.
Cosi’ funziona nei regimi democratici: si parla tantissimo di un argomento, apparentemente da ogni punto di vista, talmente tanto che ogni opinione finisce per valere poco o niente e quanto si afferma e’ il dato di fatto. Quello che si ha la forza di fare nonostante il chiacchericcio, cio’ che rimane. Nel bene e nel male: dove i due concetti sono chiaramente divergenti a seconda di chi li esprime, un po’ persi nel relativismo postmoderno.

Nel mio placido pellegrinare estivo di sistemista che lavora ad agosto, sono andato al cinema, che e’ meno faticoso del mondo di Internet perche’ per due o tre ore ti subisci un solo punto di vista: quello dell’autore del film. Non e’ un caso se prima dell’avvento della tv, il cinema fu eccezionale strumento di propaganda. Comunque per me, che soffro un po’ la confusa velocita’ della rete, il grande schermo rimane un’esperienza piu’ consona ai tempi estivi.

Il titolo del post mi e’ stato ispirato da due film. In verita’ credo sia l’humus culturale di questo periodo storico a indurmi spesso pensieri teppisti: in particolare in questo caso gli odiosi e banali aforismi di Steve Jobs che catturavano pero’ bene tutta la miseria del capitalismo cosi’ smart, cosi’ cool, cosi’ young. La santificazione dell’iniziativa privata, dell’intuizione finalizzata alla creazione di cose da vendere, la realizzazione di se’ attraverso il lavoro, la competizione, l’essere visionari di scenari miseri, l’abuso della frase “cambiare il mondo” come alibi alla propria sete di denaro o al proprio narcisistico ego strabordante, e bla bla bla.

Ma veniamo ai film.
Read the rest of this entry »

Censura all’italiana, mail.ru bloccato per fermare “la pirateria”..

luglio 18th, 2014 by bombo

governmenttt

Siamo di fronte all’ennesimo caso di incompetenza delle autorita’ giudiziarie italiane: per difendere il copyright di due film condivisi in rete, si blocca un’intera piattaforma di file sharing, ed un servizio di posta, entrambi con milioni di utenti.

Di seguito riportiamo la notizia come l’abbiamo appresa da blog.bofh.it:

“Fri, 18 Jul 2014
Censurato in Italia mail.ru

Dopo la censura nel novembre 2013 di vk.com, il più grande social network russo, un altro importante sito russo è stato censurato in Italia: si tratta di mail.ru, il più grande portale del Paese e uno dei principali mail service provider del mondo.

Il decreto di sequestro è stato inviato ai principali provider di accesso italiani da un GIP di Roma, ed è motivato dalla pubblicazione illecita di due film. Tra gli altri 24 siti censurati con questo provvedimento c’è mega.co.nz, il popolare cyberlocker che ha sostituito MegaUpload.

Come al solito in Italia c’è l’abitudine di censurare importanti siti stranieri senza preoccuparsi dei danni collaterali. Come al solito si ordina di censurare un sito web ma vengono bloccati anche tutti gli altri servizi, come la posta. Come al solito la vittima del sequestro anomalo non è stata notificata, infatti i loro tecnici questa mattina cercavano di contattare colleghi italiani per capire cosa fosse successo…

L’elenco non ufficiale ma completo dei siti censurati in Italia è sempre disponibile sul mio sito http://censura.bofh.it/elenchi.html. “

The Internet’s Own Boy

luglio 14th, 2014 by bombo

In memory of Aaron Swartz, one of us.