cavallette

Da diversi anni si discute sul senso e sui problemi dell’attuale realizzazione e applicazione dei protocolli Tls/Ssl. L’attuale struttura di pki basata su ca private che operano come se fossero dei notai autoproclamati ha un senso e serve allo scopo ? Oppure semplicemente viene tenuta in piedi perche’ tutto il commercio elettronico si basa sull’esistenza di questo protocollo, e quindi bisogna dire che funziona anche se poi non funziona davvero ?
In molti hanno prodotto riflessioni interessanti sull’argomento, vi consigliamo in particolare questo articolo di Sogohian.

Un esempio di come l’attuale sistema di autenticazione di un certificato ssl/tls sia facilmente aggirabile da telco, enti governativi, proxy aziendali e’ quanto la nokia ha messo in piedi per accellerare la navigazione da alcuni modelli di smartphone.

In bella sostanza per ogni richiesta https si chiude prima la contrattazione del certificato con un proxy della nokia il quale possiede un certificato valido firmato da una CA riconosciuta, e quindi che non genera alcun warning, ne’ finestrella. Sara’ il proxy a fare la richiesta per noi. Questo implica pero’ che il proxy possa vedere in chiaro tutto il nostro traffico ssl/tls, perche’ noi abbiamo chiuso con lui il canale cifrato e solo in seguito lui ne ha aperto un altro con la nostra destinazione. Il suo compito e’ per l’appunto decifrare il nostro traffico, ricifrarlo con la chiave contrattata con la destinazione, e viceversa. Il meccanismo e’ completamente trasparente senza un’analisi del flusso di dati un po’ dettagliata o senza controllare il certificato che ci viene fornito ( sara’ sospettosamente sempre lo stesso per ogni sito che andiamo a visitare). Si tratta usando un lessico un po’ diverso di un attacco mitm su ssl come si potrebbe piu’ elengantemente imbastire attraverso mallory e altre piccole accortezze.

Potremmo consigliarvi di non usare software closed source per non incappare in queste brutte sorprese e di usare comunque sempre plugin come certificate patrol/, che per quanto aprano un sacco di noiose finestrelle permettono di capire cosa accade dietro le quinte nel giochino del ssl/tls. Riteniamo pero’ che questa faccenda sia piu’ interessante per il modello tecnologico che delinea. Si parla di questo problema da circa un decennio, ma il fatto che su questa struttura si basi tutto il commercio elettronico implica che si debba discuterne sottovoce e dietro le quinte e nell’impossibilita’ di trovare una soluzione che non turbi le nostre tranquille ore di shopping on line, fare finta di niente. Tutto avviene in ogni caso soltanto nel nostro interesse, come si e’ affrettata a dichiarare la nokia colta in fallo.

reportage su rainews24: hope conference di ny, 22 min.

http://www.rainews24.it/it/video.php?id=28881

contiene:
nona edizione di HOPE (Hackers On Planet Earth) conference tenuta a NY: Emmanuel Goldstein 2600, l’ex direttore della NSA William Binney
ora informatore parla delle intercettazioni totali, gli Yesmen e
l’hacking dei media (portavoce Dow Chemical sulla strage di Bophal alla BBC), Tim Pool livestreamer di Occupy e l’hack-tive-journalism, Cryptome e Wikileaks e il caso Bradley Manning, la Electronic Frontier Foundation che difende dal punto di vista legale i diritti in rete, la Free Sofware Foundation che supporta il diritto al software libero, gli oggetti “privacy enhanced” come un portafoglio che scherma gli RFID (trasmettitori radio contenuti nelle carte di credito e nei biglietti bancari), il TvBGone telecomando universale, le questioni di genere nella comunita’ hacker, ingegneria sociale. A un certo punto arrivano i russi.

[IT] A/I è lieta di presentarvi il suo nuovo sito. Dopo 7 anni di onorato servizio mandiamo in pensione il vecchio sito: aveva molti pregi, ma anche molti difetti e abbiamo pensato che fosse importante snellire la nostra comunicazione verso l’esterno, dato che esiste questo blog per i deliri di tutti i membri del collettivo sulle più disparate cause, e per tutti i nostri utenti che vogliono sapere cosa ci succede. Speriamo vi piaccia e che finalmente vi risulti più facile capire dove collegarvi per accedere alla vostra posta! :)

[EN] The A/I collective is happy to launch its brand new site. After 7 years of honored service we switched from the old version of our website: it has been a nice cover for a long while, but we thought important to make our communication swifter and clearer, since we already have this blog to rant about and inform all of you of our misfortunes. We hope you’ll like the new site and you’ll finally be able to find where to login! :)

Come sorprendersi, Apple come ogni Corporation non ha niente di democratico.
Percio’  dopo poche ore dal rilascio dell’App che denuncia il processo produttivo degli iPhone viene censurata e rimossa.

Qui le motivazioni e la risposta degli autori.

Phone Story was pulled from the iTunes App Store on Tuesday September 13 at 11.35am, only few hours after its official announcement.

Apple explained that the game is in violation of the following guidelines*:

15.2 Apps that depict violence or abuse of children will be rejected

16.1 Apps that present excessively objectionable or crude content will be rejected

21.1 Apps that include the ability to make donations to recognized charitable organizations must be free

21.2 The collection of donations must be done via a web site in Safari or an SMS

We contest the violation 21.1 and 21.2 since it’s not possible to make donationsthrough Phone Story. Molleindustria simply pledged to redirect the revenues to no-profit organizations, acting independently.

We are currently considering two steps:

. Produce a new version of Phone Story that depicts the violence and abuse of children involved in the electronic manufacturing supply chain in a non-crude and non-objectionable way.

. Release a version for the Android market and jailbroken ios devices.

The users who managed to buy the app before it went offline are now owners of a rare collector edition piece.

We’ll be posting further updates on our twitter

iPhone App About Apple’s Rotten Supply Chain Gets Past CensorsThis and upcoming Yes Lab projects no hoax
Contact: info@molleindustria.it, michael.pineschi@gmail.com

To the great surprise of its creators, a funny new iPhone gamecritical of Apple’s human rights record was accepted by the iTunesstore and is being released today. The app, called Phone Story,teaches players about abuses in the life-cycle of the iPhone byputting them in the manufacturers’ shoes. To win, players must enslavechildren in Congolese mines, catch suicidal workers jumping out ofChinese assembly plant windows, and conscript the poorest of theworld’s poor to dismantle toxic e-waste resulting from obsoletephones.
The seriously funny new game will sell for 99 cents on iTunes; allproceeds will go to organizations fighting to stop the horrors thatsmartphone production causes. Read more about Phone Story below. Butfirst, a word from Phone Story’s sponsors.
Yes Lab Fundraising Campaign a Shocking Success
Last week the Yes Lab sent you an appeal for support. We set asideforty days and forty nights to reach our goal on Kickstarter—but withyour help we’ve gotten there in just five! (Note: if you haven’t yetdonated, don’t let our success dissuade you! We’ll use the extra moneyto fund more projects, and to develop tools and resources to helpfolks carry them out. And by the way, if you’re a Drupal programmerand feel like helping to make those tools, please write to us!)
Since our fundraising appeal is doing so well, we’re launching ourvery own curated page on Kickstarter, to support other coolprojects—like Beautiful Trouble, an activism manual and websitewritten by over forty troublemakers from around the world, includingthe Yes Men. Beautiful Trouble’s goal is to put the best tactics forcreative action in the hands of the next generation of change-makers.Support Beautiful Trouble!
So back to those phones….
Would you like to force an African child to mine for precious metalsat gunpoint? “Phone Story,” a new iPhone app produced byMolleindustria, puts the player in the unsavory shoes of a smartphoneexecutive. Each level in the game explores a different real-lifeproblem in the consumer electronics life cycle: slavery and abuse inColtan mines, suicide-inducing manufacturing plants, andhealth-destroying e-waste processing are reduced to a cute, low-resaesthetic driven by simple, addictive game play. The game is availablein the iTunes store for 99 cents.

UPDATE: the game has been banned from the Apple app store. If you still had any doubt, now you have another reason to think that app stores are bad for you.

http://priv3.icsi.berkeley.edu/

About Priv3
Did you know that social networking sites like Facebook, Google+, and
Twitter can track your visits to any web page that uses the familiar
“Like”, “Follow”, or “+1″ buttons, even if you do not actually click
these buttons?

The Priv3 Firefox extension lets you remain logged in to the social
networking sites you use and still browse the web, knowing that those
third-party sites only learn where you go on the web when you want them
to. All this happens transparently, without the need to maintain any
filters. Priv3 is free to use for anyone.
(continua…)

Su nazione indiana hanno pubblicato la traduzione italiana della guida di Ethan Zuckerman intitolata “Scrivere un blog anonimo con wordpress e Tor”, pubblicata in origine da Global Voices.

Dall’introduzione:
“La libertà di espressione passa anche dalla possibilità di comunicare
proteggendo la propria identità, se necessario. Pubblico perciò qui una
guida tecnica scritta da Ethan Zuckerman per Global Voices, di cui ho
presentato le tecniche durante il convegno e-privacy 2009 a Firenze. ”

Raccogliamo dunque l’invito a leggerla, diffonderla e ripubblicarla partito dal traduttore che ringraziamo.
Per ora leggetela qui.

:: Il Chaos Computer Club ha pubblicato l’impronta digitale del ministro degli interni tedesco Wolfgang Schauble. Si tratta di un’ottima dimostrazione del fatto che un’impronta non è segreta e un’operazione di hacking politico eccellente. Schauble è un gran sostenitore della raccolta di dati biometrici di tutti come misura antiterrorismo.

Se proprio non riuscite a fare come la signorina qui di fianco, almeno prendetevi una rivincita contro i vari “websense” che vi impediscono di navigare mentre siete in ufficio.

Una delle possibilita’ potrebbe essere scegliere di usare Vidalia e quindi bypassare le restrizioni del proxy aziendale con un vostro proxy locale e pure crittato (tor + polipo).

Altrimenti c’e’ questa paginetta di istruzioni su come provare a superare il firewall aziendale e navigare felici. :)
Buona distrazione!