About Priv3
Did you know that social networking sites like Facebook, Google+, and
Twitter can track your visits to any web page that uses the familiar
“Like”, “Follow”, or “+1″ buttons, even if you do not actually click
these buttons?

The Priv3 Firefox extension lets you remain logged in to the social
networking sites you use and still browse the web, knowing that those
third-party sites only learn where you go on the web when you want them
to. All this happens transparently, without the need to maintain any
filters. Priv3 is free to use for anyone.

How Social Networking Sites Can Track You
In order to integrate interactive features—such as buttons, comment
forums, activity feeds, or recommendations—from social networking sites,
authors of web content integrate HTML snippets or JavaScript code
provided by the social networks into their pages.

For example, when you are logged into your Google or Facebook account
and visit a movie review page on rottentomatoes.com, your browser
automatically pulls in the “+1″ button from Google’s servers and the
“Like” button from Facebook. These downloads include the session cookies
your browser uses to inform Google and Facebook that you have previously
logged in, and so Google and Facebook automatically learn about your
personal interest in the movie page you’re looking at, even if you never
actually click on either of their buttons.

How Priv3 Works
Blocking simple “web bugs” or “trackers” is fairly straightforward,
because doing so does not harm your web surfing experience. By contrast,
completely blocking social networking features is counterproductive,
because doing prevents you from actually using these features—say to
leave a comment, or to “like” something—when you would like to do so.

Therefore, Priv3 does not block third-party interactions completely.
Instead, it selectively suppresses the inclusion of third-party web
cookies when your browser pulls in content from the social networks, but
does provide them if you decide to interact with the social networking
features. You still see the number of “likes” the page has accumulated
on Facebook or the comments other people left using Facebook’s
discussion mechanism. Facebook however only learns the IP address of the
computer you are using.

Should you decide to interact with the social feature, Priv3 detects any
mouseclick or keystroke directed at the feature. It then reloads it with
your session cookies and passes on the click or keystroke, thus
revealing your identity to the social network and informing it of your
desired action.

Priv3′s Currently Supported Social Networking Sites
Priv3 currently understands the interactive features of the following
social networks:

Facebook
Twitter
Google +1
LinkedIn
We will expand the list in the future, as needed.

Who We Are
We are researchers interested in all aspects of Internet privacy. Our team:

Mohan Dhawan is a graduate student at Rutgers University. His advisors
are Professor Vinod Ganapathy and Professor Liviu Iftode.

Christian Kreibich and Nicholas Weaver are staff research scientists at
the International Computer Science Institute in Berkeley.

Contact Us
We’d love to hear your feedback. Feel free to send email to
priv3@icsi.berkeley.edu.

Other Resources
The Wall Street Journal’s What They Know articles provide an excellent
introduction to the implications of third-party interactions in web surfing.

Ghostery and Adblock Plus are excellent Firefox extensions that provide
complete blocking of third-party trackers and advertising. The privacy
section of Mozilla’s add-on database lists quite a few more. ]]> http://cavallette.noblogs.org/2011/09/7418/feed 0 http://cavallette.noblogs.org/2011/08/7411 http://cavallette.noblogs.org/2011/08/7411#comments Fri, 19 Aug 2011 11:10:44 +0000 cavallette http://cavallette.noblogs.org/?p=7411 Sulla lista hackmeeting si e’ sviluppato un breve thread su un argomento interessante che avevo rimosso dalla testa, la crittografia omomorfica. Si tratta in pratica di trovare un sistema matematico computazionalmente efficiente per fare in modo che una modifica su un certo dato cifrato si rifletta sul dato in chiaro in maniera coerente: cifro P per ottenere C, moltiplico C per 2, se decifro 2C devo ottenere 2P. Il che renderebbe possibile modificare il dato in chiaro in maniera coerente senza prima decifrarlo e ricifrarlo in seguito.

Questa e’ la tesi che un paio di anni fa ha riportato in auge questa concetto

http://crypto.stanford.edu/craig/craig-thesis.pdf

La crittografia omomorfica e’ citata come uno dei dieci punti dello sviluppo prossimo ventuto dalla technology review, ci stanno investendo un po’ tutte le realta’ con interessi nel cloud computing. Da ibm che si e’ comprata direttamente l’autore della tesi, dalla microsoft (https://www.technologyreview.com/computing/38239),  a google (https://code.google.com/p/thep)

Due anni fa il tema era stato trattato dal scheiner nel suo blog in maniera piuttosto critica, sostenendo sostanzialmente che l’argomento era interessantissimo, ma che farne dei lanci commerciali era piuttosto pretestuoso e prematuro.(http://www.schneier.com/blog/archives/2009/07/homomorphic_enc.html)

Un giorno ho portato l’access point di casa in ufficio. Dopo averlo collegato alla rete dell’ufficio ho acceso uno smartphone (privo di GPS) e ho attivato la localizzazione geografica.

Dopo poco lo smartphone ha mostrato sulla mappa, con grande precisione, la posizione di casa mia. Non quella dell’ufficio in cui mi trovavo: quella di casa.

Lo smartphone non era mai stato usato prima, non era stato a casa mia, e non aveva dati in cache. Dopo lo smarrimento iniziale, sono arrivato a questa ipotesi:

Dopo un po’ di letture, mi sono reso conto che questa è una non-notizia. Questo sistema esiste da svariati anni. Tuttavia nessuno dei miei amici ricordava nulla in proposito, e ho quindi deciso di rinfrescare la memoria anche a voi.

Il principale database di questo tipo è quello di SkyHook, che archivia attualmente la posizione geografica di circa 250 milioni di access point wi-fi (e ripetitori di cellulari). Il funzionamento del loro sistema è descritto qui.

Se usate la navigazione geolocalizzata nel vostro browser web, sappiate che contribuite ad arricchire questi database.

Nel sito web di Firefox (link in italiano) è spiegato che i dati scambiati quando si usa la navigazione geolocalizzata includono l’indirizzo IP utilizzato, gli identificativi delle reti wi-fi presenti nei dintorni, la qualità del segnale, informazioni sui ripetitori dei cellulari e in caso sia presente un GPS, la posizione da esso rilevata.

Sei soluzioni tecniche per proteggere la libertà d’espressione nei regimi autoritari e quattro consigli per aiutare dall’estero

Introduzione

Internet è ormai uno dei mezzi più potenti mai creati per dar voce ai popoli oppressi di tutto il mondo. Purtroppo, le nuove tecnologie hanno anche fornito ai regimi autoritari nuovi strumenti per identificare chi alza la voce contro la censura e la sorveglianza e per compiere rappresaglie contro gli oppositori. Quelli che seguono sono sei consigli fondamentali per chi sta cercando di far sentire la propria voce e non vuole essere vittima della sorveglianza e della censura di uno stato autoritario, oltre a quattro proposte per chi vuole aiutare i cittadini colpiti dalla repressione.


I. Idee per attivisti e per cittadini di regimi autoritari

1. Imparate a valutare il rischio

Il primo passo da compiere per cercare di difendersi dalla sorveglianza digitale e dalla censura è comprendere il concetto di valutazione del rischio. La valutazione del rischio serve a stabilire quali siano i pericoli da affrontare, quanto siano seri e probabili questi rischi e a quali tecniche di difesa sia meglio dare priorità.
Lungi dall’essere garantita da lucchetti e antivirus particolarmente potenti, la sicurezza consiste in una serie di compromessi da trovare per gestire il rischio, come del resto facciamo continuamente nel corso della nostra vita quotidiana. Quando decidiamo di attraversare la strada senza passare sulle strisce, abbiamo fatto un compromesso: soppesando il rischio di essere investiti e la fatica di arrivare fino in fondo alla strada, valutiamo il pericolo osservando la strada per vedere se arrivano macchine. Il bene da proteggere in questo caso è la nostra salute fisica, ma in tutti i casi per ottenere il risultato che desideriamo dobbiamo chiederci quanto sia elevato il rischio di perdere il bene prezioso che si vuole proteggere. Per sapere di più sulla valutazione del rischio, potete consultare questo manuale dell’EFF (in inglese).

2. Attenzione al malware

“Malware” è un termine generico che fa riferimento a virus, worm, trojan, keystroke logger, spyware, rootkit e qualunque altro software che induca un computer a spiare le vostre attività contro i vostri interessi.
Se un governo è riuscito a installare un malware sul computer che usate, tutto il resto non conta: i vostri file e le vostre comunicazioni sono sotto sorveglianza.
Se usate un computer vostro, assicuratevi di installare gli aggiornamenti di sicurezza e di usare un antivirus e un software antirootkit. Tenete conto, comunque, che queste misure garantiscono una protezione limitata. Per un approfondimento su come usare gli antivirus e i firewall, consultate questa guida (in inglese).

È importante considerare che se usate un computer utilizzato da più persone, ad esempio in un Internet cafè o in una biblioteca pubblica, il rischio di essere sorvegliati da un malware è maggiore. Se proprio dovete usare un computer pubblico per trasmettere comunicazioni delicate, sarà meglio utilizzare una chiavetta USB o un CD bootabili (come Incognito) per limitare gli effetti del malware.
Potete usare una USB o un CD bootabili anche per le attività più delicate che svolgete sul vostro computer personale.

3. Scegliete i canali di comunicazione meno rischiosi

Dovreste fare molta attenzione nella scelta dei canali che usate per comunicare con gli altri, che siano o meno coinvolti in attività politiche.

• Parlare di persona è di solito il metodo più sicuro per comunicare (a meno che non ci sia qualcuno che vi osserva o che non siano state nascoste cimici nel posto in cui vi trovate).

• Valutate attentamente i rischi del telefono: quasi tutti gli apparati statali sono in grado di registrare la provenienza e la destinazione di qualunque chiamata, come pure l’orario in cui è avvenuta. Fatto salvo per Stati Uniti e Unione Europea, al momento gli altri stati sono in possesso di tecnologie più limitate, ma su cui non si sa nulla, per la registrazione e l’intercettazione delle telefonate. Si ritiene ad esempio che tutti siano in grado di effettuare intercettazioni, ma che possano intercettare solo un numero limitato di comunicazioni (probabilmente qualche migliaio) in ogni dato momento. Quando un attivista effettua o riceve una telefonata con un apparecchio di sua proprietà, bisogna dare regolarmente per scontato che sarà intercettata.

• Evitare di mandare SMS, che vengono trasmessi in chiaro da tutti i provider di telecomunicazioni di rilievo e possono essere facilmente registrati e analizzati su vasta scala dalle forze dello stato.

• Proteggete le vostre comunicazioni in rete tramite crittazione e scegliendo provider (preferibilmente all’estero) che siano fidati e che non abbiano motivo di collaborare con il vostro stato.

Ecco due strumenti facili da usare per ottenere un certo grado di protezione:

• Usate il plugin OTR per l’instant messaging. Questa è una soluzione semplice se sia voi che le persone con cui comunicate potete installare il software di instant messaging Pidgin (o Adium X per Mac) sul vostro computer. Per sapere come fare, leggete qui. Disabilitate la registrazione delle comunicazioni per assicurarvi che, in caso di sequestro del computer, i vostri discorsi non possano essere ritrovati nell’hard disk.

• Usate un provider di webmail che fornisca una crittazione https. Servizi come RiseUp.net, Autistici/Inventati e altri fanno molta attenzione alla privacy dei loro utenti. Ora Gmail supporta la crittazione di default, ma siete sicuri che alla fine Google non consegnerà le vostre comunicazioni al vostro governo?[1] Ogni volta che inviate o ricevete una mail, assicuratevi che l’indirizzo della pagina della webmail inizi per https. In caso contrario, il vostro messaggio potrebbe essere stato intercettato.

Ma anche se usate un server sicuro (e noi lo raccomandiamo caldamente), questo non basta, perché la vostra sicurezza dev’essere nelle vostre mani, sotto il vostro pieno controllo. Per questo, vi consigliamo caldamente di crittare tutte le vostre mail con GPG (particolarmente facile da usare su Thunderbird con il plugin Enigmail).

• Anche le chiamate in Voice-over-IP possono essere crittate, ma molti servizi VoIP non supportano la crittazione. Due eccezioni sono ZPhone e Skype. Il VoIP non crittato è facilissimo da intercettare, e quindi sono estremamente intercettabili le telefonate che si effettuano dagli Internet cafè e dai phone center.

In realtà non è possibile sapere quanta sicurezza garantisca Skype. L’EFF ritiene che i paesi dotati di servizi di intelligence particolarmente sofisticati troveranno senz’altro un modo per annullare la sicurezza offerta da Skype, mentre quelli meno sviluppati da questo punto di vista potrebbero non riuscirci. Com’è noto, la Cina ha prodotto una propria versione di Skype infettata da trojan, ed è risaputo che nell’architettura di sicurezza di Skype sono presenti diversi punti deboli [2]. È assolutamente plausibile che i servizi d’intelligence di paesi come gli USA, Israele, la Russia o Cuba siano perfettamente in grado di aggirare la crittazione di Skype. Ma per quanto ci è dato sapere quasi nessuno dei paesi meno sviluppati sarà in grado nel prossimo futuro di decrittare le comunicazioni su Skype.

4. Usate la crittazione per evitare la sorveglianza e la censura quando navigate in rete

La censura e la sorveglianza delle connessioni a Internet sono intimamente interconnesse: se le comunicazioni sono censurate, è difficile che non siano anche controllate e interpretate, perché per un sistema di censura è difficile distinguere tra le comunicazioni da bloccare e quelle che possono passare liberamente.
Sono molti i metodi di crittazione che si possono usare per proteggere le proprie comunicazioni dalla sorveglianza e dalla censura. Si possono usare alcuni servizi online che crittano i messaggi di default (v. sopra a proposito dell’instant messaging e della posta elettronica), ma se il vostro scopo è proteggere tutta la vostra navigazione sul web, potete scegliere tra uno di questi strumenti:

• Usate Tor. Tor critta le vostre connessioni e le fa rimbalzare da un angolo all’altro del pianeta prima di farle arrivare a destinazione. Questo strumento facile da usare garantisce un notevole livello di protezione dalle intercettazioni delle forze statali [3]. Il problema principale dell’uso di Tor è che la navigazione è molto rallentata: dovete fare i conti con un rallentamento di dieci secondi o più nel caricamento di ogni pagina.

Se vivete in un paese dove il solo fatto di usare Tor potrebbe essere un motivo per prendervi di mira, arrestarvi, sorvegliarvi o sottoporvi a controlli sgraditi, sarà meglio che usiate Tor in combinazione con un Tor Bridge (v. Sezione 6).

• Usate un proxy crittato o una VPN (Virtual Private Network) per instradare la vostra connessione all’estero. Questo sistema garantisce una protezione leggermente inferiore a quella offerta da Tor ma una navigazione tendenzialmente più veloce. Ecco qualche modo per implementarlo:

1. Usate un server proxy con crittazione SSL, sempre tenendo conto che se non sapete da chi è gestito il proxy, a gestirlo potrebbe essere il vostro nemico.
2. Se avete accesso a una macchina Linux o Unix all’estero, potete creare in un istante un vostro server proxy crittato usando il programma ssh (installato di default nei sistemi Mac OS X e Linux e facile da installare anche su Windows). Qui due manuali in inglese che spiegano come fare.
3. Usate un servizio come Hotspot Shield.
4. Usate un servizio VPN situato all’estero. Aziende come Relakks vendono servizi di questo tipo.

Oltre alle misure citate sopra, potrebbe risultarvi utile l’estensione HTTPS Everywhere creata dall’EFF per Firefox, che cerca di fare aprire le pagine web in https anziché in http ogni volta possibile. Questo strumento non va trattato come un sostituto di Tor o come una VPN ma fornisce una protezione aggiuntiva anche in associazione con questi ultimi.

5. Fate attenzione a quel che pubblicate e a dove lo pubblicate

A meno di non essere disposti a correre il rischio di essere presi di mira dalle rappresaglie delle autorità, evitate di pubblicare materiali firmati con il vostro nome o di riferire dettagli che potrebbero ricondurre alla vostra identità. Autistici/Inventati e altri server autogestiti offrono ad esempio la possibilità di avere uno spazio web non associato alla vostra identità.
Evitate di pubblicare materiali tramite servizi di hosting che hanno una presenza commerciale nel vostro paese o che potrebbero collaborare con il governo del vostro paese. Tenete conto del fatto che alcuni stati hanno sottoscritto trattati che li vincolano a soddisfare le richieste delle forze di polizia di altri paesi.
Pubblicate solo tramite servizi che usano l’https. L’indirizzo della pagina da cui lo fate deve iniziare per https e sulla barra degli indirizzi del vostro browser dev’essere visualizzato un lucchetto integro non solo al login ma per tutto il tempo in cui vi trovate in quel particolare sito.

6. Meglio usare un Tor Bridge?

I Tor Bridge sono un modo più discreto di collegarsi alla rete Tor. Normalmente se usate Tor chi controlla la rete potrebbe notare che il vostro computer si è collegato [4]. Usando un Tor Bridge sarà invece molto più difficile capire che state usando Tor.
Se usate Tor e vivete in un paese che storicamente censura Internet, il vostro governo potrebbe bloccare all’improvviso l’accesso alla rete Tor pubblica. In tal caso vi conviene avere l’indirizzo di un Tor Bridge a portata di mano.
Se vivete in un paese dove il semplice fatto di usare Tor potrebbe esporvi ad attenzioni sgradite o peggio ancora, non usate mai Tor senza averlo configurato in modo da connettervi attraverso un Bridge.
Potete trovare informazioni su come configurare Tor in modo da passare da un Bridge qui.
Alcuni indirizzi di Tor Bridge si trovano qui. In alternativa si possono richiedere inviando una mail all’indirizzo bridges@torproject.org e inserendo la riga isolata “get bridges” nel corpo del testo.

II. Come posso aiutare cittadini di altri paesi a sottrarsi alla sorveglianza e alla censura?
Se non vivete in un regime autoritario ma vi piacerebbe aiutare quelli che ci vivono, ecco le nostre raccomandazioni principali per il momento:

1. Attivate un router Tor

Donate un po’ della vostra banda inoltrando il traffico crittato che passa fra i nodi Tor. Seguite le istruzioni sul sito del progetto Tor ma assicuratevi di disabilitare l’uscita dalla vostra macchina a meno che non vogliate fare da exit node (v. sezione 3).

2. Attivate un Tor Bridge

Fate da ponte per aiutare i cittadini di paesi colpiti da intense pratiche censorie e di sorveglianza. Se non sapete decidere fra l’attivazione di un router o di un Bridge, leggete i consigli del Tor Project sull’argomento.

3. Considerate l’idea di fungere da exit node

A differenza dei router e dei Bridge, la gestione di un exit node Tor richiede molta più attenzione, organizzazione e impegno. Gli exit node sono le macchine che fanno uscire il traffico dalla rete Tor per indirizzarlo verso la sua destinazione finale in Internet.
Gli exit node sono cruciali per il funzionamento della rete Tor, ma a differenza del resto della rete, gran parte del traffico che li attraversa non è crittato. Gli exit node sono i nodi della rete Tor che comunicano ufficialmente con il sito web per cui è partita la particolare richiesta illegale dall’Iran o dalla Birmania, sono le macchine che inviano i post dei blog per conto delle voci critiche, quelle che lasciano i log della visita al sito o al server a cui si ottiene accesso. Ma dato che Tor può essere usato per qualunque scopo, è anche possibile che a un exit node arrivino denunce di violazione di copyright, diffusione di spam o attività illecite online di altro genere, e tutte queste violazioni saranno associate con l’indirizzo IP dell’exit node.
Se decidete di fungere da exit node, fate i conti con questo rischio e fate il possibile per non venire incolpati di atti illegali compiuti solo da uno delle centinaia di migliaia di utenti della rete Tor. Per maggiori informazioni, leggete i consigli del progetto Tor sulla gestione di un exit node.

4. Attivate un proxy per i vostri amici

Se avete amici in un paese dove la censura Internet è un problema, potreste attivare un proxy privato per loro. Purtroppo, per farlo in maniera sicura dovete procurarvi un certificato SSL per il proxy, cosa che richiede un certo impegno da parte vostra.

Se sulla vostra macchina gira un sistema operativo basato su Unix, sapete cos’è una shell e vi fidate dei vostri amici, potreste fornir loro una shell sulla vostra macchina in modo da permettergli di crearsi un proxy personale con ssh -D.

1. Google Gmail è uno strumento adeguato dal punto di vista della sicurezza informatica: fornisce un servizio sicuro di posta elettronica e di instant messaging se si comunica con altri utenti Gmail usando l’https. Il problema di Gmail è però che Google potrebbe essere costretta dalle leggi del vostro paese a consegnare la vostra posta elettronica alle forze statali. Questo rischio è particolarmente elevato nei paesi occidentali e in altri paesi dove Google ha una sede e un’attività aziendale che potrebbero costringerla ad attenersi alle leggi del posto. Per valutare il rischio nel vostro paese, consultate i dati di Google sulla quantità di richieste ufficiali ricevute da ogni stato andando alla pagina http://www.google.com/governmentrequests/ e cliccando su “Data requests”. Notate che i paesi che hanno inviato meno di trenta richieste non sono inclusi nell’elenco.
Servizi autogestiti come Autistici/Inventati e RiseUp.net sono meno esposti alle leggi nazionali, ma considerate che il vostro governo potrebbe considerare sospetto il semplice fatto che usiate una mail su un server del genere. Né Riseup, né Autistici conservano nei loro server dati che possano collegare la vostra identità al vostro utente di posta, ma anche usando questi servizi con Tor ed evitando di collegare pubblicamente la vostra mail alla vostra identità dovete comunque considerare un certo rischio.
Tenete inoltre conto del fatto che se scegliete comunque di usare Gmail dovreste essere molto prudenti nell’utilizzo di altri servizi Google collegati allo stesso account. Per esempio Google Buzz e il vostro profilo personale potrebbero rivelare pubblicamente i vostri contatti di posta elettronica.

2. Tra i vari problemi bisogna citare il fatto che Skype viene generalmente scaricato da un sito http e che l’installazione potrebbe essere manomessa da una terza parte; il fatto che l’azienda che gestisce Skype faccia da intermediaria per l’autenticazione e la certificazione e quindi possa effettuare a sua volta attacchi man-in-the-middle; e il fatto che nel codice di Skype sono stati trovati in alcuni casi bug che permettevano l’esecuzione di codice da remoto. Per un’analisi dettagliata della configurazione crittografica di Skype, v. see http://www.secdev.org/conf/skype_BHEU06.handout.pdf.

3. Sebbene Tor ostacoli le intercettazioni che giungono dalla vostra rete, dal vostro ISP e dal vostro governo, state attenti a non inviare username e password in http://, perché questi dati usciranno dalla rete Tor e raggiungeranno in chiaro il server web che avete contattato. Da questo punto di vista è più sicuro usare un sito https://.

4. Le autorità potrebbero capire che state usando Tor dal fatto che il vostro computer si collega a un numero consistente di indirizzi IP che sono tutti inseriti nella directory pubblica dei nodi Tor.

* Nella traduzione italiana abbiamo aggiunto alcune integrazioni e note aggiuntive.

È la logica di chi non sa bene che pesci pigliare. Nel dubbio spara nel mucchio, capace che prenderai anche il tuo bersaglio. O quella dei rastrellamenti per cui si buttano all’aria intere strade per cercare magari qualcosa che non c’è. La polizia (postale) italiana ha la brutta abitudine di frugare nei dati di centinaia, migliaia di persone anche solo per trovare un e-mail. È successo di nuovo al server che A/I ha in Norvegia: i dischi sono stati clonati per intero per una indagine di cui non ci hanno ancora detto nulla. Anche se non siamo direttamente coinvolti in una eventuale inchiesta resta il fatto che i dati dei nostri utenti (nella maggior parte dei casi crittati) sono comunque stati acquisiti da qualcuno che al massimo aveva il mandato per cercare una specifica cosa.
Ma è la logica del colpirne cento per “educarne” uno: intanto mi prendo tutti i dati e poi, quando non trovo quello che cercavo, arrivederci e grazie.
Quando queste cose accadono in Cina o in Iran immediatamente si mobilitano schiere di eroi della riservatezza a tuonare contro il “regime” di turno che spia i propri cittadini. Nel caso accada sotto il loro naso si distraggono magari perché stanno pensando ai riti tribali che si svolgono ai piani alti di questo paese.
Davanti a episodi del genere occorre reagire in fretta e in tanti, sia imparando a proteggere la riservatezza dei nostri dati, sia protestando contro la sorveglianza elettronica che avanza, con tentativi più o meno goffi ma comunque arbitrari e repressivi.

È anche interessante far notare come non ci fosse assolutamente necessità di realizzare questa operazione: ogni volta che ci sono stati chiesti log o informazioni, abbiamo sempre risposto; non è colpa nostra se le informazioni che cercano non le abbiamo o gli sono inutili. Al massimo lo consideriamo un merito. Come consideriamo un merito che nel giro di 24 ore il Piano R* ci abbia permesso di rimettere in piedi tutti i servizi abbattuti dal raid: da ormai 5 anni diciamo a tutti i nostri utenti che il nostro obiettivo è impedire che ciò che offriamo venga distrutto, mentre abbiamo da tempo capito e cercato di sensibilizzare tutti sul fatto che gli unici depositari della riservatezza siete voi, la vostra intelligenza in quello che scrivete e leggete, la vostra accortezza nel non delegare a nessuno questo aspetto della vostra vita. I nostri dischi (tranne gli archivi delle liste) erano crittati, ma con il clone del disco e un po’ di tempo nessun sistema di crittazione è indecifrabile. Per cui non cullatevi in un falso senso di sicurezza.

Sostenete la battaglia che intraprenderemo come già abbiamo fatto ai tempi del primo crackdown contro A/I, diffondete quello che vi racconteremo, combattete contro ogni forma di limitazione della vostra libertà di comunicare.
Al contrario della polizia noi vogliamo educarne cento per colpirne uno, quel genio che nella polizia postale ha pensato che copiare i dati di 2000 persone fosse una buona idea per ottenere un pugno di mosche.

***

[english version]

Police raid: shoot a thousand to hit none!

It happens, since notoriously police doesn’t know how to aim properly: shoot in the crowd, you might eventually hit your target. Exactly as when they run round-ups, bringing havoc to whole streets as they look for something that might not even exist. The Italian postal police has a bad habit of rummaging in hundreds or even thousands of people’s personal data just to fine one particular message. It has happened again with the server the A/I collective keeps in Norway: its disks have been entirely cloned for an investigation we still cannot know anything about. It is likely that A/I is not directly implied in this supposed enquiry, but whatever may be happening, our users’ data (which were mostly encrypted) have been acquired by someone who could at most show a warrant for one specific search. It is the principle of hitting hundreds of people to pinpoint one of them: and while they’re at it, seizing all data is too much of a temptation; after all if you won’t find what you are looking for, you’ll have a prize at least to show your police friends.
When such things happen in China or in Iran, crowds of privacy champions pour into the streets to protest against the “regime” spying on its citizens. But if it happens in front of them, they are distracted, perhaps due to the media hype on the petty scandals that haunt this petty country.

Such occurrences require us, all of us, to react quickly, learning to protect our privacy as well as protesting against electronic surveillance, which, clumsy as its claims may be, is in any case unjustified and repressive.

It is also interesting to note that there was no need for this operation: every time we have been asked for logs or information, we have always answered — it is not our fault, if the data they need do not exist or if they find them useless. Actually, we find this is one of our merits.
And we think it is also a merit that the R* Plan has allowed us to restore the services that were hit by this raid in no more than 24 hours: for 5 years now we have been telling our users that our aim is avoiding the destruction of our services, while in the meantime we have also realized and tried to tell everybody that each single user is responsible for her own privacy, which depends on your intelligence when you write and read and on your accuracy in never entrusting this fundamental aspect of your life to someone else. Apart from the mailing lists archives, our disks were encrypted, but now they have been copied, and with time no encryption system is unbreakable. So don’t delude yourselves in a false sense of safety.

Support the battle that we will launch as we did after the first crackdown on our server: spread the news we will publish, fight against any restriction to your freedom of communication.
Unlike the police, we want to educate hundreds to hit one — the genius at the postal police who thought that copying 2000 people’s data could be a good idea to find nothing at all.

[Version française]

La police frappe dans le tas: tirer sur une centaine pour éduquer un seul?

C’est la logique de ceux qui ne savent pas sur quel pied danser. Dans le doute, frappez dans le tas, peut-être que vous pussiez prendre aussi votre cible. Où la logique des rafles, dans lesquelles on chamboule des rues entières en cherchent quelque chose qu’il n y a pas. La police italienne a la mauvaise habitude de fouiller dans les données des centaines, des milliers, de personnes en cherchent peut-être soulement une e-mail. Ça c’est arrivé au serveur d’A/I en Norvège. Les hard disks ont été entièrement clonès pour une indagine de police dont n’ont dit encore rien. Meme si nous sommes pas impliqués directement dans une éventuel enquête, toujours est-il que les données de notres utilisateurs (dans la majorité des cas chiffrés) ont été en tout cas acquis par quelqu’un qu’avait le mandat tout au plus pour chercher une chose specifique.
Mais ça c’est la logique du “tirer sur une centaine pour éduquer un seul”: d’abord je me prend tous le donnés, en suite quand je ne trouve pas ce que je cherchais, au revoir et mercì.
Quand cettes choses se passent en Cine ou en Iran, voilà tout de suite des troupes d’heroes de la confidentialité en tonnent contre le “régime” qui surveille ses propres citoyens. S’il se passe sous leur nez ils se distraient en pensent peut-être aux rituels tribaux qu’on fait dans les étages supérieurs de notre pays.
Devant de tels épisodes, il faut réagir rapidement et de nombreux, en apprenant à protéger la confidentialité de nos données comme en protestant contre la surveillance électronique qui monte avec ses tentatives plus ou moins maladroites, mais également arbitraires et répressives.
Il est aussi intéressant de noter qu’il n’y avait absolument pas besoin de faire cette opération: chaque fois on a nous demandé des files logs où des informations nous avons toujour repondue; ce n’est pas notre faute si les informations qu’on cherche nous ne l’avons pas où si elles sont inutiles. Au maximum, nous considérons qu’il est un mérite. Comme nous considérons un mérite que dans les 24 heures le Plan R* a nous permis de reprendre tous les services fermés par le raid: depuis 5 années nous disons à tous nos membres que notre objectif est de prévenir que ce que nous offrons soit détruit. Nous avons aussi compris depuis longtemps et nous avons tenté de soulever votre conscience du fait que les gardiens de votre propre confidentialité est à vous, à votre intelligence dans ce que vous écrivez et lirez, à votre prévoyance de ne pas déléguer à quiconque cet aspect de votre vie. Notres hard disks (sauf les archives de les mailing lists) étaient chiffrés, mais avec un clonage et beaucoup de temps à perdre pas de système de cryptage est indéchiffrable. C’est à dire: ne pas bercez vous d’un faux sentiment de sécurité.

Soutenez le combat que nous entreprenons comme déjà fait à l’époque du première crackdown contre A/I, propagez ce que nous irons vous dire, continuez la lutte contre toutes les formes de limitation de votre liberté de communiquer.

(des révisions à cette traduction sont bienvenues!)

Oggi pomeriggio la polizia norvegese ha sequestrato per alcune ore il server che tenevamo in Norvegia e ha copiato tutti i dischi per una rogatoria internazionale proveniente dall’Italia. Molto probabilmente l’indagine riguarderà un singolo utente/sito/lista, ma questo non toglie che l’intero contenuto della macchina è stato copiato e che quindi, anche se in forma crittata, ora le vostre password non sono più in mani sicure. Per questo invitiamo caldamente tutti gli utenti di A/I (e non solo quelli che avevano la mailbox sul server norvegese) a cambiare la password della casella di posta e dell’FTP e a farlo fare a tutti quelli che sapete avere una mailbox e/o un sito con A/I.

Per cautela, abbiamo spostato su un’altra macchina tutte le caselle di posta che si trovavano sul server sequestrato: se non avevate scaricato la posta sul vostro computer e la vostra mailbox si trovava su Contumacia, ora la troverete vuota. Nei prossimi due o tre giorni recupereremo tutto il contenuto della vostra posta, ma speriamo che questo incidente serva a ricordarvi con più forza del solito che non è una buona idea lasciare i vostri archivi su un server che non potete controllare: anche se sui nostri server la posta è crittata, infatti, violare un codice di crittazione non è un’impresa da fantascienza.

Seguiranno presto aggiornamenti sulla questione.

***

Today the Norwegian police seized for some hours our server in Norway and copied all disks following a judiciary request from Italy. Although it’s highly likely that this investigation concerns just one user/website/mailing list, the whole content of the box was copied, so, even if in an encrypted form, your passwords are not in safe hands anymore. Therefore, we warmly invite all our users (not only those who had their mailbox in the Norwegian server) to change your mail and FTP password and to recommend to do so to anybody you may know who has a mailbox and/or website with A/I.

As a precaution, we have moved to a different server all mailboxes that were kept in the seized computer: if you had not downloaded your mail to your private computer and your mailbox was located in this box, now your archive will be empty. In the next few days we will recover the whole content of your mailboxes, but we hope that this accident can help remind you more than ever that it is not a good idea to leave your archives in a server you cannot control: even if in our disks mailboxes are encrypted, violating a cryptation code is not a science fiction scenario.

More updates will follow soon.

Dunque garantisce la navigazione via tor, di usare GPG per le mail crittate, offre un’interfaccia semplice per usare LUKS e poter crittare ad esempio pennette USB e conservare i dati in sicurezza eaddirittura quando spegnerete il pc su cui avete utilizzato T(A)ILS verra’ ripulita la RAM per evitare eventuali tentativi di analisi forense sul pc che avete utilizzato.

T(A)ILS la potete utilizzare installandola su una chiavetta USB o su un CD e avrete sempre con voi questo sistema operativo votato alla vostra privacy. che altro dire, provatela!

Per evitare che la tua vita venga profilata puoi fare due cose: cancellare i cookies ogni volta che chiudi il tuo browser oppure, se usi Firefox, installare GoogleSharing, un simpatico plugin facile da utilizzare, gratuito e open source che anonimizza qualunque uso dei servizi di Google che non richieda il log-in: ogni volta che usi Google, GoogleSharing devia la tua richiesta su un server separato, dove verrà raccolta assieme a quelle di tutti gli altri utenti prima di essere inoltrata a Google, che in questo modo non potrà capire da quale utente è arrivata la richiesta.

Per informazioni piu dettagliate sul suo funzionamento, si può visitare il sito del progetto, ma attenzione: se usate un server qualunque di GoogleSharing, potrete smettere di preoccuparvi per Google, ma dovrete riporre tutta la vostra fiducia in un altro progetto, perché nei server di GoogleSharing saranno conservati tutti i vostri dati personali. Per questo, vi consigliamo di seguire queste istruzioni per affidare le informazioni sulle vostre ricerche a un progetto autogestito, riseup.net

Come al solito, comunque, la prudenza non è mai troppa. Riseup è un collettivo fidato, ma anche nella loro webfarm un giorno potrebbe entrare una squadra di energumeni nerovestiti, armi alla mano e auricolare nell’orecchio. E allora neanche i nostri amici più cari potrebbero rifiutarsi di consegnargli le macchine che contengono tutti i segreti sulle nostre, e sulle vostre, vite. Per questo vi consigliamo di usare GoogleSharing con i server di riseup per limitare la profilazione da parte di Google, ma se contate sull’anonimato assoluto, è meglio se optate per TOR, o per i piccioni viaggiatori.

via xkcd