cavallette

Lo scorso sabato su radio blackout durante la trasmissione “il bit c’e’ o non c’e’ ?” ho avuto occasione di parlare di intercettazioni. Ne e’ uscita una chiaccherata piuttosto lunga, che potete trovare sul sito di radio blackout o su clashnet.org.

Durante la conversazione sono state citate diverse risorse e forse puo’ essere utile fornire i link corrispondenti. Ci sono poi alcune inesattezze che mi sono scappate, un po’ perche’ la puntata era densa e oltre a scomparire piano piano la voce, mi si incrociavano gli occhi, dopo un po’. Infine confesso che non mi ero preparato molto, a parte un foglietto scritto piccolo piccolo, che alla fine non mi riusciva di leggere e quindi andavo a braccio sui ricordi di cose sentite qui e la’.

Link

Questo libro e’ piuttosto interessante, Giovanni Nazzaro, Le intercettazioni sulle reti cellulari. Cercatelo in biblioteca o in giro come ebook. Wikipedia sull’Imei

Scandalo telecom 2006

Audizione commissione parlamentare sulle intercettazioni a seguito dello scandalo telecom

Il caso Diginotar – h.online

Anche questa vicenda che coinvolge la Trustwave e’ interssante

Imperial Violet: un blog molto interessante sulle questioni del Tls/ssl

Mitm con certificato fake utilizzando dnsspoof e webmitm. Dsniff

Mallory, Transparent TCP and UDP Proxy

Mitmproxy, proxy per mitm che genera il certificato al volo, prendendo i dati dal certificato ssl vero. Cambia la ca naturalmente

Phrack sulla deniability nel protocollo Otr

Malware su wikipedia

White paper su malware e il bouncer del market di android alla Blackhat conference

Which Side Are You On in the Hacker Class War ?

Errata Corrige

Ad un certo punto inizio a fare confusione parlando di mitm su Tls/ssl mi parte il cervello e inizio a confondere i termini. Inizio a fare un discorso che non c’entra un cazzo con il problema delle CA e parlo di redirezione del traffico, poi mi riprendo e torno sul tema. Parlando della Diginotar localizzo, non so perche’ il problema, sull’Iran, in realta’ una volta presi i certificati sono buoni da usare dappertutto. Non so perche’ mi ero fissato sull’Iran. La prima parte finisce con un accenno agli smartphone che poi non riprendiamo in questo senso. Dicendo facile avevo in mente sostanzialmente una roba tipo karmetasploit. Parlando dell’otr mi incasino un po’ nello spiegare la deniability, facevo riferimento a questo, potete prendere il testo integrale da http://www.cypherpunks.ca/otr

The last desirable feature that was put into OTR was deniability. So far, the protocol ensures that only Bob can read Alice’s messages, but we have not discussed the situation where Bob attempts to prove the contents of the conversation to a third party. First of all, simply by using symmetric encryption and HMAC, OTR guar antees that all proper messages were generated by someone who knew the secret key; that is, either Alice or Bob. On its own, this prevents Bob from proving anything, as he could simply have pro duced all of the messages himself. However, OTR goes beyond this.
The specific encryption scheme used is AES in counter mode, which is a stream cipher. This means that an adversary may alter a bit of a ciphertext to cause a corresponding change to that bit in the plaintext. Also, after a key is deleted, the corresponding MAC key is published. This means that after the fact, anyone could alter a ciphertext to be anything they wished and then generate a valid MAC for it. This expands the deniability of Alice’s messages; as soon as a MAC key is published, any message using that key could have been generated not only by either Alice or Bob, but also by anyone casually observing their communication. Any link between Alice and the messages she sends under OTR is thus broken.

Inoltre parlo a lungo sulla questione delle domande reciproche, in realta’ avrei dovuto parlare del problema dei milionari socialisti, che e’ la soluzione di Otr al problema dell’autenticazione. Le domande sono solo uno stratagemma per avere qualcosa da confrontare. Pero’ iniziavo a essere un po’ cotto. Per capire perche’ hanno scelto le due domande e’ interessante questo studio sempre pubblicato su cypherpunk.ca. Ad un certo punto dico seven al posto di seventeen in relazione al bug di Microsoft trascinato avanti per 17 anni. Due volte cito phrack, la prima dico l’indirizzo giusto, la seconda sbaglio e dico .com, al posto di .org

Giovedì 16 agosto siamo stati obbligati a rimuovere un post di un blog di noblogs in seguito a un decreto di sequestro ai sensi dell’art. 321 c.p.p.

Il post in questione era ospitato dal blog “Fratello Illuminato” (http://shamael.noblogs.org) ed era una storiella un po’ confusa a proposito di un giudice e della contea dei Seni. Se lo avessimo letto senza avere sotto mano il decreto di sequestro non avremmo mai capito che la storiella si riferiva (così sostengono chi ha disposto la querela e il GIP) a uno specifico giudice del lavoro di Siena e a sue supposte malefatte. E siamo purtroppo convinti che se non ci fosse stato di mezzo una piccola cittadina di provincia e un notabile del paese, la solerte richiesta sarebbe stata infilata in fondo alla cima di atti che un GIP deve vagliare con un sorriso.

Perché la storiella del post (che penso potrete trovare in giro cercando “Storia di un giudice del lavoro e Marco Porcio CATONE noblogs” sulla cache di google per esempio) è veramente ridicola, e se colui che si ritiene il diretto interessato avesse lasciato perdere nessuno se ne ricorderebbe a distanza di più di un anno dalla sua pubblicazione.

Cosi’ invece rientrera’ nel novero dei casi di quotidiana censura in rete: grande o piccola che sia, per noi rappresenta sempre un problema, perche’ ogni cedimento in questo senso contribuisce a creare dei precedenti e un clima sfavorevole alla liberta’ di comunicare. In ogni modo possibile, anche con stupide storielle satiriche.

Con A/I tentiamo di preservare la riservatezza degli utenti, non registrando nei log indirizzi IP né altre informazioni, né tantomeno la corrispondenza tra identità anagrafiche e servizi che offriamo. Purtroppo però non possiamo molto di fronte a un decreto di un magistrato che ci ingiunge di oscurare un post (e per fortuna si è limitato a questo, in altre occasioni qualcuno aveva avuto la bella pensata di oscurare interi domini o sequestrare interi server per una stupidaggine del genere).

Nel frattempo se qualcuno avesse voglia di diffondere la storiella in questione noi non potremmo certo opporci preventivamente, e toccherebbe al nostro ipersensibile giudice del lavoro senese correre ai ripari.

Finisce l’estate e ricominciano le presentazioni del libro sui nostri primi dieci anni di storia. Il collettivo A/I si presenta alla festa di Radio Onda d’Urto in quel di Brescia. Vi aspettiamo belli sudati mercoledì 22 agosto alle ore 20.00!

Oggi siamo rimasti temporaneamente senza il dominio anche.no, stiamo indagando il problema con il registar norvegese, sembra che il problema sia questo:
http://www.norid.no/nytt/databasevask.en.html
Ci dispiace per il disagio causato ai nostri compagni @anche.no. Presto seguiranno aggiornamenti.

today we’ve been temporarily without our domain anche.no, we are investigating the problem with the norwegian registar, it look like we are facing this issue:
http://www.norid.no/nytt/databasevask.en.html
We are sorry for the discomfort to our mates @anche.no. We’ll keep you update as soon as possible.

Aggiornamento rapido: domani alle 9 del mattino sara’ di nuovo disponibile.
Quick update: the domain will be available by tomorrow at 9 am.

Pubblichiamo qualche link sul progetto crypto.cat e le discussioni relative in rete.

http://paranoia.dubfire.net/2012/07/tech-journalists-stop-hyping-unproven.html

Un articolo in cui piu’ che del progetto crypto.cat si parla di come venga trattato in maniera superficiale la questione dai media mainstream, in cerca di storie avvincenti da dare in pasto a un pubblico distratto

Questo di seguito e’ invece un post al quale ha risposto nei commenti nadim kobeissi, l’autore di crypto.cat.

http://thedod.noblogs.org/post/2012/08/04/what-ive-learned-from-cryptocat/

potete leggere il commento anche dal sito di kobeissi

Infine se siete interessati alle questioni tecniche relative allo sviluppo di crypto.cat potete seguire la discussione su github, dove risiede il repository del software

https://github.com/kaepora/cryptocat/issues

Nel commento di nadim si cita anche questo progetto che sembra a prima vista interessante http://www.w3.org/2012/webcrypto/

Grazie a tutti quelli che ci hanno segnalato alcuni problemi di visualizzazione nell’ebook, di +Kaos 10 anni di hacking e mediattivismo abbiamo realizzato una nuova e più figa versione. Scaricatevela!

• La versione in ePub del libro: Scaricatela qui!
• La versione in mobi del libro: Scaricatela qui!

Su cryptome.org e’ apparso un contributo dal Cile, che descrive i metodi di intercettazioni utilizzati in una grossa inchiesta che ha coinvolto piu’ di 200 persone e portato all’arresto di 14 attivisti, liberati solo quest’anno, senza piu’ accuse a loro carico, nel frattempo pero’ hanno fatto due anni di carcere.
L’articolo merita di essere letto

http://cryptome.org/2012/07/chile-comments.htm

La descrizione degli strumenti di indagine disegna una parabola ascedente in relazione al web.

Il materiale citato fino al 2010 comprende trascrizioni di telefonate e di chat su msn, screenshot di sessioni web ottenute da file temporanei recuperati dall’indagine forense, screenshot di account gmail crackati, un’analisi superficiale di alcuni siti frequentati dagli indagati, tra i quali nodo50.org, indymedia.org, riseup.org. In ultimo chat con Otr e mail cifrate con Gpg, che compaiono pero’ cifrate.
Dal 2010 fino ad oggi si nota una maggiore attenzione al web. Trascrizioni di chat su crypto.cat, accesso a piu’ di 20 account su gmail e altri su facebook, ancora chat con Otr e mail con Gpg, con annessa richiesta di aiuto all’Fbi per la decifratura. Un’analisi piu’ approfondita dei servizi di media “alternativi” utilizzati dagli indagati. C’e’ un analisi piuttosto approfondita di riseup.net.

Nel comunicato si ipotizza che le trascrizioni di chat su crypto.cat siano state possibili o attraverso la violazione fisica del server in un’azione simile a quello della nostra vicenda con aruba. Oppure attraverso qualche malware installato sul computer degli indagati, oppure in log recuperati da qualche sequestro. Noi crediamo che la versione malware sia la piu’ probabile in verita’.
Se non sapete cosa sia un malware potete leggerlo su wikipedia, in attesa di un prossimo articolo su cavallette, nel quale dettaglieremo la questione con tanti link. In questo caldo agosto dedicheremo inoltre diversi articoli sul tema e stiamo preparando una newsletter a riguardo per settembre.
L’utilizzo di malware a fine di indagini di polizia emerge infatti in diversi paesi. italia compresa.
L’intrusivita di questi sistemi dovrebbe quantomeno essere oggeto di dibattito pubblico, e non passare come una naturale estensione delle gia’ sufficientemente inquietanti e problematiche intercettazioni ambientali.

Intanto crypto.cat in questi giorni sta per approdare alla versione 2.0 del proprio progetto di cui potete leggere piu’ diffusamete qui

https://blog.crypto.cat/2012/07/cryptocat-2-deployment-notes/

reportage su rainews24: hope conference di ny, 22 min.

http://www.rainews24.it/it/video.php?id=28881

contiene:
nona edizione di HOPE (Hackers On Planet Earth) conference tenuta a NY: Emmanuel Goldstein 2600, l’ex direttore della NSA William Binney
ora informatore parla delle intercettazioni totali, gli Yesmen e
l’hacking dei media (portavoce Dow Chemical sulla strage di Bophal alla BBC), Tim Pool livestreamer di Occupy e l’hack-tive-journalism, Cryptome e Wikileaks e il caso Bradley Manning, la Electronic Frontier Foundation che difende dal punto di vista legale i diritti in rete, la Free Sofware Foundation che supporta il diritto al software libero, gli oggetti “privacy enhanced” come un portafoglio che scherma gli RFID (trasmettitori radio contenuti nelle carte di credito e nei biglietti bancari), il TvBGone telecomando universale, le questioni di genere nella comunita’ hacker, ingegneria sociale. A un certo punto arrivano i russi.

Traferito il 24 luglio Alberto, uno degli imputati condannati per i fatti di Genova 2001 , dal carcere di Rebibbia a quello di Capanne a Perugia. Nessuno era stato informato, solo oggi è arrivato un telegramma da parte sua, che annunciava dell’avvenuto trasferimento.

Per scrivergli :
Alberto Funaro
Casa Circondariale Capanne
Via Pievaiola 252
06132 Perugia

Riproponiamo qui l’articolo di wu ming con un consiglio: in molte citta’ nelle arene di cinema estive stanno proiettando Diaz, stampate il testo e andate a distribuirlo alle proiezioni. Noi lo stiamo facendo, lo stile del testo si presta, le persone sono interessate.

Genova 2001 e la sentenza 10×100 | Orizzonti di gloria

E’ chiaro che stanotte non c’è nessuna gloria. E domattina nessun orizzonte. Era antifrastico anche il titolo del film di Stanley Kubrick, uno dei più belli contro l’ottusità antiumana del militarismo. La trama è nota: durante la Prima Guerra mondiale, sul fronte occidentale, un inetto generale francese lancia un impossibile attacco contro una fortificazione tedesca. Le truppe francesi non riescono nemmeno a uscire dalle trincee, vengono falciate dalle mitragliatrici, ricacciate indietro. L’attacco è una catastrofe colossale. Per non passare da incapace, il generale addossa la colpa alla codardia dei suoi soldati e chiede che ne vengano fucilati cento, estratti a sorte. L’Alto Comando gliene concede tre. Tre capri espiatori, che pagheranno per tutti, anche se la colpa non è di nessuno, o meglio, è di chi stava in alto. Di chi ha voluto quella guerra.

La giustizia italiana, stasera, non è diversa da quella militare nel film di Kubrick (che si ispirava a un fatto realmente accaduto). Anche lì c’era un bravo avvocato difensore, che veniva sconfitto da una sentenza grottesca, quasi caricaturale per la sua assurdità.
La giustizia italiana ha deciso che cinque persone pagheranno per tutti. Altre cinque potrebbero aggiungersi. E così si ottiene il pari e patta politico con la sentenza sull’assalto alle scuole Diaz. Poco importa che le condanne dei poliziotti riguardino il pestaggio e il massacro preordinato di persone, per di più indifese, mentre quelle dei manifestanti siano motivate dalla distruzione di cose, di oggetti inanimati, in mezzo al caos generalizzato. Qualcuno di loro si becca dieci anni di galera.

Dieci anni. Quasi lo stesso tempo che è intercorso da allora. Nel frattempo le vite di quelle persone sono diventate chissà cos’altro rispetto a quei giorni. Nel frattempo i danni materiali alle cose sono stati riparati, le assicurazioni hanno risarcito, il mondo è cambiato. Nel frattempo sono scorse in loop su ogni canale di comunicazione, fino a diventare parte dell’immaginario collettivo, le immagini di cosa è stata Genova in quei giorni, del comportamento delle forze dell’ordine, del clima che si era creato. Nel frattempo sul G8 di Genova sono stati girati documentari e film, pubblicate decine di libri, scritti fiumi d’inchiostro. E dopo tutto questo, deve arrivare la sentenza che pretende di fare pagare il conto a dieci persone, metaforicamente estratte a sorte dal destino, per via di un filmato piuttosto che di un altro, di una foto scattata un secondo prima anziché un secondo dopo. I tre soldati del film di Kubrick.

Io ero a Genova nel luglio di undici anni fa. Ero dietro la prima fila di scudi di plexiglass in via Tolemaide, quando il corteo è stato caricato a freddo e asfissiato col gas, in un tratto di percorso autorizzato. Con alle spalle diecimila persone non era possibile arretrare, e l’unica soluzione per salvarci e impedire che la gente venisse schiacciata è stata respingere le cariche come si poteva, e alla fine, dopo il disastro, dopo la battaglia, dopo la morte, proteggere la coda del corteo che tornava indietro sotto i getti degli idranti. E c’ero anche il giorno dopo, insieme a tanti altri, a inerpicarci su per stradine e sentieri con gli elicotteri sulla testa, fino sopra la città, per riportare tutti alla base.

Io avrei potuto essere uno di loro. Uno di questi fanti estratti a sorte. Invece sono qui che scrivo, nel cuore della notte, incapace di dormire, già sapendo che domani andrà meglio, che dormirò di più, e che piano piano potrò concedermi il lusso di ridurre tutto a un brutto ricordo lontano. Loro no. Le vite che hanno condotto in questi undici anni si interrompono e Genova ricomincia da capo.

Questo paese fa la fine che si merita. A Genova nel 2001 manifestavamo contro il potere oligarchico dei grandi organismi economici internazionali. Pensavamo soprattutto alle fallimentari cure neoliberiste che il FMI imponeva ai paesi più poveri, devastando le loro economie col ricatto e strozzandoli col meccanismo del debito. Oggi quella cura tocca a noi. In Italia comandano i commissari non eletti della Banca Centrale Europea, e applicano la stessa ricetta a base di tagli alla spesa pubblica, il cui scopo in definitiva si riduce a un enunciato semplice: salvare i ricchi.

Avevamo ragione.
Abbiamo perso.
Il nemico si tiene gli ostaggi.

Fino a quando la marea non monterà un’altra volta.

Genova non finisce. Non per ieri, ma per oggi e domani.

L’accanimento, si sa, non conosce fine.
Quello genovese dura da undici anni.
Undici anni e poi quello che si vorrebbe fosse l’atto risolutivo: la sentenza di condanna definitiva inflitta dalla Corte di Cassazione a dieci manifestanti. Una decisione emessa in un momento tutto particolare: mentre il modello neoliberista esplode nella più lunga crisi economica degli ultimi 40 anni e in tutta Europa si restringono gli spazi dei diritti conquistati e le espressione del conflitto.

I reati di “devastazione e saccheggio” li ereditiamo dal codice penale fascista ancora in vigore, un abominio giuridico utilizzato in maniera del tutto discrezionale e “politica” per infliggere condanne esemplari.
Condanne che qualcuno doveva prendersi la briga di spiegare: in cosa, esattamente, sarebbero consistiti “devastazione e saccheggio”, e perché sarebbero stati causati proprio da quelle dieci persone, tra le centinaia di migliaia che erano a Genova? Non si è risparmiato il Procuratore Generale Gaeta, sostenendo nella sua requisitoria che, questi reati di derivazione fascista sono da reinterpretare in funzione repubblicana, legata alla necessità di tutelare la libertà di pensiero e di manifestare.

Ricordiamo bene, come questo stato e le sue “forze dell’ordine” tutelarono la libertà di manifestare durante il G8 del 2001, quando si determinò “la più grave sospensione dei diritti democratici dal secondo dopoguerra in un paese occidentale”. Ricordiamo la devastazione dei corpi e del pensiero prodotti dalla militarizzazione di una città intera, dalle informative deviate, le frontiere chiuse, le cariche feroci, gli spari, i gas cs, gli arresti arbitrari, le torture, i pestaggi, le falsificazioni e gli insabbiamenti.
Ricordiamo il saccheggio della vita di un ragazzo e la devastazione del suo corpo dopo la morte.

Su tutto questo, a undici anni di distanza l’autorità giudiziaria italiana ha pronunciato la sua verità: a Genova ci fu una repressione brutale e indiscriminata verso chi manifestava ma, non ci sono responsabilità politiche, ha pagato una parte della truppa ed una parte dei suoi comandanti sul campo. Il capo della polizia dell’epoca è stato nominato sottosegretario di questo governo e difende, pubblicamente, i suoi pretoriani. I manifestanti entrano in carcere.

Non ci aspettavamo niente di buono da questa sentenza.
Eppure, di fondo, restava la voglia di pensare che la realtà, a volte, sa anche sorprendere.
Ma la realtà di oggi è che almeno quattro dei dieci condannati sono destinati al carcere.
Sulla loro pelle si manda un segnale a tutti e a tutte: d’ora in poi, basterà osservare qualcun rompere una vetrina per prendersi dai 6 anni in su. Se poi si aiuta a romperla, gli anni sono almeno dieci.
Dopo questa sentenza, possiamo dire che le vetrine hanno vinto sulle persone.
Inoltre il messaggio è inequivocabile: non provate a scendere in piazza o a manifestare nelle strade, tutti e tutte a casa a subire la crisi senza fare storie.

La campagna 10×100 si è sviluppata su dieci persone e il loro destino ma pensiamo sia riuscita anche a produrre dei risultati politici. Non solo con la raccolta di tante firme ma anche informando una opinione pubblica fino ad oggi per la maggior parte all’oscuro dell’esistenza di questo reato e di come si stava chiudendo Genova2001. Un dibattito si è acceso anche sui media mainstream.
Ma la campagna non finisce qui. In un certo senso inizia ora.
Non solo perché vogliamo continuare a contribuire ad aprire ambiti di discussioni di libertà ma anche perché bisogna continuare a portare solidarietà a chi oggi si trova in carcere.

L’urgenza ora è proprio non lasciarli soli e sole.
Genova non finisce. Il sipario non si cala.

Per mandare lettere e telegrammi a Marina.

Marina Cugnaschi c/o Casa Circondariale San Vittore
Piazza Filangieri 2 – 20123 Milano

Per Fagiolino

Alberto Funaro c/o Rebibbia Nuovo Complesso
Via Raffaele Majetti 70 – 00156 Roma