cavallette

UPDATE 8/06/2019

Status of the services…?  better, thanks! | Stato dei servizi…? stanno meglio, grazie!

• Accounts > OK at https://accounts.autistici.org
• Mail > OK
• Mail by onion service > still down, we are working on it
• Siti web > OK
• Noblogs > OK
• Mailing list > OK
• Newsletter > OK
• Helpdesk > still down, we are working on it
• Service (for new request) > still close
• Mufdh0/ IRC > OK
• Anonimous Remailer > OK
• Nym server > OK

2/06/2019

After the migration to the new infrastructure, the newsletter service, some websites, and the helpdesk page are still down. The buttons in the user panel to reset mysql and lists passwords also don’t work. We’ll fix everything within some days, prioritizing the newsletters.

Dopo la migrazione alla nuova infrastruttura, le newsletter, alcuni siti e l’helpdesk sono ancora giù. Anche i pulsanti per cambiare la password di mysql e delle liste hanno ancora dei problemi. Sistemeremo tutto nell’arco di qualche giorno, dando priorità alle newsletter.

Se siete a Berlino o dintorni, non perdetevi il benefit techno queerfemminista per A/I che si terrà il 16 marzo a partire dalle 22.

If you are in Berlin or surroundings, don’t miss the queerfeminist techno soli-party in support of A/I on the 16 March starting from 10pm.

(altro…)

BENVENUT* NEL 2018
ovvero: del conseguimento della maggiore età

CAMPAGNA DONAZIONI 2018

English version below

Versión en Español más abajo

Come da tradizione, ecco la nostra mail dell’inizio dell’anno, il diciassettesimo nella storia di A/I.

Come possiamo ricordare dalla nostra adolescenza, o come molte di noi possono vedere nella loro esperienza con le nuove generazioni, il diciassettesimo anno è un anno importante. Un anno in cui si cominciano a tirare le somme di quel che si è visto, letto, pensato, e a prendere decisioni per la vita adulta.

Per Autistici/Inventati non è molto diverso: già da qualche anno ci eravamo rese conto che qualcosa stava cambiando. Nella nostra immagine riflessa vedevamo cambiamenti notevoli, eppure dentro di noi c’era confusione, subbuglio. Cominciavamo ad abbozzare qualche idea su cosa volevamo fare da grandi, ma non eravamo ancora arrivate al punto di elaborare una vera e propria strategia.

Poi a settembre del nostro sedicesimo anno, solo qualche mese fa, abbiamo capito che il nostro modello di rischio era cambiato da un pezzo e non ne avevamo tratto abbastanza tempestivamente le necessarie conseguenze. I problemi li conoscevamo, a settembre abbiamo capito che quella conoscenza andava applicata a un nuovo piano quinquennale – un piano quinquennale non solo per l’infrastruttura tecnica, ma anche per quella burocratico-legale.

Oltre a una revisione di tutta la rete A/I, che prevede tra l’altro l’isolamento dei singoli servizi e una messa in sicurezza generale dell’infrastruttura, abbiamo deciso di rendere più sicura anche la nostra situazione giuridica, passando da un’associazione culturale semplice a un’associazione riconosciuta.

Questa mossa servirà a garantire l’associazione (e i suoi membri) da conseguenze legali potenzialmente devastanti e a rendere A/I più resistente alla sfiga nel lungo periodo.

Ma questa mossa costa un sacco di denaro, e per realizzarla abbiamo bisogno di te più che mai.

Aiutaci a mettere in sicurezza le tue comunicazioni: mandaci una donazione, anche minima, per sostenerci nel nostro passaggio all’età adulta!

In questa pagina trovi tutte le informazioni che ti servono per inviarci una donazione.

(altro…)

Nell’ambito della reinstallazione e della messa in sicurezza dell’infrastruttura, abbiamo deciso di generare una nuova chiave GPG, non perché quella precedente fosse palesemente compromessa, ma perché stiamo procedendo con la massima cautela possibile dopo quanto abbiamo scoperto.

La nuova chiave GPG che useremo d’ora in poi è questa. Potete scaricarla anche dai keyserver, per esempio qui.

While reinstalling and securing our infrastructure, we have decided to generate a new GPG key. The key had not been clearly compromised, but we wanted to be as cautious as possible after the breach in our servers.

From now on, the GPG key we will use is this. You can also download it from the keyservers, for example here.

Segui il nostro tweet per aggiornamenti sulla reinstallazione dell’infrastruttura

Read our updates on Twitter for news on the reinstallation of our infrastructure

[English version below]
[Versión en Español mas abajo]
[Portuguese]

Ieri, giovedì 14 settembre, abbiamo scoperto che qualche giorno fa un account di amministratore è stato compromesso. Appena ce ne siamo resi conto, abbiamo cominciato immediatamente a lavorare per risolvere il problema. Abbiamo già realizzato le mitigazioni necessarie e siamo riusciti nuovamente a rimettere tutto in sicurezza. Sono ancora in corso analisi dei log e la reinstallazione dell’infrastruttura.

Stiamo analizzando i dettagli della situazione per sapere esattamente che cosa è successo. Data la natura dell’intrusione, potenzialmente tutti i dati degli utenti sono stati accessibili agli intrusi, ma al momento non abbiamo prove del fatto che siano state toccate delle caselle di posta.

Come misura di sicurezza minima, dovresti cambiare tutte le tue password e le domande di recupero dei tuoi account (email, webdav, lista di email e newsletter, noblogs.org). Ti consigliamo di usare una password forte.

Inoltre raccomandiamo sempre caldamente, se ancora non lo hai ancora fatto, di attivare l’autenticazione a due fattori (2FA) per tenere il tuo account più al sicuro.

Nel caso l’autenticazione 2FA fosse già stata abilitata, dovrai resettarla, disattivandola e riattivandola.

Se ne hai la possibilità, scarica sempre i messaggi di posta sul tuo computer, conservandoli con la dovuta cautela, invece di lasciarli sui nostri server. Inoltre per maggior sicurezza ricorda sempre di crittografare le tue comunicazioni:

* email
* chat

[English version]

Yesterday, on Thursday 14 September, we found out that a few days ago an admin account had been compromised. As soon as we spotted this intrusion, we immediately got to work for solving the problem. We have already taken the necessary mitigation measures and have secured the machines. We are still analyzing logs and reinstalling the infrastructure.

We are examining the details of the situation to figure out what happened exactly. Given the nature of this intrusion, all users’ data might have potentially been accessed by the intruders, but so far we have found no evidence that someone touched the mailboxes.

As a minimum security requirement, you should change all your passwords and the recovery questions for your accounts (email, webdav, mailing lists and newsletters, noblogs.org). We recommend to create strong passwords for this.

We also strongly suggest, if you haven’t done so already, to activate 2-factor authentication to secure the access to your account.

If you have already enabled 2-factor authentication, you should reset that too, by deactivating it and activating it again.

If you can, always download your email messages to your personal computer, storing them with care, instead of keeping them in our servers. Also, remember to secure your communications by encrypting them:

* email
* chat

[Español]

Ayer, jueves 14 de Septiembre, hemos descubierto hace unos días que una cuenta de administración de nuestra infraestructura había sido violada. En cuanto nos hemos dado cuenta hemos empezado a trabajar para resolver el problema. Hemos tomados las medidas de mitigación necesarias y hemos puesto en seguridad las maquinas. Estamos todavía analizando los logs y reinstalando la infraestructura.

Estamos también examinando los detalles de la situación para averiguar lo que ha ocurrido. Dada la naturaleza de la violación, los intrusos han tenido acceso a todos los datos de los usuarios, pero en este momento no tenemos pruebas de que hayan tocado las cuentas de correo.

Como medida mínima de seguridad, tienes que cambiar las contraseñas y las preguntas de seguridad de todas tus cuentas (email, webdav, listas de correo y newsletters, noblogs.org). Te recomendamos de crear contraseñas fuertes.

También te recomendamos, si no lo has hecho todavía, activar la autenticación de dos factores (2FA).

Si ya tenias la autenticación de dos factores habilitada, tendrás que resetearla, deshabilitandola y volviendo a habilitarla.

Si puedes, descargate siempre los mensajes de tu correo en tu ordenador personal, y guardalos con cuidado, en vez de dejarlos en nuestros servidores. También recuérdate de cifrar tus comunicaciones:

* correo
* chat

[Portuguese]

No dia 14 de Setembro, descobrimos depois de alguns dias que uma conta de administração da nossa infraestrutura foi violada.
Na hora que descobrimos isso, começamos imediatamente e trabalhar para resolver o problema. Já realizamos as mitigações necessárias e conseguimos assegurar novamente las maquinas

Estamos analisando os detalhes da situação para saber exatamente o que aconteceu. Considerando a naturaleza de la violação, os intrusos tiveram acesso a todos os dados de usuários, mas nesse momento não temos prova que tocaram as contas de email.

Como medida minima de segurança, tem que mudar sua senhas e suas perguntas de seguridade de todas suas contas (email, webdav, listas, newsletter, noblogs.org). Recomendamos usar senhas forte.

Também recomendamos, se ainda você não está ativo, ativar a autenticação 2FA

Se você já tem 2FA habilitada, você precisa reconfigurá-la, desativando e reativando a mesma.

Se pode, baixa sempre suas emails no seu computador, e guardá-las com cuidado, em lugar de manter as email dentro do nossos servidores. Também lembra-se de criptografar suas comunicações:

Para maior segurança lembra sempre de encriptar suas comunicações:

* email
* bate-papo

[English version below]

Con grande gioia vi annunciamo un altro passo avanti negli strumenti che mettiamo a disposizione per una comunicazione libera e autonoma.

tl;dr: grazie a Let’s Encrypt la CA non serve più!

… che poi vorrebbe dire: avete presenti quei messaggi inquietanti che vi mandava il vostro browser quando aprivate le pagine di A/I e di Noblogs? Be’, quella storia è finita! Ora potete andare a festeggiare, oppure continuare a leggere le nostre spiegazioni più sotto (noi vi raccomandiamo la seconda opzione…). Ma soprattutto ricordate: se continuate a ricevere messaggi inquietanti, stavolta vale la pena di preoccuparsi.

Come sapete, i nostri servizi online supportano – o in certi casi richiedono – l’uso di SSL, un sistema crittografico basato sulla distribuzione di certificati che garantiscono una connessione sicura ai vari server. L’integrità di questi certificati è fondamentale e non abbiamo mai accettato di partecipare al sistema di distribuzione commerciale dei certificati SSL; questo avrebbe significato mettere il rapporto di fiducia tra noi e i nostri utenti nelle mani di soggetti di cui non ci si può fidare: stati, forze “dell’ordine”, aziende il cui solo fine è il profitto.
Perciò finora abbiamo gestito la cosa autonomamente con una nostra Autorità di Certificazione (CA). Il rovescio della medaglia era la necessità – per i nostri utenti, ma anche per i semplici visitatori dei siti web – di seguire una procedura un po’ complicata per installare il certificato della nostra CA.

Non siamo mai state completamente contente di questa situazione, perché crediamo che per risultare efficace la crittografia debba essere utilizzabile senza difficoltà. Da questo punto di vista, il progetto Let’s Encrypt è un’importante risorsa per chiunque usi internet, ma il beneficio per noi e voi è ancora maggiore, perché l’utilizzo di SSL con i server di A/I ora diventa più semplice.

Cosa cambia nella pratica?

• La nostra CA e la procedura di installazione del suo certificato scompaiono.
• I certificati SSL dei domini di A/I sono ora firmati dalla CA di Let’s Encrypt.
• … e soprattutto il certificato della CA di Let’s Encrypt è già installato nel browser che state usando: Non serve quindi fare nient’altro per poter navigare correttamente sui nostri siti web via HTTPS o per stabilire una connessione sicura con i nostri server di posta.
• L’unica cosa che vi raccomandiamo di fare è di controllare che i vostri
  client siano tutti configurati per non accettare certificati SSL non validi
  (come per esempio consigliavamo di fare per Xchat).

Troverete informazioni aggiornate nella pagina di documentazione specifica su SSL.

[English version]

We have some good news about the tools for a free and autonomous communication we provide you with.

tl;dr: thanks to Let’s Encrypt our CA has become useless!
(altro…)

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

1. Accedi al tuo pannello utente.
2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

• La 2FA è per la webmail: per il resto dovrai generare una password specifica.
  Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
• Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
  1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
  2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
• Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

(altro…)

[IT] Un rapido aggiornamento tecnico su CVE-2014-0160: abbiamo appena rigenerato tutti i certificati SSL dei nostri servizi.  Notare che il certificato della CA e’ rimasto lo stesso.

[EN] A quick technical update on CVE-2014-0160: we have just created new SSL certificates for all our services. Note that the CA certificate stays the same.

[IT] Durante questo weekend faremo un intervento di manutenzione su NoBlogs.org, durante il quale alcuni blog a rotazione saranno temporaneamente in modalita’ sola lettura (non si potranno caricare allegati o creare nuovi post).

Aggiornamento 17/11 11:00 La manutenzione è conclusa; se avete ancora problemi con il vostro blog, per favore apriteci una segnalazione.

[EN] This weekend we’ll be performing some maintenance on NoBlogs.org, during which some blogs will be temporarily read-only (you won’t be able to upload content or create new posts).

Update 17/11 10:00 A< Maintenance is over; if you are still experiencing problems please report them here.

Stiamo avendo alcuni problemi con un server, alcuni blog, siti e caselle di posta potrebbero risultare a tratti non disponibili nel resto della giornata di oggi.

UPDATE: Tutto pare risolto.

We’re having some trouble with one of our servers, some blogs, websites and mailboxes might be temporarily unavailable for the rest of the day.

UPDATE: Everything should be back to normal.