Archive for the ‘Avvisi’ Category

Mail ricattatorie / Ransom mails

giovedì, agosto 9th, 2018

[ITA]

In questi giorni diversi nostri utenti hanno ricevuto una mail in cui veniva riportata una password (spesso corretta) usata dagli utenti stessi su altri servizi.

Il messaggio millanta una presunta intrusione sul PC dell’utente e l’acquisizione di video dalla webcam, con la conseguente richiesta di riscatto in bitcoin pena il disvelamento ai vostri contatti delle vostre attività onanistiche.
Si tratta di una campagna in atto da tempo che usa password rivelate in vecchie compromissioni di servizi poi diventate pubbliche.

Intanto non si tratta di una compromissione dei nostri servizi, né di una conseguenza del problema che abbiamo avuto lo scorso autunno, bensì di altri servizi su cui vi siete registrati con il vostro indirizzo di posta su A/I.

Non vi sono entrati nel PC (anche se comunque tenere un adesivo sulla webcam quando non è in uso è comunque cosa buona e giusta).

Se usate la stessa password sia su servizi esterni al nostro che per la mailbox su A/I, allora questo può essere un grosso problema. In generale, riutilizzare le stesse password è una cosa fortemente sconsigliabile, e vi consigliamo di cambiarla subito con una password unica per ogni servizio.

Se la password che avete ricevuto nella mail ricattatoria è una vecchia password che non usate più, potete tranquillamente ignorare il messaggio. Se la password che avete ricevuto è una password che usate ancora, andate sul sito (o sui siti…) dove la state usando e cambiatela subito.

Per creare nuove password sicure, potete seguire queste istruzioni.

Ovviamente ignorate la richiesta di soldi: tutto questo è comunque solo una truffa.

Se volete ricevere delle notifiche nel caso in cui il vostro indirizzo compaia in qualche nuovo leak di password, potete controllare su questo sito. (Se avete ricevuto la mail in questione, il vostro indirizzo risulterà sicuramente già positivo al controllo).

[ENG]

In the past few days several A/I users have received emails containing a password (often the real one) that they had used or were using on other platforms. (altro…)

Le password, che fastidio / Passwords are a nuisance

domenica, aprile 1st, 2018

[ENGLISH VERSION BELOW]

I problemi di sicurezza emersi lo scorso settembre ci hanno spinto a rivalutare il valore delle password.

È inutile nasconderselo, le password sono qualcosa che geneticamente non ci appartiene.

Spesso, quando compare un form da compilare con una password da inserire, ci capita di volgere lo sguardo al cielo mentre le sinapsi non trovano le giuste connessioni per ricordarci quella stramaledetta sequenza di caratteri alfanumerici.

Una soluzione utilizzata è quella – non molto accorta, in verità – di riutilizzare password simili cambiando solo il numero finale, o, peggio ancora, l’uso della stessa password su diversi servizi.

Una poco pregevole alternativa consiste nel salvare la password dentro il browser o nel client di posta, in modo che loro la ricordino al posto nostro, ma con l’inconveniente che si tratta di sistemi che con la stessa semplicità possono rivelare la password a chiunque gliela richieda (a meno di non impostare una master password, che però dev’essere complessa e va ricordata a sua volta).

Una soluzione più furba sono i password manager che, pensa, richiedono una password per essere sbloccati… Ricordare una sola password è sicuramente più semplice di ricordarne qualche decina, ma la pressione psicologica di una sola password che custodisce tutte le altre ci attanaglia: e se ce la dimentichiamo? L’apocalisse.

E comunque alla fine, qualsiasi sistema scegliate, la tendenza a dimenticare le password, e perfino le risposte alla domande di sicurezza, rimane invariata, come continuiamo a osservare nelle richieste di aiuto che ci arrivano.

Vorremmo porre fine a questo tormento, vostro e nostro.

Tutte le big data corporation stanno spingendo per soluzioni biometriche: impronte digitali, iride, riconoscimento facciale e vocale.

Noi per formazione saremmo contrari, molti dei sistemi in uso si sono già dimostrati vulnerabili, ma tant’è, il mondo è brutto e siamo alla costante ricerca di comodità a scapito di altro (privacy e sicurezza in questo caso).

Per questo stiamo terminando lo sviluppo di un piccolo “naso elettronico”.

Sapevate che ognuno di noi ha un suo odore assolutamente personale?
Esistono studi dell’Università Politecnica di Madrid UCF indirizzati a definire protocolli di identificazione e sorveglianza basata sugli odori che hanno già prodotto una collaborazione con una startup spagnola per produrre dei prototipi di apparecchi portatili.

Si tratta semplicemente di una penna USB che invece di avere una memoria al suo interno ha una piccola ventola aspirante e un microspettrometro di massa.

Il software che intendiamo usare è questo (roba da bioinformatici) e sarà inserito dentro la penna, non dovrete installare niente.

Basterà qualche giorno di training per permettere al sistema di riconoscere le vostre essenze di base e da quel momento la penna si occuperà delle operazioni di login, tramite un’estensione (compatibile per tutti i sistemi operativi) del browser e del client di posta. In un primo momento l’estensione funzionerà solo per Firefox, Google Chrome e Thunderbird, ma lo sviluppo per altri client e browser è già previsto nella nostra scaletta di marcia.

Ovviamente per chi si sente in grado di continuare con l’uso delle password, che noi comunque raccomandiamo, non cambierà nulla. Chi invece non si fida di se stesso, potrà richiedere di partecipare alla fase di beta testing. Ai primi 100 volontari invieremo gratuitamente la penna a casa per cominciare a fare delle prove.

(Spiacenti, ma le penne hanno un costo: le prime 100 le regaliamo, poi penseremo a distribuirle a prezzo di costo, circa 19 euri).

Se siete interessati andate su questa pagina e compilate il form.

Lo sentite anche voi questo fresco profumo di futuro?

 

[ENGLISH VERSION]

Due to the security problems we had last september, we had to reconsider the value of passwords.

Denying it doesn’t make sense: humans are not biologically made to keep passwords.

Often, when having to fill in a form with a password, we stare blankly at the sky while our synapses have a hard time finding the right connections to remind us that bloody alphanumeric sequence.

One solution – not very smart to be honest – is to re-use similar passwords with just the final number changing every time, or, even worse, to use the same password for different services

Another, not very useful, alternative consists in saving passwords inside the browser/mail client, so that they can remember it for us, but the problem is that with these tools passwords are as easy for us to store as they are for anyone else to find them (unless we set up a master password, but this needs to be complex and memorable for us).

A smarter solution is password managers, which require a password to be unlocked… Remembering just one password is certainly easier than remembering dozens, but the psychological pressure produced by having one password to protect all the others is difficult to bear: what if we forget it? It would be catastrophic.

In any case, regardless of the system you have chosen, there’s a trend to forget passwords, and even the answers to the security questions, as we keep seeing in the requests our helpdesk receives.

We would like to stop this torment, on your and on our side.

Big data corporations are all pushing for biometric solutions: fingerprints, iris scans, facial and vocal recognition.

Given our background, we should be against this, since a lot of these systems have already been hacked, but as we all know the world is evil and users are constantly looking for comfort and convenience, even if this means reducing their privacy and security as in this case.

For this reason we are developing a small “electronic nose”.

As some of you may know, everyone has their own personal smell.
Studies have been carried out at the Polytechnic University of Madrid UCF with the purpose of defining identification and surveillance protocols based on smell, and a Spanish startup company has started to produce prototypes of portable devices.

The electronic nose is simply a USB stick equipped with a small suction fan and a tiny mass spectrometer.

The software we intend to use to control the hardware is this (stuff only bioinformatics experts understand anyway). It will be pre-installed in the USB stick: you won’t have to install anything.

After some training days, the system will be able to recognize your basic essence and you will be able to use the stick to login to your mailbox with a browser extension or your favourite mail client (the stick will be compatible with all operating systems). During the beta testing stage, the extension will only be available for Firefox, Google Chrome, and Thunderbird, but the development for more clients and browsers is in the roadmap.

Obviously we recommend to continue to use the passwords and keep your memory trained, but if you don’t trust yourselves you can ask to be part of the beta testing program.

The first 100 beta testers will get the USB Nose delivered for free, but unfortunately the sticks cost money, so after the first 100 we will ask you to cover the expenses, with a contribution of about 19 euros.

Here is the link for the request.

Can you smell this fresh scent of future too?

 

Comunicazione per gestori di siti / Communication for site managers

lunedì, febbraio 5th, 2018

**english version below**

Comunicazione per i gestori dei siti con CMS, forum, wiki, etc. non aggiornati:

Sulla nostra piattaforma ospitiamo centinaia di siti molti dei quali
usano dei software non aggiornati che quindi ci espongono al rischio che
le vulnerabilita’ possano essere sfruttate mettendo a rischio la
sicurezza dell’infrastruttura.
Per questo motivo abbiamo deciso di disabilitare tutti i siti
che contengono dei software/plugin non aggiornati.
Dal pannello utente degli utenti che gestiscono i siti e’ possibile
vedere quali sono i software insicuri e in quale cartella sono presenti.
Per questo motivo e’ importante controllare se sul vostro pannello
utente compare un avviso relativo a uno dei siti che gestite
(cliccando su “CMS Report” vedrete i dettagli),
ed eliminiate/aggiorniate tutto quello che non e’ aggiornato.

Trascorse un paio di settimane, tutti i siti che saranno ancora non aggiornati
saranno man mano disattivati (i files non saranno cancellati) e archiviati
in forma statica.

Nota che molti dei siti utilizzati hanno un’email associata
che non e’ piu’ attiva, quindi se stai leggendo questo messaggio
assicurati che l’email associata al sito che amministri sia ancora attiva
e se conosci altre persone che hanno un sito sulla nostra piattaforma aiutaci
ad informare tutti inoltrandogli questo messaggio.

Per eventuali problemi/richieste potete aprite un ticket su:
https://helpdesk.autistici.org

 

============== english version ===================

Communication for site managers with outdated CMS, forum, wiki, etc.

We host hundreds of sites on our platform, many of which
have outdated software which therefore expose us to the risk that
the vulnerabilities can be exploited putting at risk the
infrastructure security.
For this reason we have decided to disable all sites
which contain out-of-date software/plugin.
From the user panel of the user who manage the site it’s possible to
see which are the vulnerable software and in which folder are.
For this reason it is important that you check on your user panel
if a warning appears for one of the sites that you manage
(by clicking on “CMS Report” you will see the details),
and delete / update everything that is not updated.

In a couple of weeks, we will start deactivating everything that has not been
done fixed (the files will not be deleted), and the website will be archived
as static files.

P.S. many of the vulnerable sites have an associated mailbox
that is no longer active, so if you read this message
make sure the mailbox associated with your site is still active,
and if you know someone who has a site and may not have it
updated, notify him.

for any problems open a ticket on
https://helpdesk.autistici.org

Important – News from hell

giovedì, ottobre 12th, 2017

**AGGIORNAMENTO IMPORTANTE PER LA VOSTRA SICUREZZA**
**IMPORTANT UPDATE FOR YOUR SECURITY**
**ACTUALIZACION IMPORTANTE PARA VUESTRA SEGURIRDAD**

Ancora brutte notizie.
Durante il processo di reinstallazione dell’infrastuttura abbiamo identificato un’altra vulnerabilità. Da circa due mesi era infatti in corso un tentativo di accaparramento delle password degli account di posta, durato fino a pochi giorni fa. Se vi siete loggati su autistici.org per leggere la posta della webmail, la vostra password è da considerarsi probabilmente compromessa. Ora possiamo comunque dire che questo specifico problema ora è stato risolto ed era sicuramente uno strascico dell’intrusione che vi avevamo precedentemente segnalato.

Dobbiamo quindi consigliarvi nuovamente di cambiare le password dei vostri account, e di scegliere password forti.

Se non vi ricordate come cambiare la password del vostro account, leggete queste istruzioni: https://www.autistici.org/docs/userpanel#passwordchange

Inoltre vi suggeriamo di prendere seriamente in considerazione l’utilizzo dell’autenticazione a due fattori per proteggere il vostro account: coloro che l’avevano impostata non sono stat* infatti interessat* dalla vulnerabilità oggetto di questo aggiornamento.

Ve lo abbiamo detto e ripetuto, a costo di sembrare pedanti, ma la riservatezza delle vostre comunicazioni non dipende solo da noi. Noi ce la stiamo mettendo tutta per mettere in sicurezza l’infrastruttura, voi intanto dovreste provvedere a mettere in sicurezza i vostri account.

Quanto accaduto nelle ultime settimane è significativo: quel che è successo non è ordinaria amministrazione. Non possiamo garantire di aver individuato tutti i problemi – alcuni dei quali sono evidentemente di livello sistemico – che affliggevano la sicurezza della nostra infrastruttura. Per questo crediamo sia necessaria una risposta adeguata. E la nostra risposta, come già accaduto in passato, sarà la completa revisione, che realizzeremo nei prossimi mesi, dell’architettura su cui si basa l’infrastruttura di A/I.

Pubblicheremo in seguito una descrizione più dettagliata del piano e aggiornamenti sull’andamento dei lavori.

Lavori in corso

Ecco un breve elenco dei lavori che abbiamo portato a termine nelle ultime settimane per mettere in sicurezza l’infrastruttura:

  • Tutte le macchine che compongono l’infrastuttura sono state reinstallate.
  • I bug e le vulnerabilita’ emersi durante il processo di reinstallazione sono stati risolti.
  • Tutte le password di amministrazione sono state modificate.
  • Abbiamo cominciato il processo di pianificazione del design della nuova infrastruttura.

(altro…)

Nuova chiave GPG | New GPG key

sabato, ottobre 7th, 2017

Nell’ambito della reinstallazione e della messa in sicurezza dell’infrastruttura, abbiamo deciso di generare una nuova chiave GPG, non perché quella precedente fosse palesemente compromessa, ma perché stiamo procedendo con la massima cautela possibile dopo quanto abbiamo scoperto.

La nuova chiave GPG che useremo d’ora in poi è questa. Potete scaricarla anche dai keyserver, per esempio qui.


While reinstalling and securing our infrastructure, we have decided to generate a new GPG key. The key had not been clearly compromised, but we wanted to be as cautious as possible after the breach in our servers.

From now on, the GPG key we will use is this. You can also download it from the keyservers, for example here.

Aggiornamento lavoro post intrusione, atto tre: nuovo hidden service Tor! | Updates after the breach, part three: new Tor hidden service!

venerdì, settembre 29th, 2017

A seguito dell’intrusione rilevata due settimane fa abbiamo rigenerato il nostro hidden service Tor. Il nuovo indirizzo è:

autinv5q6en4gpf4.onion

Il nuovo HS è stato testato negli ultimi giorni e funziona regolarmente con i servizi IRC, web, webmail, XMPP/Jabber, POP3, IMAP e SMTP.

Vi invitiamo a testarlo: in caso di malfunzionamenti vi chiediamo di segnalarceli utilizzando il nostro servizio di helpdesk.

Una nota finale: il vecchio hidden service (wi7qkxyrdpu5cmvr.onion) deve essere considerato compromesso e pertanto non va più utilizzato in nessun caso.

Collettivo A/I


[English version]

We have created new Tor Hidden Service keys after the last breach. The new address you should use is:

autinv5q6en4gpf4.onion

All services (IRC, web, webmail, XMPP/Jabber, POP3, IMAP and SMTP) should work normally with the new HS.

We encourage you to test it, and report problems with it to our helpdesk service.

A final note: the old Hidden Service (wi7qkxyrdpu5cmvr.onion) must be considered compromised and no longer used under any circumstance.

A/I Collective

Aggiornamento lavori post intrusione, atto secondo | Updates after the data branch, act two

giovedì, settembre 28th, 2017

I servizi dovrebbero aver ripreso a funzionare. Rimangono ancora delle questioni in sospeso che saranno sistemate in questi giorni (gli hidden service Tor e alcune questioni con l’OTP e l’invio della posta). È molto apprezzato il debug, cioè testate tutto e segnalateci eventuali problemi, su helpdesk .

Grazie per la pazienza.

 

The services should work now. Some problems remain unresolved, but we’re working on it (Tor hidden services, and some OTP malfunctions).
Your debug is really appreciated. Report problems on helpdesk.

Thanks you for your patience.

Server compromessi | Breach in A/I servers | Violación en los servidores

venerdì, settembre 15th, 2017

Segui il nostro tweet per aggiornamenti sulla reinstallazione dell’infrastruttura

Read our updates on Twitter for news on the reinstallation of our infrastructure

[English version below]
[Versión en Español mas abajo]
[Portuguese]

Ieri, giovedì 14 settembre, abbiamo scoperto che qualche giorno fa un account di amministratore è stato compromesso. Appena ce ne siamo resi conto, abbiamo cominciato immediatamente a lavorare per risolvere il problema. Abbiamo già realizzato le mitigazioni necessarie e siamo riusciti nuovamente a rimettere tutto in sicurezza. Sono ancora in corso analisi dei log e la reinstallazione dell’infrastruttura.

Stiamo analizzando i dettagli della situazione per sapere esattamente che cosa è successo. Data la natura dell’intrusione, potenzialmente tutti i dati degli utenti sono stati accessibili agli intrusi, ma al momento non abbiamo prove del fatto che siano state toccate delle caselle di posta.

Come misura di sicurezza minima, dovresti cambiare tutte le tue password e le domande di recupero dei tuoi account (email, webdav, lista di email e newsletter, noblogs.org). Ti consigliamo di usare una password forte.

Inoltre raccomandiamo sempre caldamente, se ancora non lo hai ancora fatto, di attivare l’autenticazione a due fattori (2FA) per tenere il tuo account più al sicuro.

Nel caso l’autenticazione 2FA fosse già stata abilitata, dovrai resettarla, disattivandola e riattivandola.

Se ne hai la possibilità, scarica sempre i messaggi di posta sul tuo computer, conservandoli con la dovuta cautela, invece di lasciarli sui nostri server. Inoltre per maggior sicurezza ricorda sempre di crittografare le tue comunicazioni:

* email
* chat

 



[English version]

Yesterday, on Thursday 14 September, we found out that a few days ago an admin account had been compromised. As soon as we spotted this intrusion, we immediately got to work for solving the problem. We have already taken the necessary mitigation measures and have secured the machines. We are still analyzing logs and reinstalling the infrastructure.

We are examining the details of the situation to figure out what happened exactly. Given the nature of this intrusion, all users’ data might have potentially been accessed by the intruders, but so far we have found no evidence that someone touched the mailboxes.

As a minimum security requirement, you should change all your passwords and the recovery questions for your accounts (email, webdav, mailing lists and newsletters, noblogs.org). We recommend to create strong passwords for this.

We also strongly suggest, if you haven’t done so already, to activate 2-factor authentication to secure the access to your account.

If you have already enabled 2-factor authentication, you should reset that too, by deactivating it and activating it again.

If you can, always download your email messages to your personal computer, storing them with care, instead of keeping them in our servers. Also, remember to secure your communications by encrypting them:

* email
* chat

 



[Español]

Ayer, jueves 14 de Septiembre, hemos descubierto hace unos días que una cuenta de administración de nuestra infraestructura había sido violada. En cuanto nos hemos dado cuenta hemos empezado a trabajar para resolver el problema. Hemos tomados las medidas de mitigación necesarias y hemos puesto en seguridad las maquinas. Estamos todavía analizando los logs y reinstalando la infraestructura.

Estamos también examinando los detalles de la situación para averiguar lo que ha ocurrido. Dada la naturaleza de la violación, los intrusos han tenido acceso a todos los datos de los usuarios, pero en este momento no tenemos pruebas de que hayan tocado las cuentas de correo.

Como medida mínima de seguridad, tienes que cambiar las contraseñas y las preguntas de seguridad de todas tus cuentas (email, webdav, listas de correo y newsletters, noblogs.org). Te recomendamos de crear contraseñas fuertes.

También te recomendamos, si no lo has hecho todavía, activar la autenticación de dos factores (2FA).

Si ya tenias la autenticación de dos factores habilitada, tendrás que resetearla, deshabilitandola y volviendo a habilitarla.

Si puedes, descargate siempre los mensajes de tu correo en tu ordenador personal, y guardalos con cuidado, en vez de dejarlos en nuestros servidores. También recuérdate de cifrar tus comunicaciones:

* correo
* chat

 



[Portuguese]

No dia 14 de Setembro, descobrimos depois de alguns dias que uma conta de administração da nossa infraestrutura foi violada.
Na hora que descobrimos isso, começamos imediatamente e trabalhar para resolver o problema. Já realizamos as mitigações necessárias e conseguimos assegurar novamente las maquinas

Estamos analisando os detalhes da situação para saber exatamente o que aconteceu. Considerando a naturaleza de la violação, os intrusos tiveram acesso a todos os dados de usuários, mas nesse momento não temos prova que tocaram as contas de email.

Como medida minima de segurança, tem que mudar sua senhas e suas perguntas de seguridade de todas suas contas (email, webdav, listas, newsletter, noblogs.org). Recomendamos usar senhas forte.

Também recomendamos, se ainda você não está ativo, ativar a autenticação 2FA

Se você já tem 2FA habilitada, você precisa reconfigurá-la, desativando e reativando a mesma.

Se pode, baixa sempre suas emails no seu computador, e guardá-las com cuidado, em lugar de manter as email dentro do nossos servidores. Também lembra-se de criptografar suas comunicações:

Para maior segurança lembra sempre de encriptar suas comunicações:

* email
* bate-papo

 

 

problemi di invio posta verso alcuni domini mainstream – problems delivering mail to some mainstream domains

domenica, luglio 2nd, 2017

English version at bottom

In questi ultimi giorni ci siamo accorti che l’invio verso alcuni domini mainstream aveva delle difficoltà. Il problema era che un certo numero di account di posta su A/I stava causando spam, per esempio l’invio verso gmail.com non funzionava come dovrebbe.

Abbiamo diversi meccanismi per prevenire lo spam, ma quando parte da utenti autenticati le restrizioni attuabili diminuiscono, a meno di non offrirvi un servizio peggiore.

Stiamo ovviamente attuando delle ulteriori precauzioni, ma purtroppo per il momento non possiamo fare altro che scusarci per il disagio, chiedendo a tutti di controllare i propri computer e altri dispositivi rispetto alla presenza di malware come contributo alla risoluzione del problema. Inoltre, per prevenire questo tipo di incidenti, potete attivare l’autenticazione a due fattori sul vostro account per ostacolare tentativi di accedere al vostro account da parte di malintenzionati, e naturalmente ricordatevi che riutilizzare la stessa password su più di un account è una pessima abitudine che vi porterà dritti all’inferno.


English version

In the past few days we noticed that we had some difficulties in delivering emails to some mainstream domains. The problem was that a number of our users’ accounts was sending out spam. For example we could not deliver email to gmail for a certain period of time.

We have several mechanisms to prevent spam, but when spam is sent by authenticated users, the number of restrictions we can set up are fewer, unless we want to degrade the service by design.

We are obviously working on setting up new measures, but for now we can only apologize for the disservice, asking everyone to check their devices for malware or other potential mail spammers as a contribute to the resolution of the problem. Another thing you can do to help is activate two-factor authentication on your account to prevent spammers from owning your mailbox, and of course remember that re-using the same password for more than an account is the worst habit ever and will send you straight to hell.

Noblogs maintenance – lavori in corso su Noblogs

mercoledì, aprile 6th, 2016

Aggiornamento: lavori terminati, tutto dovrebbe essere tornato alla normalità.

Update: maintenance is over, everything should be back to normal.

(altro…)