cavallette

Segui il nostro tweet per aggiornamenti sulla reinstallazione dell’infrastruttura

Read our updates on Twitter for news on the reinstallation of our infrastructure

[English version below]
[Versión en Español mas abajo]
[Portuguese]

Ieri, giovedì 14 settembre, abbiamo scoperto che qualche giorno fa un account di amministratore è stato compromesso. Appena ce ne siamo resi conto, abbiamo cominciato immediatamente a lavorare per risolvere il problema. Abbiamo già realizzato le mitigazioni necessarie e siamo riusciti nuovamente a rimettere tutto in sicurezza. Sono ancora in corso analisi dei log e la reinstallazione dell’infrastruttura.

Stiamo analizzando i dettagli della situazione per sapere esattamente che cosa è successo. Data la natura dell’intrusione, potenzialmente tutti i dati degli utenti sono stati accessibili agli intrusi, ma al momento non abbiamo prove del fatto che siano state toccate delle caselle di posta.

Come misura di sicurezza minima, dovresti cambiare tutte le tue password e le domande di recupero dei tuoi account (email, webdav, lista di email e newsletter, noblogs.org). Ti consigliamo di usare una password forte.

Inoltre raccomandiamo sempre caldamente, se ancora non lo hai ancora fatto, di attivare l’autenticazione a due fattori (2FA) per tenere il tuo account più al sicuro.

Nel caso l’autenticazione 2FA fosse già stata abilitata, dovrai resettarla, disattivandola e riattivandola.

Se ne hai la possibilità, scarica sempre i messaggi di posta sul tuo computer, conservandoli con la dovuta cautela, invece di lasciarli sui nostri server. Inoltre per maggior sicurezza ricorda sempre di crittografare le tue comunicazioni:

* email
* chat

[English version]

Yesterday, on Thursday 14 September, we found out that a few days ago an admin account had been compromised. As soon as we spotted this intrusion, we immediately got to work for solving the problem. We have already taken the necessary mitigation measures and have secured the machines. We are still analyzing logs and reinstalling the infrastructure.

We are examining the details of the situation to figure out what happened exactly. Given the nature of this intrusion, all users’ data might have potentially been accessed by the intruders, but so far we have found no evidence that someone touched the mailboxes.

As a minimum security requirement, you should change all your passwords and the recovery questions for your accounts (email, webdav, mailing lists and newsletters, noblogs.org). We recommend to create strong passwords for this.

We also strongly suggest, if you haven’t done so already, to activate 2-factor authentication to secure the access to your account.

If you have already enabled 2-factor authentication, you should reset that too, by deactivating it and activating it again.

If you can, always download your email messages to your personal computer, storing them with care, instead of keeping them in our servers. Also, remember to secure your communications by encrypting them:

* email
* chat

[Español]

Ayer, jueves 14 de Septiembre, hemos descubierto hace unos días que una cuenta de administración de nuestra infraestructura había sido violada. En cuanto nos hemos dado cuenta hemos empezado a trabajar para resolver el problema. Hemos tomados las medidas de mitigación necesarias y hemos puesto en seguridad las maquinas. Estamos todavía analizando los logs y reinstalando la infraestructura.

Estamos también examinando los detalles de la situación para averiguar lo que ha ocurrido. Dada la naturaleza de la violación, los intrusos han tenido acceso a todos los datos de los usuarios, pero en este momento no tenemos pruebas de que hayan tocado las cuentas de correo.

Como medida mínima de seguridad, tienes que cambiar las contraseñas y las preguntas de seguridad de todas tus cuentas (email, webdav, listas de correo y newsletters, noblogs.org). Te recomendamos de crear contraseñas fuertes.

También te recomendamos, si no lo has hecho todavía, activar la autenticación de dos factores (2FA).

Si ya tenias la autenticación de dos factores habilitada, tendrás que resetearla, deshabilitandola y volviendo a habilitarla.

Si puedes, descargate siempre los mensajes de tu correo en tu ordenador personal, y guardalos con cuidado, en vez de dejarlos en nuestros servidores. También recuérdate de cifrar tus comunicaciones:

* correo
* chat

[Portuguese]

No dia 14 de Setembro, descobrimos depois de alguns dias que uma conta de administração da nossa infraestrutura foi violada.
Na hora que descobrimos isso, começamos imediatamente e trabalhar para resolver o problema. Já realizamos as mitigações necessárias e conseguimos assegurar novamente las maquinas

Estamos analisando os detalhes da situação para saber exatamente o que aconteceu. Considerando a naturaleza de la violação, os intrusos tiveram acesso a todos os dados de usuários, mas nesse momento não temos prova que tocaram as contas de email.

Como medida minima de segurança, tem que mudar sua senhas e suas perguntas de seguridade de todas suas contas (email, webdav, listas, newsletter, noblogs.org). Recomendamos usar senhas forte.

Também recomendamos, se ainda você não está ativo, ativar a autenticação 2FA

Se você já tem 2FA habilitada, você precisa reconfigurá-la, desativando e reativando a mesma.

Se pode, baixa sempre suas emails no seu computador, e guardá-las com cuidado, em lugar de manter as email dentro do nossos servidores. Também lembra-se de criptografar suas comunicações:

Para maior segurança lembra sempre de encriptar suas comunicações:

* email
* bate-papo

English version at bottom

In questi ultimi giorni ci siamo accorti che l’invio verso alcuni domini mainstream aveva delle difficoltà. Il problema era che un certo numero di account di posta su A/I stava causando spam, per esempio l’invio verso gmail.com non funzionava come dovrebbe.

Abbiamo diversi meccanismi per prevenire lo spam, ma quando parte da utenti autenticati le restrizioni attuabili diminuiscono, a meno di non offrirvi un servizio peggiore.

Stiamo ovviamente attuando delle ulteriori precauzioni, ma purtroppo per il momento non possiamo fare altro che scusarci per il disagio, chiedendo a tutti di controllare i propri computer e altri dispositivi rispetto alla presenza di malware come contributo alla risoluzione del problema. Inoltre, per prevenire questo tipo di incidenti, potete attivare l’autenticazione a due fattori sul vostro account per ostacolare tentativi di accedere al vostro account da parte di malintenzionati, e naturalmente ricordatevi che riutilizzare la stessa password su più di un account è una pessima abitudine che vi porterà dritti all’inferno.

English version

In the past few days we noticed that we had some difficulties in delivering emails to some mainstream domains. The problem was that a number of our users’ accounts was sending out spam. For example we could not deliver email to gmail for a certain period of time.

We have several mechanisms to prevent spam, but when spam is sent by authenticated users, the number of restrictions we can set up are fewer, unless we want to degrade the service by design.

We are obviously working on setting up new measures, but for now we can only apologize for the disservice, asking everyone to check their devices for malware or other potential mail spammers as a contribute to the resolution of the problem. Another thing you can do to help is activate two-factor authentication on your account to prevent spammers from owning your mailbox, and of course remember that re-using the same password for more than an account is the worst habit ever and will send you straight to hell.

Aggiornamento: lavori terminati, tutto dovrebbe essere tornato alla normalità.

Update: maintenance is over, everything should be back to normal.

(altro…)

Nella notte tra Martedì 16 e Mercoledì 17 Febbraio un problema con uno dei server di Noblogs.org ha provocato dei malfunzionamenti – molti dei nostri utenti si sono ritrovati impossibilitati ad accedere ai loro blog, o il server rispondeva in maniera bizzarra confondendo alcuni blog con altri. Ci siamo rimboccati le maniche e a partire da oggi Giovedì 18 dovrebbe essere di nuovo tutto a posto. Crediamo che niente sia andato perduto, però se notate qualcosa di strano, come sempre, segnalatecelo!

During the night between Tuesday 16th and Wednesday 17th a problem with one of our Noblogs.org server caused some issues, resulting in some users unable to access to their blogs or mismatches between server addresses and content. We should have fixed everything starting from today Thursday 18th. No content should be missing, but if you notice anything unusual, please report it!

[English version below]

Ultimamente ci è stato segnalato un tentativo di phishing a nostro nome.
Il testo era questo:

Your AUTISTICI.ORG Mailbox Has Exceeded Its Quota Limit And You May
Not Be Able To Send Or Receive New Mails Until You Re-Validate.

To Re-Validate, Please Click: RE-VALIDATE For More
Storage Data to Be Added To Your Mailbox

Thank You,
AUTISTICI.ORG Mail Team

E come in ogni tentativo di phishing che si rispetti, il link inserito nel testo non rimandava a un nostro sito ma da qualche altra parte dove qualche simpatico gruppo di malintenzionati si sarebbe appropriato del nome utente e della password del/la malcapitato/a.

Sono cose che capitano e che tutte e tutti noi abbiamo già visto, ma giusto per una ripassatina, ecco alcuni consigli:

• Nelle nostre comunicazioni noi non vi chiediamo mai di cliccare su un link: molto più probabilmente il nostro invito sarà di accedere al vostro pannello utente, come fate di solito per leggere la vostra mail, all’indirizzo: https://www.autistici.org/pannello/.
• Quando ricevete una mail che vi chiede con urgenza di cliccare su un link, controllate sempre che il mittente sia chi dice di essere. Nel nostro caso, la mail arriverà da un dominio @ autistici.org — molto probabilmente da info @ autistici . org
• Se l’indirizzo del mittente vi sembra convincente, controllate che anche il link lo sia.
• Per ulteriori informazioni potete leggere questo manuale dell’Electronic Frontier Foundation (in inglese e altre lingue ma non ancora in italiano).

English version
(altro…)

++++++++++++++++++++++++++++++++++++++
IMPORTANTE: NUOVA CA
IMPORTANT: NEW CA
++++++++++++++++++++++++++++++++++++++

[english version below]

#####
Tra pochi giorni (alla fine di Settembre 2015) la Certification
Authority di Autistici/Inventati rinnovera’ i certificati.

I nostri servizi saranno per te inaccessibili, a meno che tu non
segua questa procedura di aggiornamento:

Visita https://ca.autistici.org e segui le istruzioni riportate
sulla pagina, assicurandoti di effettuare tutte le verifiche suggerite.

Questa procedura e’ obbligatoria anche se si e’ gia’ scaricato
il certificato della CA di A/I in passato: e’ necessario ripeterla con
il nuovo certificato aggiornato.

* Cosa fare se non si e’ riusciti ad installare il nuovo certificato in
tempo?
La procedura da seguire e’ la stessa che effettueresti su un computer
nuovo per accedere al tuo account di Autistici/Inventati: visita
http://ca.autistici.org e segui le istruzioni riportate sulla pagina,
ricordandoti di effettuare anche le verifiche suggerite.

* Perche’ questa tortura?
Perche’ abbiamo scelto di prendere una posizione forte nel dibattito che
riguarda il mondo delle Certification Authority commerciali:

https://www.autistici.org/it/ssl.html

####

In few days (end of September 2015), the Autistici/Inventati
Certification Authority will *EXPIRE*, making it impossible for you to
reach our services, unless you follow this procedure to update it:

Visit https://ca.autistici.org and follow the instructions on
that page.

This is mandatory even if you have already downloaded and installed
the A/I CA certificate in the past (you need to do the same with the
new, updated certificate).

* What do I do if I was unable to update the CA certificate in time?
You should follow the same procedure that you would when installing
the A/I certificate on a new computer: visit http://ca.autistici.org
and follow the instructions on that page.

* Why all this trouble?
Read the following for our position on the debate on commercial
Certification Authorities:

https://www.autistici.org/en/ssl.html

####

[IT] Nel corso del weekend saranno svolti alcuni interventi di manutenzione su noblogs.org, alcuni blog potrebbero essere temporaneamente irraggiungibili.

[EN] This weekend we’ll be performing some maintenance work on noblogs.org, some blogs might be temporarily unavailable.

[English version below]

A partire da oggi entrano definitivamente in vigore le direttive del garante della privacy italiano sui cookies e siamo tenute per legge, pena multe salatissime, a inserire su tutti i blog di Noblogs e su tutti i siti che usano cookies un banner che vi richiede il consenso esplicito all’uso dei cookies.

Si tratta esclusivamente di una formalità, e dal punto di vista del funzionamento dei server di A/I non cambia niente: Autistici/Inventati, e quindi NoBlogs, non registra alcuna infomazione sugli utenti né effettua alcuna profilazione.

Ma che cosa sono i cookies, a che servono e perché vengono usati anche su Noblogs e sui siti di A/I?

I cookies sono informazioni registrate nel tuo computer (o smartphone) quando visiti un sito web. Alcuni, quelli che usiamo noi (i cosiddetti cookies tecnici) servono a facilitare e a velocizzare la navigazione, altri a interfacciarsi con servizi come Twitter o Youtube (i “cookies di terze parti”) e altri ancora per profilare gli utenti a scopo commerciale. Questi ultimi non sono usati sui server di A/I per policy, e di conseguenza neanche i nostri utenti possono usarli nei loro siti.

Quindi non sarete profilati se visitate un sito di A/I o un blog di Noblogs. Considerate però che, a prescindere dalla nuova legge e dal banner d’ordinanza, se accedete a un sito o a un social network commerciale i cookies di profilazione non mancano mai. Se questa idea non vi piace, l’ideale è cancellare i cookies ogni volta che chiudete la sessione del browser: un’opzione che si trova nelle impostazioni del vostro browser.


English version
(altro…)

[IT] I certificati SSL di noblogs.org sono stati aggiornati nuovamente. Il cambiamento più significativo è che si tratta di certificati forniti da una CA commerciale. Nonostante la nostra posizione sull’industria delle CA sia rimasta immutata, vogliamo che i nostri utenti possano trarre vantaggio da alcune delle recenti e moderne migliorie al protocollo SSL, ottenibili purtroppo solo usando un certificato commerciale.

[EN] The noblogs.org SSL certificates have been updated yet again. The most significant change, this time, is that the new certificates are issued by a commercial CA. Our position on the CA industry has not changed, but we’d like for our users to take advantage of some of the more recent and modern improvements to the SSL protocol, which can unfortunately only be activated with a commercial certificate.

Importante: questo post è del 2015. Potete trovare la nostra nuova chiave qui.

Important: this post was written in 2015. You can find our new key here.

[english version below]

PGP e la sua implementazione libera GnuPG è uno degli strumenti che consigliamo ai nostri utenti per comunicare sia tra di loro che con noi. Per comunicare attraverso PGP è necessario avere la chiave, cosiddetta pubblica, del destinatario. È molto importante assicurarsi che la chiave che si ha appartenga effettivamente alla persona con cui vogliamo comunicare e non a qualcun altro: in questo caso infatti si rischia nel migliore dei casi di mandare un’email illeggibile al nostro destinatario e nel peggiore di essere intercettati e di perdere le garanzie di sicurezza che pensavamo di avere usando PGP.

La nostra chiave pubblica si può trovare sul nostro sito, oppure si può richiedere a uno dei tanti keyserver, che si possono paragonare a servizi di “pagine gialle” delle chiavi crittografiche. La maggior parte di questi server pubblica tutte le chiavi che gli vengono inviate, senza controllare l’effettiva autenticità delle informazioni riportate. È quindi estremamente facile creare una chiave a nome di un’altra persona e caricarla su uno di questi server.

È quel che è successo a noi solo qualche settimana fa: qualcuno ha deciso di creare una chiave a nostro nome e di caricarla sui keyserver. Non ne conosciamo le motivazioni (uno scherzo? un esperimento? un goffo tentativo di intercettare le comunicazioni coi nostri utenti?), però dobbiamo avvisarvi: non tutte le chiavi a nostro nome che trovate su internet sono autentiche. Quindi quando scaricate la nostra chiave pubblica, controllate le firme e se potete utilizzate il Web of Trust.

La fingerprint della nostra chiave [al marzo 2015] è

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Diffidate delle imitazioni!

(altro…)