Archive for the ‘Comunicati’ Category

Important – News from hell

giovedì, ottobre 12th, 2017

**AGGIORNAMENTO IMPORTANTE PER LA VOSTRA SICUREZZA**
**IMPORTANT UPDATE FOR YOUR SECURITY**
**ACTUALIZACION IMPORTANTE PARA VUESTRA SEGURIRDAD**

Ancora brutte notizie.
Durante il processo di reinstallazione dell’infrastuttura abbiamo identificato un’altra vulnerabilità. Da circa due mesi era infatti in corso un tentativo di accaparramento delle password degli account di posta, durato fino a pochi giorni fa. Se vi siete loggati su autistici.org per leggere la posta della webmail, la vostra password è da considerarsi probabilmente compromessa. Ora possiamo comunque dire che questo specifico problema ora è stato risolto ed era sicuramente uno strascico dell’intrusione che vi avevamo precedentemente segnalato.

Dobbiamo quindi consigliarvi nuovamente di cambiare le password dei vostri account, e di scegliere password forti.

Se non vi ricordate come cambiare la password del vostro account, leggete queste istruzioni: https://www.autistici.org/docs/userpanel#passwordchange

Inoltre vi suggeriamo di prendere seriamente in considerazione l’utilizzo dell’autenticazione a due fattori per proteggere il vostro account: coloro che l’avevano impostata non sono stat* infatti interessat* dalla vulnerabilità oggetto di questo aggiornamento.

Ve lo abbiamo detto e ripetuto, a costo di sembrare pedanti, ma la riservatezza delle vostre comunicazioni non dipende solo da noi. Noi ce la stiamo mettendo tutta per mettere in sicurezza l’infrastruttura, voi intanto dovreste provvedere a mettere in sicurezza i vostri account.

Quanto accaduto nelle ultime settimane è significativo: quel che è successo non è ordinaria amministrazione. Non possiamo garantire di aver individuato tutti i problemi – alcuni dei quali sono evidentemente di livello sistemico – che affliggevano la sicurezza della nostra infrastruttura. Per questo crediamo sia necessaria una risposta adeguata. E la nostra risposta, come già accaduto in passato, sarà la completa revisione, che realizzeremo nei prossimi mesi, dell’architettura su cui si basa l’infrastruttura di A/I.

Pubblicheremo in seguito una descrizione più dettagliata del piano e aggiornamenti sull’andamento dei lavori.

Lavori in corso

Ecco un breve elenco dei lavori che abbiamo portato a termine nelle ultime settimane per mettere in sicurezza l’infrastruttura:

  • Tutte le macchine che compongono l’infrastuttura sono state reinstallate.
  • I bug e le vulnerabilita’ emersi durante il processo di reinstallazione sono stati risolti.
  • Tutte le password di amministrazione sono state modificate.
  • Abbiamo cominciato il processo di pianificazione del design della nuova infrastruttura.

(altro…)

Server compromessi | Breach in A/I servers | Violación en los servidores

venerdì, settembre 15th, 2017

Segui il nostro tweet per aggiornamenti sulla reinstallazione dell’infrastruttura

Read our updates on Twitter for news on the reinstallation of our infrastructure

[English version below]
[Versión en Español mas abajo]
[Portuguese]

Ieri, giovedì 14 settembre, abbiamo scoperto che qualche giorno fa un account di amministratore è stato compromesso. Appena ce ne siamo resi conto, abbiamo cominciato immediatamente a lavorare per risolvere il problema. Abbiamo già realizzato le mitigazioni necessarie e siamo riusciti nuovamente a rimettere tutto in sicurezza. Sono ancora in corso analisi dei log e la reinstallazione dell’infrastruttura.

Stiamo analizzando i dettagli della situazione per sapere esattamente che cosa è successo. Data la natura dell’intrusione, potenzialmente tutti i dati degli utenti sono stati accessibili agli intrusi, ma al momento non abbiamo prove del fatto che siano state toccate delle caselle di posta.

Come misura di sicurezza minima, dovresti cambiare tutte le tue password e le domande di recupero dei tuoi account (email, webdav, lista di email e newsletter, noblogs.org). Ti consigliamo di usare una password forte.

Inoltre raccomandiamo sempre caldamente, se ancora non lo hai ancora fatto, di attivare l’autenticazione a due fattori (2FA) per tenere il tuo account più al sicuro.

Nel caso l’autenticazione 2FA fosse già stata abilitata, dovrai resettarla, disattivandola e riattivandola.

Se ne hai la possibilità, scarica sempre i messaggi di posta sul tuo computer, conservandoli con la dovuta cautela, invece di lasciarli sui nostri server. Inoltre per maggior sicurezza ricorda sempre di crittografare le tue comunicazioni:

* email
* chat

 



[English version]

Yesterday, on Thursday 14 September, we found out that a few days ago an admin account had been compromised. As soon as we spotted this intrusion, we immediately got to work for solving the problem. We have already taken the necessary mitigation measures and have secured the machines. We are still analyzing logs and reinstalling the infrastructure.

We are examining the details of the situation to figure out what happened exactly. Given the nature of this intrusion, all users’ data might have potentially been accessed by the intruders, but so far we have found no evidence that someone touched the mailboxes.

As a minimum security requirement, you should change all your passwords and the recovery questions for your accounts (email, webdav, mailing lists and newsletters, noblogs.org). We recommend to create strong passwords for this.

We also strongly suggest, if you haven’t done so already, to activate 2-factor authentication to secure the access to your account.

If you have already enabled 2-factor authentication, you should reset that too, by deactivating it and activating it again.

If you can, always download your email messages to your personal computer, storing them with care, instead of keeping them in our servers. Also, remember to secure your communications by encrypting them:

* email
* chat

 



[Español]

Ayer, jueves 14 de Septiembre, hemos descubierto hace unos días que una cuenta de administración de nuestra infraestructura había sido violada. En cuanto nos hemos dado cuenta hemos empezado a trabajar para resolver el problema. Hemos tomados las medidas de mitigación necesarias y hemos puesto en seguridad las maquinas. Estamos todavía analizando los logs y reinstalando la infraestructura.

Estamos también examinando los detalles de la situación para averiguar lo que ha ocurrido. Dada la naturaleza de la violación, los intrusos han tenido acceso a todos los datos de los usuarios, pero en este momento no tenemos pruebas de que hayan tocado las cuentas de correo.

Como medida mínima de seguridad, tienes que cambiar las contraseñas y las preguntas de seguridad de todas tus cuentas (email, webdav, listas de correo y newsletters, noblogs.org). Te recomendamos de crear contraseñas fuertes.

También te recomendamos, si no lo has hecho todavía, activar la autenticación de dos factores (2FA).

Si ya tenias la autenticación de dos factores habilitada, tendrás que resetearla, deshabilitandola y volviendo a habilitarla.

Si puedes, descargate siempre los mensajes de tu correo en tu ordenador personal, y guardalos con cuidado, en vez de dejarlos en nuestros servidores. También recuérdate de cifrar tus comunicaciones:

* correo
* chat

 



[Portuguese]

No dia 14 de Setembro, descobrimos depois de alguns dias que uma conta de administração da nossa infraestrutura foi violada.
Na hora que descobrimos isso, começamos imediatamente e trabalhar para resolver o problema. Já realizamos as mitigações necessárias e conseguimos assegurar novamente las maquinas

Estamos analisando os detalhes da situação para saber exatamente o que aconteceu. Considerando a naturaleza de la violação, os intrusos tiveram acesso a todos os dados de usuários, mas nesse momento não temos prova que tocaram as contas de email.

Como medida minima de segurança, tem que mudar sua senhas e suas perguntas de seguridade de todas suas contas (email, webdav, listas, newsletter, noblogs.org). Recomendamos usar senhas forte.

Também recomendamos, se ainda você não está ativo, ativar a autenticação 2FA

Se você já tem 2FA habilitada, você precisa reconfigurá-la, desativando e reativando a mesma.

Se pode, baixa sempre suas emails no seu computador, e guardá-las com cuidado, em lugar de manter as email dentro do nossos servidores. Também lembra-se de criptografar suas comunicações:

Para maior segurança lembra sempre de encriptar suas comunicações:

* email
* bate-papo

 

 

Anno nuovo Jabber nuovo / New Year, new Jabber

domenica, gennaio 29th, 2017

[English version below]

Nelle ultime settimane abbiamo aggiornato l’infrastruttura di Autistici/Inventati, concentrandoci in particolare sul servizio di instant messagging Jabber/XMPP. L’obiettivo era permettervi di usare Jabber su dispositivi mobili, offrendo un’alternativa ai sistemi più diffusi, che sono centralizzati, appartengono spesso a grandi aziende e sono quindi esposti a misure censorie e repressive. Inoltre abbiamo scritto nuovi manuali per facilitare la configurazione di nuovi client per il nostro server Jabber.

Dettagli tecnici e nuove funzionalità

(altro…)

XM24, non toccatelo!

lunedì, novembre 28th, 2016

Una compagna scomparsa qualche anno fa – Susan Leigh Star, filosofa
femminista statunitense e profonda conoscitrice dei processi sociali che
innervano il divenire della tecnologia – era solita introdurre i suoi
studenti allo studio delle infrastrutture digitali, ricordando loro una
delle regole auree che ne governano l’evoluzione. “Non c’è
infrastruttura dove tecnica, organizzazione e cultura non si intreccino e influenzino vicendevolmente. Se uno di questi tre elementi viene meno, l’infrastruttura stessa è destinata a scomparire e con essa le forme di vita che attorno vi sono germogliate“.

img_20160312_114655

 

Niente di più vero, anche per Autistici/Inventati.

Abbiamo passato 15 anni a provare a tenere Internet libera, per
passione, per divertimento, a volte per rabbia. E questi 15 anni non
sarebbero mai stati possibili senza le relazioni, costruite giorno per
giorno, con singoli e collettivi che con noi hanno condiviso
un’attitudine: l’uso della rete e delle tecnologie come supporto alle
lotte sociali e alle pratiche di autogestione. Veniamo dai centri
sociali, a cui pensiamo di aver dato tanto e da cui crediamo di aver
ricevuto ancora di più. E’ li che abbiamo imparato il valore della
condivisione e della sperimentazione, li abbiamo incontrato compagn* di
viaggio con cui abbiamo scambiato idee ed intessuto progetti. Parecch*
di quest*, li abbiamo conosciuti all’XM24 di Bologna e ce li siamo poi
ritrovati a fianco in tante occasioni.

Erano con noi sulle barricate a Genova nel 2001, durante gli hackmeeting
(come quello stratosferico del 2014, ospitato proprio da XM), durante i
Kaos Tour. Oppure, quando la nostra cassa piangeva e, senza che ci fosse
neppure bisogno di chiedere, arrivavano generose donazioni che ci
permettevano di mandare avanti tutta la baracca. Donazioni grazie alle quali siamo ancora in grado di dare ad utenti di tutto il mondo
strumenti di comunicazione autonomi, orientati alla privacy, l’anonimato
e la sicurezza.

Crediamo però che l’importanza di XM24 vada molto oltre l’apporto che
questo spazio ha saputo dare alla scena hacker e mediattivista italiana
negli anni. Viviamo in un momento storico dove i concetti di fiducia e
sicurezza – concetti senza cui non vi può essere alcuna idea di
società o comunità – vengono sempre più pericolosamente appiattiti su
un’identitarismo che rifiuta ogni differenza, e fa da apripista a forme
di organizzazione sociale fondate su pratiche razziste, xenofobe e
sessite. XM24, e la sua storia lo dimostra, rappresenta un antidoto
importante a tutto questo.

Per questo motivo, riteniamo NON ACCETTABILE la proposta di sgombero (o ricollocazione) avanzata dall’amministrazione comunale di Bologna.

Lunga vita ad XM24.
Uscite dalla fottuta Internet e scendete con noi in strada a difenderlo.

Collettivo A/I

Habemus Let’s Encrypt!

venerdì, aprile 1st, 2016

[English version below]

Con grande gioia vi annunciamo un altro passo avanti negli strumenti che mettiamo a disposizione per una comunicazione libera e autonoma.

tl;dr: grazie a Let’s Encrypt la CA non serve più!

… che poi vorrebbe dire: avete presenti quei messaggi inquietanti che vi mandava il vostro browser quando aprivate le pagine di A/I e di Noblogs? Be’, quella storia è finita! Ora potete andare a festeggiare, oppure continuare a leggere le nostre spiegazioni più sotto (noi vi raccomandiamo la seconda opzione…). Ma soprattutto ricordate: se continuate a ricevere messaggi inquietanti, stavolta vale la pena di preoccuparsi.

letsencrypt

Come sapete, i nostri servizi online supportano – o in certi casi richiedono – l’uso di SSL, un sistema crittografico basato sulla distribuzione di certificati che garantiscono una connessione sicura ai vari server. L’integrità di questi certificati è fondamentale e non abbiamo mai accettato di partecipare al sistema di distribuzione commerciale dei certificati SSL; questo avrebbe significato mettere il rapporto di fiducia tra noi e i nostri utenti nelle mani di soggetti di cui non ci si può fidare: stati, forze “dell’ordine”, aziende il cui solo fine è il profitto.
Perciò finora abbiamo gestito la cosa autonomamente con una nostra Autorità di Certificazione (CA). Il rovescio della medaglia era la necessità – per i nostri utenti, ma anche per i semplici visitatori dei siti web – di seguire una procedura un po’ complicata per installare il certificato della nostra CA.

Non siamo mai state completamente contente di questa situazione, perché crediamo che per risultare efficace la crittografia debba essere utilizzabile senza difficoltà. Da questo punto di vista, il progetto Let’s Encrypt è un’importante risorsa per chiunque usi internet, ma il beneficio per noi e voi è ancora maggiore, perché l’utilizzo di SSL con i server di A/I ora diventa più semplice.

Cosa cambia nella pratica?

  • La nostra CA e la procedura di installazione del suo certificato scompaiono.
  • I certificati SSL dei domini di A/I sono ora firmati dalla CA di Let’s Encrypt.
  • … e soprattutto il certificato della CA di Let’s Encrypt è già installato nel browser che state usando: Non serve quindi fare nient’altro per poter navigare correttamente sui nostri siti web via HTTPS o per stabilire una connessione sicura con i nostri server di posta.
  • L’unica cosa che vi raccomandiamo di fare è di controllare che i vostri
    client siano tutti configurati per non accettare certificati SSL non validi
    (come per esempio consigliavamo di fare per Xchat).

Troverete informazioni aggiornate nella pagina di documentazione specifica su SSL.



[English version]

We have some good news about the tools for a free and autonomous communication we provide you with.

tl;dr: thanks to Let’s Encrypt our CA has become useless!
(altro…)

Ongoing maintenance: mail and websites migration

martedì, marzo 29th, 2016

[ita]

A causa di un problema non preventivato (niente di grave, una questione logistica), siamo state costrette a modificare l’organizzazione dei nostri server.
Di conseguenza abbiamo dovuto spostare migliaia di caselle email e siti web in altri server della nostra rete. Il processo di migrazione sta impiegando un po’ di tempo in più del previsto, perciò molti di voi in questi giorni si trovano con una mailbox senza messaggi. Non disperate, nulla è andato perso e a breve i messaggi torneranno visibili.

[eng]

Due to an unexpected problem (neither legal or technical, rather organizational) we were forced to change our servers architecture.
Consequently we had to relocate thousands of emails and websites to other servers. The migration process is taking a bit longer than expected and, as a result, in these days many of you are logging into an empty mailbox.  Do not despair, nothing has been lost and messages will reappear soon.

Regali di fine anno | Gifts for the end of the year

martedì, dicembre 15th, 2015

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

  1. Accedi al tuo pannello utente.
  2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
  3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
  4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

  • La 2FA è per la webmail: per il resto dovrai generare una password specifica.
    Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
  • Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
    1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
    2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
  • Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

(altro…)

La sicurezza non è un crimine

venerdì, gennaio 9th, 2015

[English version below]

Seguiamo con preoccupazione l’evolversi di una brutta vicenda in Spagna. Dal 16 dicembre 2014 7 persone sono in custodia cautelare in carcere ed altre 4 indagate tra le città di Barcellona, Madrid, Sabadell e Manresa. Sembra il copione di un film già visto: una accusa di associazione terroristica di stampo anarchico, perquisizioni all’alba -anche nella storica occupazione della Kasa della Muntanya-, sequestri di libri, agende, cellulari e dischi fissi, e la fastidiosa sensazione che sul banco degli imputati ci siano delle idee piuttosto che delle persone.

Quel che è originale, e ancora più fastidioso, è che tra le motivazioni del giudice per la custodia cautelare, tra gli “indizi” che dovrebbero dare fondamento all’ipotesi che effettivamente esista tale organizzazione e che veramente essa abbia finalità eversive, c’è niente meno che l’uso di caselle di posta sicure, in particolare quelle dei server di Riseup. Così in un tempo in cui le agenzie di sicurezza e le forze di polizia di mezzo mondo violano sistematicamente il diritto alla riservatezza e alla comunicazione libera e mettono in pericolo le basi stesse del funzionamento di Internet, c’è chi crede che utilizzare protocolli standard di sicurezza e riservatezza sia un segnale dell’esistenza di un progetto eversivo. Terrorista è chi difende i propri diritti elementari, non chi li ha violati sistematicamente per anni.

Già avevamo avuto notizia che in certe parti del mondo particolarmente sensibili l’utilizzo di caselle di posta di Riseup fosse considerato un indizio di criminalità. Che questa cosa succeda in un paese dell’Unione europea e che comunque si estenda ci preoccupa enormermente – anche se forse non ci coglie del tutto di sorpresa. Però non abbiamo intenzione di restare zitti mentre un progetto affine e simile al nostro, qual è Riseup, viene additato come il marchio degli untori. Denunceremo e contrasteremo questa interpretazione del diritto alla privacy con tutte le nostre forze e capacità.

Riportiamo il comunicato originale di Riseup tradotto, così come rimandiamo a un ottimo comunicato di OffTopic Lab (e altri) che spiega il contesto in cui è avvenuta questa operazione di polizia.

La sicurezza non è un crimine

(altro…)

Important notice to our users/Avviso importante

sabato, settembre 20th, 2014

We have had a major issue with one of our servers, please read our announcement

Abbiamo avuto un problema grave ad uno dei nostri server – per favore leggete il nostro avviso

Saravá sotto attacco

martedì, aprile 29th, 2014
Traduciamo e condividiamo da RiseUp
Il server principale di Saravá è attualmente a rischio sequestro da parte della pubblica accusa brasiliana. Questo accade proprio mentre il Brasile sta ospitando Netmundial, una conferenza sul futuro della gestione di Internet. Per ironia della sorte, il Brasile ha recentemente approvato una legge che potrebbe  teoricamente rappresentare una sorta di  “Carta dei diritti” di Internet. Nonostante questo, solo pochi giorni dopo l’approvazione della norma, il procuratore Edilson Vitorelli Diniz Lima ha deciso di chiedere il sequestro del server di Saravá – che ospita gruppi di ricerca, movimenti sociali, liste di discussione e altri strumenti di comunicazione che nulla hanno a che vedere con l’inchiesta in corso.
Fatto ancora più inquietante, la policy sulla privacy di Saravá spiega chiaramente che le informazioni che la pubblica accusa sta cercando non vengono registrate dall’organizzazione. La decisione della magistratura di sequestrare il server anche in assenza delle informazioni cercate sottolinea il vero obiettivo dell’accusa: reprimere il dissenso e ostacolare i movimenti sociali.
La pubblica accusa brasiliana deve interrompere queste attività, che violano direttamente l’articolo 3 del “Marco Civil da Internet”, dove sono espressamente protette la privacy, l’integrità dei dati personali e la libertà d’espressione.
Qui potete leggere il comunicato di Saravá al riguardo.
Aggiornamento: il 28 aprile il pubblico ministero ha sequestrato i dischi di Saravá, causando un down di qualche ora. I dischi erano crittati e comunque non contenevano i dati richiesti, e secondo la legge brasiliana i proprietari non sono comunque obbligati a presentare le chiavi private per decrittarli. La maggior parte dei servizi sono già tornati online.