Archive for the ‘Cyber_Rights’ Category

Di che cosa parliamo quando parliamo di privacy – What we talk about when we talk about privacy

sabato, 17 Agosto, 2013

[english version below]

Giovedì 8 agosto Lavabit (un provider statunitense che offre caselle di posta sicure tra cui quella usata da Edward Snowden) ha chiuso all’improvviso dopo essere stato costretto ad attenersi a un’intimazione del governo USA (su cui non è stato possibile rivelare alcunché). In seguito Silent Circle, un provider incentrato sulla sicurezza, ha deciso di chiudere preventivamente il suo servizio di posta elettronica crittata e di cancellare tutti i dati degli utenti dal proprio server per prevenire rischi per le persone che usavano il servizio.
A questi eventi ha fatto seguito una prevedibile impennata nelle richieste dei nostri servizi, una situazione eccezionale che A/I ha trovato alquanto preoccupante.
A seguito di questa situazione è iniziata una discussione interna al collettivo e riattiveremo a breve le richieste di nuovi servizi.
Mentre aspettate che la vostra casella di posta venga creata, vorremmo offrirvi qualche importante spunto di riflessione.

  • Autistici/Inventati è un progetto volontario e non commerciale che offre servizi online gratuiti (come gli indirizzi di posta elettronica che rispettano la privacy degli utenti) e il cui obiettivo specifico è fornire strumenti di comunicazione a soggetti anticapitalisti e a gruppi di base.
  • Non consegneremo mai volontariamente i vostri dati all’NSA o a qualunque altro ente statale, statunitense o di altri paesi, ma questo non significa che possiamo proteggervi dall’NSA o da altri servizi segreti o forze di polizia malintenzionati. È già successo diverse volte: la polizia ha sequestrato illegittimamente i nostri server (1), e anche se i dischi contenenti la vostra posta sono crittati, questa non è una garanzia di lungo periodo. Non delegate, prendetevi la responsabilità della vostra sicurezza: scaricate e crittate i vostri messaggi.
  • Imparate a usare la crittazione. Installate GPG! Se non sapete da dove iniziare, ecco un link da cui partire.
    La crittazione delle e-mail può essere automatizzata su quasi tutti i client di posta. Le opzioni sono diverse. Tra queste, Thunderbird+Enigmail è una di quelle che vi consigliamo di più. Ed ecco un manuale che spiega quel che serve per rendere sicure le proprie comunicazioni.
  • Anche se i dischi dei nostri server sono crittati, noi non cifriamo le vostre caselle di posta una per una, quindi chi accede alle macchine (cioè gli admin) possono leggere le vostre mail.
    Considerate insomma che quando vi affidate a noi per le vostre comunicazioni vi state fidando di noi come collettivo. Se ancora avete dubbi a riguardo, leggete la nostra policy e il nostro manifesto mentre riflettete su questo argomento.
  • Per finire, per quanto Autistici/Inventati protegga il più possibile la privacy dei suoi utenti, e nonostante i nostri server siano sparsi un po’ in tutto il mondo, considerate che siamo solo un’associazione no-profit legalmente costituita in Italia, un paese il cui governo e i cui enti pubblici sono, a essere ottimisti, almeno altrettanto imprevedibili e subdoli quanto i loro omologhi statunitensi.
    Inoltre, dal momento che l’Italia è un fedele suddito dell’impero USA, siamo abbastanza sicuri del fatto che se le autorità statunitensi decidono di intrufolarsi nella vostra privacy, gli alleati italiani saranno più che pronti a dargli una mano.
    Quindi non date per scontato che possiamo difendervi dall’NSA più di un provider statunitense solo perché i nostri server non si trovano negli USA: non è così che stanno le cose!

Per concludere, ricordate che non esistono bacchette magiche per difendere la propria privacy online e che richiederci una casella di posta è solo il primo passo per difendervi dal controllo e dalla repressione. Se non vi sta bene vivere in un mondo in cui governi e corporations hanno privatizzato il vostro diritto alla privacy dovete agire in prima persona, non delegare a qualcun altro (noi inclusi!) la lotta per un vostro diritto fondamentale. L’unico modo di vincere questa battaglia è che tutti quelli che non accettano questo paradigma inizino a protestare attivamente. La protezione della vostra privacy dipende da voi stessi. Rivendicate i vostri diritti con consapevolezza!



What we talk about when we talk about privacy

On Thursday 8th August, Lavabit (an American provider offering secure mail services including Edward Snowden’s mailbox) suddenly shut down after being forced to comply with (still undisclosed) orders from the US government.
Subsequently, Silent Circle, a privacy-oriented services provider, pre-emptively turned off their encrypted email service, deleting all user data from their server, in order to avoid risks for their users.
After all of this happened, we witnessed a predictable surge in requests for our services, an unprecedented situation that A/I found a bit worrying.
In the meantime, we discussed this issue internally and we will re-enable shortly new service requests.
As you wait for your mailbox to be created, though, we would like to give you some important food for thought.

  • Autistici/Inventati is a volunteer-run non-commercial project providing free internet services, like e-mail addresses, which respect our users’ privacy, and is specifically focused on providing tools for communication to anticapitalist groups and grassroots initiatives.
  • We will never voluntarily hand over your data to the NSA or to any other government agency, be it in the U.S. or elsewhere, but this does not mean that we can protect you from the NSA or any other ill-intentioned intelligence or police force. It has already happened several times: we had the police illegitimately seize one of our servers (1), and although the disks containing your emails are encrypted, this is not a long-term guarantee.
    Do not delegate, act for your own security – download your e-mail messages and keep them encrypted.
  • Learn how to use encryption. Install GPG! If you don’t know where to start, here’s a link for you.
    Encrypting your e-mail can be automated on most all e-mail clients, there are few options, among which we can recommend Thunderbird+Enigmail for a start. Here’s a howto that explains what you need to attain a safe communication.
  • Even though the disks of our servers are encrypted, we don’t encrypt your mailboxes individually, so your mail can be read by those who access the servers, i.e. A/I’s administrators.
    Bear in mind, then, that when you entrust us with your communications, you are trusting us as a collective. If you still have doubts about us, please, read our policy and manifesto as you consider this point.
  • Finally, even if Autistici/Inventati protects their users’ privacy as much as possible, and even if our servers are located in several contries all over the world, you should consider we’re only a non-profit association legally registered in Italy, a country whose government and public agencies are, to say the least, as untrustworthy and sneaking as their American counterparts.
    Besides, since Italy is a loyal subject of the American empire, we are pretty sure that if the U.S. authorities want to intrude into your privacy, the Italian allies will be absolutely ready to give them a hand.
    So please don’t simply assume that since our servers are not based in the U.S.A. we can protect you from the NSA more than an American provider. This is not true at all!

In conclusion, remember there is no magic bullet for your online privacy, and requesting an email from us is just the first step in protecting yourselves from control and oppression. If you don’t like living in a world where governments and corporations privatize your privacy, you MUST get involved personally in the protest. You cannot delegate someone else (even us!) to defend that right for you. The only way we all can win this battle is if every single one of us stands up for her rights and starts protesting actively.  You have to act by yourself, and self-consciously reclaim your rights!

Quel brufolo rosso e grosso sull’Italia

domenica, 4 Agosto, 2013

C’e’ un pallino bello grosso che copre l’Italia nella mappa dei nodi di Xkeyscore [ 1 | 2 ]. Non e’ chiaro se la mappa si riferisca alla dislocazione di server che danno accesso alla struttura, o se descriva l’ubicazione di macchine che analizzano il traffico di rete dei paesi in questione. Se la seconda e il disegnetto delle slides e’ veritiero e i servizi che l’infrastruttura dice di offrire sono realistici: deve esistere un accordo per fornire accesso ai dati relativi. Questo non puo’ avvenire senza che il governo ne sappia e ne abbia saputo qualcosa. Non si finisce nei centri nevralgici di un’infrastruttura di telecomunicazione per caso. Allora sorgono spontanee un sacco di domande. Se questo Xkeyscore si compone di qualche centinaio di macchine sparse per il globo che danno accesso all’analisi del traffico Internet di mezzo mondo, che tipi di dati fornisce l’Italia, in che modo, secondo quale accordo ? Stipulato quando e da chi ? Il problema non e’ cosa da garante della privacy, ma proprio di rapporti tra stati. Se l’Italia partecipa a questa rete di analisi del traffico a che titolo lo fa ? Modello zerbino ? Cosi’ come comperiamo degli F35 dagli stati uniti mentre chiudiamo gli ospedali e le scuole nostre ? O perche’ ci sono degli accordi sull’accesso ai dati ? Noi vi facciamo prendere le informazioni, voi alleati dell’Nsa, che spendete tanti soldini per metterli in ordine, ci fate accedere ogni tanto ? Una mano tra intelligence, sul modello della collaborazione gia’ varata con Echelon. Il BND, l’intelligence tedesca possiede un accordo simile. Prism e’ sul territorio americano, e tentano di giustificarlo con le leggi americane. Questo altro giocattolino sembra posarsi su una fitta rete di collaborazioni internazionali. O altrimenti cosa sono tutti sti pallini ? Che ruolo hanno le ambasciate USA in questa struttura ? Magari siamo noi che interpretiamo male le slides… d’altra parte se i governi non sparassero cazzate a nastro per venire sbugiardati il giorno dopo, uno non dovrebbe tirare a indovinare. E poi e’ il governo americano che mette la pulce nell’orecchio, visto che le loro dichiarazioni ufficiali sono tutte tese a giustificarsi, dicendo “Avete capito male, questo robo non serve a controllare i cittadini americani, noi controlliamo gli stranieri all’estero. Cioe’ noi non e’ che controlliamo gli americani, ma tutti gli altri”. Simpatici no ? Poi si lamentano che tutto il mondo ce l’abbia con loro.
Xkeyscore comunque ha dei risvolti interessanti anche semplicemente a livello di conferme. Appare chiara la criminalizzione della crittografia. La slide “Mostrami tutti quelli che in Iran cifrano le mail con PGP” e’ splendida. Fossi il governo iraniano renderei obbligatorio l’utilizzo della crittografia solo per far salire a qualche decina di milioni i risultati della ricerca. A quel punto l’Iran si sarebbe guadagnato il titolo di stato canaglia a tutti gli effetti. E’ piu’ difficile da interpretare invece la slide sulle vpn, non si fa riferimento a quali tipi di vpn (IPSEC, PPTP, Openvpn, ssh tunnel, tinc, o che altro), cosi’ ad occhio sembra una spacconata quel “so I can decrypt the data”, che magari va letto come “analizzo il traffico, recpurero ip dei due capi della vpn, il tipo e cerco di capire se posso sfruttarne qualche vulnerabilita’”. Si tratta pero’ quasi sempre di man in the middle, cioe’ di inserirsi attivamente all’interno di una connessione dati e non e’ detto che riesca sempre indipendentemente da come e’ configurato il client vpn e non e’ esattamente quanto riportato nelle slides. Boh. La manipolazione del traffico e qualche tipo di attacco mirato in realta’ spiegherebbero anche la slide piu’ sibilinna di tutte per me, la 25, che recita “Show me all the exploitable machines of country X”. Exploitable in che senso e per fare cosa ? Mi owni la macchina ? Mi mandi un malware e mi accendi la webcam senza che me ne accorga ? Mi fai un mitm ? Mi geolocalizzi con google maps e poi arriva la cia e mi porta via, come Abu Omar ?
Se qualcuno di voi ha altre interpretazioni commentate pure, che tanto qui non spiega niente nessuno, tocca districarsi da soli ( se queste sono spiegazioni… [ 1 | 2 ] )
Sarebbe veramente interessante chiarire il senso preciso di questo documento semi tecnico, giusto per capire quanto l’hanno alta questi dell’NSA. Anche se la conclusione della presentazione, con i 300 terroristi arrestati grazie all’analisi del traffico web, da un po’ la misura.
Noi in Italia avremmo una lezione da impartire, con umilta’ si intende, nel nostro piccolo ecco. Lo scandalo Telecom-Sismi e correlati ha messo bene in evidenza come costituire una struttura di controllo elefantiaca, e dai grossi poteri, un paiolo di interessi pubblici e privati, finisca per creare un polo di attrazione irrestibile per tanta brutta gente. Poniamoci per esempio in un’ottica legalitaria e supponiamo che l’NSA abbia veramente arrestato 300 pericolosissimi criminali grazie ai miliardi di dollari spesi per questa mastodontica rete di cui noi conosciamo solo la punta dell’iceberg. Bene, dato che la loro super struttura viene messa in crisi da un solo impiegato che decide di rivelarla al mondo, abbiamo sicuramente altri 1000 Snowden che al posto di dirlo a tutti, hanno rivenduto i propri servizi ad aziende, investigatori privati, trafficanti, mafiosi, politici, finanziarie, banche, agenzie di rating, intelligence concorrente e via di seguito. Quindi avranno arrestato 300 presunti terroristi e favorito 30000 altri personaggi di categorie umane peggiori. Lo scandalo Telecom insegna che l’uso piu’ ghiotto delle interecettazioni e’ lo spionaggio aziendale. Ad esempio se io fossi stato il governo degli Stati Uniti per convincere le grosse multinazionali della rete a collaborare avrei offerto separatamente a ciascuna di loro l’accesso ai dati dell’altra. Tipo avrei promesso a Facebook di farli accedere ai dati che Prism ricava da Gmail e viceversa e poi a entrambe avrei promesso i dati di concorrenti stranieri. Diabolico eh ? Siete fortunati che non lavori per l’NSA. E comunque la lezione in Italia non l’abbiamo imparata , oppure l’abbiamo imparata fin troppo bene, a giudicare da tutte le belle novita’ introdotte dal decreto Monti in termini di sorveglianza e accesso ai dati [ 1 | 2 | 3 ]
Una cosa appare pero’ molto evidente dall’evoluzione del controllo: i tecnici, gli hacker in particolare, dovrebbero smetterla di aiutare i governi a fottersi il resto dell’umanita’ e posizionarsi dalla parte giusta della barricata, o almeno in una posizione piu’ dignitosa. Se trovate un’offerta di lavoro tipo questa, evitate di mandare il curriculum magari.

prism-break nsa e ombre che ci seguono

domenica, 30 Giugno, 2013

walking-shadow Da qualche giorno siamo comparsi su prism-break.org, a seguito del caso Snowden e le rivelazioni sul progetto PRISM della NSA di cui tutto il mondo sta seguendo gli sviluppi.
Siamo contenti di aver ricevuto questa attenzione per quanto abbia prodotto un ‘effetto slashdot’ nelle richieste di caselle di posta, ma vorremmo ricordare che la sicurezza non e’ delegabile e noi siamo solo un esempio di quello che con un po’ di autorganizzazione si puo’ realizzare in proprio, secondo il vecchio motto ‘we build the internet’.
Ci ripromettiamo in futuro di introdurre meglio i nostri servizi dal punto di vista delle possibilita’ di anonimizzazione per evitare fraintendimenti sulle reali possibilita’ di questo progetto, per ora ci limitiamo genericamente a segnalarvi un paio di siti in cui e’ bene dare un occhio per provare a riflettere sugli aspetti di riservatezza che sempre piu’ sono messi in pericolo dalle pratiche di multinazionali e governi. Uno lo avevamo gia’ segnalato nel 2009, ed e’ il manuale di difesa digitale della EFF (poi non dite che non ve l’avevamo detto), mentre il secondo e’ piu’ recente a cura del collettivo tactical tech, myshadow. Entrambi sono in inglese.
Per finire vi segnaliamo una pagina per ‘farsi beffa’ dell’NSA, per quanto non ci sia molto da ridere nella realta’ dei fatti: hello NSA.

A/I vs Bassani, gli atti e considerazioni

mercoledì, 17 Aprile, 2013

In questo post trovate la poca documentazione allegata al decreto penale che abbiamo ricevuto in relazione alla vicenda A/I vs Bassani.
Si tratta di una nota della polizia postale di Firenze ( 1 | 2 ), nella quale dopo aver faticosamente accertato che la nostra casella postale appartiene veramente a noi, l’ufficiale incaricato prende in esame la documentazione fornita da Bassani: in base ad un confronto tra i siti effettuato attraverso “web archive” decide che il file in questione appariva prima sul sito di Bassani e poi nel sottosito di A/I.
La procura di Milano, preso atto di questa attenta analisi, decide di condannarci in relazione alla querela presentata dal signor suddetto.
E’ interessante notare come il motivo della diatriba sia la richiesta di un risarcimento per la pubblicazione del materiale, mentre noi ci siamo limitati a rimuoverlo. In realta’ nel carteggio con lo studio del signor Bassani non vengono mai richiesti esplicitamente dei soldi, ci si limita ad insistere sul principio che se l’associazione non e’ in grado di fornire dati utili all’identificazione dell’utente, in ogni caso e’ da ritenersi responsabile di ogni singolo contenuto pubblicato sotto i propri domini, poiche’ non poteva non essere a conoscenza di quanto presente sui propri server.
Il nostro sospetto e’ che il signor Bassani abitante in provincia di Varese conosca al piu’ le associazioni della propria parrocchia e che si rifaccia a questo modello per inquadrare il caso.
In merito a tutto cio’ avremmo due considerazioni, semplici, ma che evidentemente ne’ la postale di Firenze, ne’ Bassani sono stati in grado di fare.
Di cosa si occupa la nostra associazione ? E’ scritto nell’home page del sito:
A/I (che sta per autistici.org / inventati.org) nasce nel marzo 2001 dall’incontro di individualità e collettivi che si occupano di tecnologie, privacy, diritti digitali e attivismo politico. L’idea di base è quella di fornire strumenti di comunicazione liberi e gratuiti su vasta scala, spingendo le persone a scegliere modalità comunicative libere anziché commerciali. Vogliamo informare e formare sulla necessità di difendere la propria privacy e di sottrarsi al saccheggio di dati e personalità che governi e grandi aziende conducono in maniera piuttosto indiscriminata.
A/I fornisce tutta una serie di servizi liberi, gratuiti e rispettosi della privacy …
Da questo semplice passaggio si poteva intuire che la decina di membri dell’associazione non gestiscono direttamente i contenuti delle migliaia di spazi che offrono. Cosi’ come google non inserisce ogni filmato di youtube, ne’ e’ autore di tutte le mail @gmail, ne’ responsabile di tutti i link che il proprio motore di ricerca fornisce a tutto il mondo. Questo principio si chiama net neutrality ed e’ il motivo per cui Internet e’ ancora accesa e funzionante. Onestamente non riusciamo a comprendere per quale ragione se la procura di Milano assolve google nel caso, ben piu’ complesso, della pubblicazione di un video di sevizie ad un disabile, noi dobbiamo venire condannati per una questione del tutto simile, ma decisamente piu’ irrilevante.
I membri del collettivo di gestione di A/I sono tutti volontari non pagati, non ricaviamo alcun reddito da questa attivita’, che e’ sostenuta solo dalle donazioni degli utenti, a stento arriviamo a pagare le spese dell’infrastruttura a fine anno. Che interesse avremmo avuto a diffondere in rete un pdf dal nome misterioso realizzato dal signor Davide Bassani, video maker col pallino dell’informatica forense ? Attirare visitatori ? e perche’ ? Non solo non mettiamo pubblicita’ sugli spazi che offriamo, ma neppure permettiamo che lo facciano i nostri utenti.
Attualmente i nostri servizi sono utilizzati da qualche decina di migliaia di persone. In quale modo secondo il signor Bassani il nostro gruppo di volontari gestirebbe direttamente i contenuti di piu’ di 7000 siti ? E le mail: sono nostre anche tutte le mail ? e le liste di discussione pure ? Pensa forse che siamo dei polipi con cento occhi e mille braccia ?
Il signor Bassani ha deciso di giocare con un principio che mantiene la liberta’ in rete ad un livello accettabile. O questo vale sempre, dando la possibilita’ anche a chi non e’ un colosso come google di offrire dei servizi, oppure si rompe un equilibrio, che finisce per restringere la liberta’ di comunicazione di tutti.

A/I vs Bassani, quando i cattivi vincono la prima ripresa

venerdì, 22 Marzo, 2013

[english version below]

Circa tre anni fa, nel 2010, abbiamo ricevuto una richiesta da uno studio legale relativa alla rimozione di alcuni file presenti su un sotto sito di un nostro utente, che avrebbero violato la legge sul copyright. Il cliente dello studio era tale Davide Bassani di www.dreamvideo.it, www.davidebassani.it

Il file in questione stava qui

http://www.autistici.org/dhexform/

nello specifico si richiedeva la rimozione di “Video, post pro Ciola.pdf”

La mail associata all’account sui nostri server risultava disabilitata perche’ non letta da mesi. Quindi come spesso accade ci siamo trovati con un account abbandonato a dover gestire le magagne di qualcun’altro. Abbiamo dunque rimosso il file perche’ non fosse piu’ scariacabile, come potete verificare anche da soli. Ma non era abbastanza. Il carteggio del nostro avvocato con lo studio legale a questo punto si fa piu’ imbarazzante, perche’ il signor Bassani a tutti i costi voleva sapere i dati anagrafici relativi all’account in questione. Intendeva infatti procedere comunque per vie legali e cercare di raccattare quattro spicci da una causa per violazione del copyright. La nostra policy, come accade per molti altri fornitori di servizi on line anche commerciali, non prevede l’obbligo per i nostri utenti di fornirci alcun dato anagrafico, abbiamo fatto presente che non sapevamo cosa dirgli e che il sito in questione contava pochi accessi, il nome del file non faceva presagire nulla che violasse qualche tipo di copyright, la nostra e’ un’associazione di volontari non pagati, che non hanno materialmente il tempo, ne’ la voglia per controllare le nostre decine di migliaia di utenti e che sarebbe stato gentile che la faccenda si chiudesse con la rimozione del file.
La risposta dello studio e’ stata in puro avvocatese, e del tutto priva di umanita’ e simpatia: il messaggio era chiaro o tirate fuori un nome oppure procediamo contro di voi. E cosi’ e’ stato.

Per quanto ne sappiamo questa dreamvideo avrebbe tranquillamente potuto aprire un account su di noi, mettere il video e poi denunciarci, ma anche senza cadere nel complottismo da morti di fame, pensiamo che dall’atteggiamento della controparte traspaia un certo gretto opportunismo nell’approfittarsi della situazione e nell’affogare il buon senso nella burocrazia e nei cavilli.

L’altro giorno con nostro sommo disappunto ci siamo visti recapitare un decreto penale di condanna di 1500 euro per violazione della legge sul copyright, al quale non mancheremo di fare ricorso, poiche’ la sentenza ci appare completamente senza senso. Ringraziamo sentitamente il signor Davide Bassani, video maker esperto di computer forensis, come spiega nel proprio sito, per la sensibilita’ dimostrata nel denunciarci all’autorita’ giudiziaria. Siamo sicuri ne trarra’ dell’ottima pubblicita’ e tante buone cose.

Infine vorremmo chiudere con un appello ai nostri utenti: se caricate sui vostri siti o blog materiale sottoposto a copyright ci esponete a fastidiose azioni legali. Dal momento che noi non conserviamo alcuna informazione atta a ricondurre un utente ad una persona reale, il problema sara’ quasi sempre solo nostro. Mettetevi una mano sul cuore e cercate di usare il cervello, le vie del file sharing sono infinite e appoggiare le cose su di noi non e’ la scelta giusta.



A/I vs Bassani, when villains win the first round
(altro…)

Effetti collaterali del cncpo

venerdì, 15 Febbraio, 2013

Su http://blog.bofh.it/id_430 si trova un articolo interessante sulla comparsa all’interno della blacklist del cncpo (Centro nazionale per il contrasto alla pedopornografia online) di un url relativo ad un server di tumblr. La direttiva fa riferimento ad una singola immagine, ma di fatto molti provider hanno scelto di bloccare tutto il dominio, inibendo in questo modo l’accesso a migliaia di immagini di utenti ignari. E’ interessante come la maggior parte degli strumenti censori/repressivi si affinino su campagne e temi che riscontrano un ampio consenso mediatico e popolare. Cosi’ come sugli ultras sono stati sperimentati e affinati leggi e tecniche per la repressione in piazza, la censura on line viaggia sui temi della pedopornografia, del bullismo, ecc… Tutti temi che possano alimentare una viscerale e generica indignazione che renda semplice l’introduzione di meccanismi di controllo di massa. Su http://censura.bofh.it/ sono elencati siti e numeri della censura di Internet in Italia. E’ una delle poche operazioni di trasparenza e dibattito pubblico sul tema, visto che le istituzioni tendono a non gradire e evitare la discussione.
Sabato sera la trasmissione di radio blackout “Il bit c’e’ o non c’e’” sara’ dedicata proprio a questa tematica.

La censura su internet in Italia: un problema sottovalutato

domenica, 13 Gennaio, 2013

censuraIn Italia internet viene pesantemente censurata dallo stato e dalle forze dell’ordine. Ad oggi ci sono più di cinquemila siti che dalla rete italiana sono irraggiungibili senza che la decisione derivi da una sentenza penale. In sostanza, ai provider italiani viene chiesto di impedire ai propri clienti di raggiungere una porzione di internet, ed è ormai pratica comune utilizzare lo strumento censorio per bloccare siti di filesharing o anche di ecommerce, oltre ai siti di scommesse e di pedopornografia.

Inutile sottolineare come questo costituisca una grave limitazione delle libertà individuali dei navigatori, anche se questa censura è facilmente aggirabile da chi voglia realmente raggiungere tali siti, ad esempio usando TOR.  Stupisce che non ci sia alcuna consapevolezza diffusa su questo tema:  a livello tecnico la censura di internet in Italia è equiparabile a quella in vigore in regimi totalitari, eppure nessuno sembra particolarmente preoccupato. Ancora più paradossale è il fatto che questa censura agisca spesso sottotraccia, e  l’indice dei siti proibiti non esista in alcuna forma pubblica consultabile dai cittadini.

Ma le cose cambiano: finalmente è stato creato un sito  dove tutti i procedimenti di censura vengono pubblicizzati e raccolti,  e che permette di tastare con mano la pervasività e l’arbitrarietà di questi progetti censori:

http://censura.bofh.it

E’ un’iniziativa encomiabile e che riporta al centro della discussione sulla rete in italia il tema delle libertà digitali violate. Infatti la censura è tanto piu’ forte quanto meno il grande pubblico ne è consapevole.

Nokia ssl mitm

sabato, 12 Gennaio, 2013

Da diversi anni si discute sul senso e sui problemi dell’attuale realizzazione e applicazione dei protocolli Tls/Ssl. L’attuale struttura di pki basata su ca private che operano come se fossero dei notai autoproclamati ha un senso e serve allo scopo ? Oppure semplicemente viene tenuta in piedi perche’ tutto il commercio elettronico si basa sull’esistenza di questo protocollo, e quindi bisogna dire che funziona anche se poi non funziona davvero ?
In molti hanno prodotto riflessioni interessanti sull’argomento, vi consigliamo in particolare questo articolo di Sogohian.

Un esempio di come l’attuale sistema di autenticazione di un certificato ssl/tls sia facilmente aggirabile da telco, enti governativi, proxy aziendali e’ quanto la nokia ha messo in piedi per accellerare la navigazione da alcuni modelli di smartphone.

In bella sostanza per ogni richiesta https si chiude prima la contrattazione del certificato con un proxy della nokia il quale possiede un certificato valido firmato da una CA riconosciuta, e quindi che non genera alcun warning, ne’ finestrella. Sara’ il proxy a fare la richiesta per noi. Questo implica pero’ che il proxy possa vedere in chiaro tutto il nostro traffico ssl/tls, perche’ noi abbiamo chiuso con lui il canale cifrato e solo in seguito lui ne ha aperto un altro con la nostra destinazione. Il suo compito e’ per l’appunto decifrare il nostro traffico, ricifrarlo con la chiave contrattata con la destinazione, e viceversa. Il meccanismo e’ completamente trasparente senza un’analisi del flusso di dati un po’ dettagliata o senza controllare il certificato che ci viene fornito ( sara’ sospettosamente sempre lo stesso per ogni sito che andiamo a visitare). Si tratta usando un lessico un po’ diverso di un attacco mitm su ssl come si potrebbe piu’ elengantemente imbastire attraverso mallory e altre piccole accortezze.

Potremmo consigliarvi di non usare software closed source per non incappare in queste brutte sorprese e di usare comunque sempre plugin come certificate patrol/, che per quanto aprano un sacco di noiose finestrelle permettono di capire cosa accade dietro le quinte nel giochino del ssl/tls. Riteniamo pero’ che questa faccenda sia piu’ interessante per il modello tecnologico che delinea. Si parla di questo problema da circa un decennio, ma il fatto che su questa struttura si basi tutto il commercio elettronico implica che si debba discuterne sottovoce e dietro le quinte e nell’impossibilita’ di trovare una soluzione che non turbi le nostre tranquille ore di shopping on line, fare finta di niente. Tutto avviene in ogni caso soltanto nel nostro interesse, come si e’ affrettata a dichiarare la nokia colta in fallo.

Crypto Party Handbook

lunedì, 8 Ottobre, 2012

Un  connubio di buffi personaggi ha dato vita a questo utile manualetto di cui consigliamo la lettura, e’ aggiornato, ha tanti screenshot e’ scritto in un inglese semplice e non troppo tecnico.

https://cryptoparty.org/wiki/CryptoPartyHandbook

http://booki.cc/cryptoparty-handbook/

 

 

Rethinking Small Media – 06/10/2012, SOAS, London

sabato, 6 Ottobre, 2012

Oggi alla SOAS di Londra faremo un intervento all’interno della conferenza Rethinking Small Media 2012, parlando di controllo e fughe dal controllo. Qui sotto trovate il draft del nostro intervento, da cui partiremo per discutere le problematiche su cui ci siamo concentrati negli anni: anonimato, liberta` d’espressione, metodi e comportamenti critici rispetto i nuovi media.

Today at SOAS in London we’ll take part in a panel at Rethinking Small Media 2012, talking about control and circumventing the circumventors. Below you can find the draft of our speech, from which we’ll start discussing the problems we always focused on: anonymity, freedom of expression, and critical approaches to new media.

Grassroots movements in italy: when hacking and politics meet to produce independent information

A little background
In Italy in the late nineties there was a niche of squatters who was interested in cyberpunk culture and since the BBS era (90s) there were groups in the squat movement who were approaching the computer networks as an important tool for modern communication.
In 1998 there was the first hackmeeting initiative in Italy, a hacker gathering held in a squat in Florence, a three days of knowledge sharing, hacking and debates on themes like privacy, (h)acktivism and techno nomadism. This had been the coming out of the italian hacker scene to fight back the mainstream definition of hacker, which at the time where seen basically as ‘computer criminals’, while it is well known that the hacking attitude is not exclusively about cracking computer networks but it involves creativity, intelligence and outreach, and building networks as well.
Slogans like ‘information wants to be free’, ‘we build the internet’ and ‘we believe in running code and rough consensus’ were pretty well taken by technology activists all around our country.
After that, lots of people changed their mind, in Italy, about the definition of hackers – not anymore a dark entity working to destroy, but a rather well defined individual (or collective) willing to liberate information, build networks of people and computers, and mastering and sharing knowledge with everyone.

The italian mix of hacking and politics
Autistici/Inventati is a typical example of a grassroots collective, born in squats through the encounter of two different groups, and here lies its first peculiarity.
This introduced a duality which somewhat (in our opinion) lead to a better organizational model.
Every interaction within the collective is based on network-based communication, using whatever tool is available (mailing lists, chatrooms, e-mails and so on) to co-ordinate ourselves, or for instance to meet up in person to give birth to our first internet server.
Autistici was a sub-group of a hacklab collective, named LOA, which was gathering hackers from the italian underground scene of Milan, very active on their territory and oriented on a knowledge sharing approach.
Born in 1999, in 2000 they gave birth to a classroom of 24 recycled “486″ computers, in order to offer computer programming lessons to everyone.
This example had been followed in many other towns in Italy, where hacklabs were quite present in squats at the time, the first of them founded in 1995 (Freaknet Medialab, Catania).
This evangelization effort led to an offspring of media activists, in a situation where in the beginning, there was perhaps just one person in every squat who was able to write HTML and publish online.
An example of this situation was in the squat were LOA was based, where an e-zine, named chainworkers.org, about casual workers and chainworkers’ rights, was made possible by the effort of a single person out of a whole collective.
Not counting all the knowledge produced by LOA: a lots of courses where taken ‘as is’ by several reference guides on the ‘net and printed by universities’ student collectives as well.
Inventati was a group of activists based in Florence who envisioned the Internet as a key tool for doing politics available to the masses. They used open source tools to cover various no-global events, like during the anti-IMF and World Bank protests in Prague (2000), where they set up some sort of “ante-litteram twitter” in order to have a real time coverage of the event.
We both aimed at using the internet and media tools to provide a service to the movement and do our own communication without being filtered by mainstream media.
An example had been the Media Center of the Genoa G8, which was built with GNU/Linux computers thanks to the efforts of the hacker community and of activists who aimed at providing a media coverage of all the different protests and political alternatives present in those days.
This experience turned out to be the first real evidence of the existence of the new born italy.indymedia.org, which had first been introduced in Italy few months before as a ‘media hoax’ by a couple of local activists. For the G8 Media Center, Indymedia, given the push of Autistici/Inventati and several other individual activists, turned out to be a huge internet subject that was letting ‘the media-activist’ be born in Italy, in a networked environment. Therefore the need for education on internet tools became crucial for lots of activists.
The italian movement was now largely online (2001).
Since then, in Italy there has been a media center for all the most important demonstrations, and media-activists have made audio/video streaming and published texts and images through Indymedia (and other minor similar projects).
As it often happens in these environments, the approach to obtain these results had been ‘learn by doing’ and ‘self manage your own needs and desires to let happen what you want to happen’, by promoting a networked culture based on ‘rough consensus’ — as normally happens in anarchist groups — and inevitably on ‘running code’ — as the hacker culture prescribes.
In the years Autistici/Inventati has become an informal service provider, at first based on a recycled computer, a server where activists could get free and anonymous mailboxes, webspace, mailing lists, as well as some HOWTOs to learn about encryption and the basic usage of a computer connected to the internet. So besides the basic needs of a networked communication mode, we were already offering a GPG key server and an anonymous remailer, providing tools to protect activists from commercial and police attention.
As stated in our policy, we never ask users to give us their personal data, we don’t keep any trackable information about them and we use every possible technical option to keep the sensitive data (e.g. personal emails) hidden from third parties not involved in the communication process. Over time, as our user base was growing — along with police attention –, we set up a network of servers abroad to take advantage of grey areas in international legislation, so as to make our services more resilient and secure.
The choice of introducing new tools has always been preceded by a need to satisfy our community, the activists. We didn’t follow every single Internet hype towards a new way of participating in the Internet mediascape, even though we did real time streaming when the mainstream was still wondering about how to monetize their textual web site.
For example, we launched the Noblogs blogging platform in late 2004, when the “blog” concept was already well established.
At the time, the Indymedia Network in Italy was about to collapse. It was clear that it wasn’t reflecting the complexity of the italian movement anymore, and so we believed we had some chances to collect the different pieces by providing *personal* blogs, and then letting the different groups recombine. This has successfully happened in a number of cases: for instance femminismi.noblogs.org is the result of several feminist blogs which decided to federate and publish their posts in one common place.
The ongoing process of redefinition of the range of tools led us to choose to support Tor as a service and recently to launch our own disposable self-service VPN(Virtual Private Network), so as to allow our users to browse the web in a secure way, since the global surveillance scenario is always evolving and becoming more complex.
From the firewall of an office, spying on employers, to the great firewalls on the Internet borders of many nations, there’s a widespread tendency to control, spy, analyze, monetize every activity everyone is doing online.
Going forward, from this huge amount of ‘learn by doing’ and self organization, in more than 10 years we have suffered seizures of our servers or of hosted sites, requests of personal details of email owners and such. When possible, we faced trials and actually won in court in the name of freedom of expression and satire. In other occasions we have just (passively) resisted by not accomplishing the requests, since we were asked for personal details and, as stated before, we don’t have them.
This is possible since we are not formally an internet service provider but a simple informal association: a narrow legal escape that till today had made our survival possible in frequent occasions.
“Condividere saperi senza fondare poteri” / “Sharing knowledge without establishing powers” is our slogan.
It’s a quote of Primo Moroni, an indipendent left-wing Italian librarian and writer from the 90s, and we get most of our inspiration on sharing from his words.
Looking to the present and future of our collective, we aim to be inspiring for other tech collectives, therefore all of our tools are publicly available and documented.
Every single aspect of our server infrastructure can be replicated by anyone. Our secret dream is to build a federated network of servers like ours.
In the meantime we are trying to understand and improve our organizational model, hoping for it to be replicable as well.
Speaking of ongoing projects, In the near future we will be launching new services where a discreet amount of our users will be involved directly with our infrastructure, we codenamed it as “AIbox”.
The rationale behind that is that we’d like to give a “piece” of Autistici.org to those selected users, whom will end up owning a piece of this resilient “cloud”.
It’s important to say one last (more?) thing about Autistici/Inventati: All this has always being funded by collecting donations.