Archive for the ‘Cyber_Rights’ Category

I hear you

lunedì, Settembre 3rd, 2012

Lo scorso sabato su radio blackout durante la trasmissione “il bit c’e’ o non c’e’ ?” ho avuto occasione di parlare di intercettazioni. Ne e’ uscita una chiaccherata piuttosto lunga, che potete trovare sul sito di radio blackout o su clashnet.org.

Durante la conversazione sono state citate diverse risorse e forse puo’ essere utile fornire i link corrispondenti. Ci sono poi alcune inesattezze che mi sono scappate, un po’ perche’ la puntata era densa e oltre a scomparire piano piano la voce, mi si incrociavano gli occhi, dopo un po’. Infine confesso che non mi ero preparato molto, a parte un foglietto scritto piccolo piccolo, che alla fine non mi riusciva di leggere e quindi andavo a braccio sui ricordi di cose sentite qui e la’.

Link

Questo libro e’ piuttosto interessante, Giovanni Nazzaro, Le intercettazioni sulle reti cellulari. Cercatelo in biblioteca o in giro come ebook. Wikipedia sull’Imei


Scandalo telecom 2006

Audizione commissione parlamentare sulle intercettazioni a seguito dello scandalo telecom

Il caso Diginotar h.online

Anche questa vicenda che coinvolge la Trustwave e’ interssante

Imperial Violet: un blog molto interessante sulle questioni del Tls/ssl

Mitm con certificato fake utilizzando dnsspoof e webmitm. Dsniff

Mallory, Transparent TCP and UDP Proxy


Mitmproxy
, proxy per mitm che genera il certificato al volo, prendendo i dati dal certificato ssl vero. Cambia la ca naturalmente

Phrack sulla deniability nel protocollo Otr

Malware su wikipedia

White paper su malware e il bouncer del market di android alla Blackhat conference

Which Side Are You On in the Hacker Class War ?


Errata Corrige

Ad un certo punto inizio a fare confusione parlando di mitm su Tls/ssl mi parte il cervello e inizio a confondere i termini. Inizio a fare un discorso che non c’entra un cazzo con il problema delle CA e parlo di redirezione del traffico, poi mi riprendo e torno sul tema. Parlando della Diginotar localizzo, non so perche’ il problema, sull’Iran, in realta’ una volta presi i certificati sono buoni da usare dappertutto. Non so perche’ mi ero fissato sull’Iran. La prima parte finisce con un accenno agli smartphone che poi non riprendiamo in questo senso. Dicendo facile avevo in mente sostanzialmente una roba tipo karmetasploit. Parlando dell’otr mi incasino un po’ nello spiegare la deniability, facevo riferimento a questo, potete prendere il testo integrale da http://www.cypherpunks.ca/otr

The last desirable feature that was put into OTR was deniability. So far, the protocol ensures that only Bob can read Alice’s messages, but we have not discussed the situation where Bob attempts to prove the contents of the conversation to a third party. First of all, simply by using symmetric encryption and HMAC, OTR guar antees that all proper messages were generated by someone who knew the secret key; that is, either Alice or Bob. On its own, this prevents Bob from proving anything, as he could simply have pro duced all of the messages himself. However, OTR goes beyond this.
The specific encryption scheme used is AES in counter mode, which is a stream cipher. This means that an adversary may alter a bit of a ciphertext to cause a corresponding change to that bit in the plaintext. Also, after a key is deleted, the corresponding MAC key is published. This means that after the fact, anyone could alter a ciphertext to be anything they wished and then generate a valid MAC for it. This expands the deniability of Alice’s messages; as soon as a MAC key is published, any message using that key could have been generated not only by either Alice or Bob, but also by anyone casually observing their communication. Any link between Alice and the messages she sends under OTR is thus broken.

Inoltre parlo a lungo sulla questione delle domande reciproche, in realta’ avrei dovuto parlare del problema dei milionari socialisti, che e’ la soluzione di Otr al problema dell’autenticazione. Le domande sono solo uno stratagemma per avere qualcosa da confrontare. Pero’ iniziavo a essere un po’ cotto. Per capire perche’ hanno scelto le due domande e’ interessante questo studio sempre pubblicato su cypherpunk.ca. Ad un certo punto dico seven al posto di seventeen in relazione al bug di Microsoft trascinato avanti per 17 anni. Due volte cito phrack, la prima dico l’indirizzo giusto, la seconda sbaglio e dico .com, al posto di .org

Giudice del Lavoro ipersensibile in quel di Siena censura noblogs.org!

mercoledì, Agosto 22nd, 2012

Giovedì 16 agosto siamo stati obbligati a rimuovere un post di un blog di noblogs in seguito a un decreto di sequestro ai sensi dell’art. 321 c.p.p.

Il post in questione era ospitato dal blog “Fratello Illuminato” (http://shamael.noblogs.org) ed era una storiella un po’ confusa a proposito di un giudice e della contea dei Seni. Se lo avessimo letto senza avere sotto mano il decreto di sequestro non avremmo mai capito che la storiella si riferiva (così sostengono chi ha disposto la querela e il GIP) a uno specifico giudice del lavoro di Siena e a sue supposte malefatte. E siamo purtroppo convinti che se non ci fosse stato di mezzo una piccola cittadina di provincia e un notabile del paese, la solerte richiesta sarebbe stata infilata in fondo alla cima di atti che un GIP deve vagliare con un sorriso.

Perché la storiella del post (che penso potrete trovare in giro cercando “Storia di un giudice del lavoro e Marco Porcio CATONE noblogs” sulla cache di google per esempio) è veramente ridicola, e se colui che si ritiene il diretto interessato avesse lasciato perdere nessuno se ne ricorderebbe a distanza di più di un anno dalla sua pubblicazione.

Cosi’ invece rientrera’ nel novero dei casi di quotidiana censura in rete: grande o piccola che sia, per noi rappresenta sempre un problema, perche’ ogni cedimento in questo senso contribuisce a creare dei precedenti e un clima sfavorevole alla liberta’ di comunicare. In ogni modo possibile, anche con stupide storielle satiriche.

Con A/I tentiamo di preservare la riservatezza degli utenti, non registrando nei log indirizzi IP né altre informazioni, né tantomeno la corrispondenza tra identità anagrafiche e servizi che offriamo. Purtroppo però non possiamo molto di fronte a un decreto di un magistrato che ci ingiunge di oscurare un post (e per fortuna si è limitato a questo, in altre occasioni qualcuno aveva avuto la bella pensata di oscurare interi domini o sequestrare interi server per una stupidaggine del genere).

Nel frattempo se qualcuno avesse voglia di diffondere la storiella in questione noi non potremmo certo opporci preventivamente, e toccherebbe al nostro ipersensibile giudice del lavoro senese correre ai ripari.

note su crypto.cat

sabato, Agosto 11th, 2012

Pubblichiamo qualche link sul progetto crypto.cat e le discussioni relative in rete.

http://paranoia.dubfire.net/2012/07/tech-journalists-stop-hyping-unproven.html

Un articolo in cui piu’ che del progetto crypto.cat si parla di come venga trattato in maniera superficiale la questione dai media mainstream, in cerca di storie avvincenti da dare in pasto a un pubblico distratto

Questo di seguito e’ invece un post al quale ha risposto nei commenti nadim kobeissi, l’autore di crypto.cat.

http://thedod.noblogs.org/post/2012/08/04/what-ive-learned-from-cryptocat/

potete leggere il commento anche dal sito di kobeissi

Infine se siete interessati alle questioni tecniche relative allo sviluppo di crypto.cat potete seguire la discussione su github, dove risiede il repository del software

https://github.com/kaepora/cryptocat/issues

Nel commento di nadim si cita anche questo progetto che sembra a prima vista interessante http://www.w3.org/2012/webcrypto/

Hope conference 2012

domenica, Luglio 29th, 2012

reportage su rainews24: hope conference di ny, 22 min.

http://www.rainews24.it/it/video.php?id=28881

contiene:
nona edizione di HOPE (Hackers On Planet Earth) conference tenuta a NY: Emmanuel Goldstein 2600, l’ex direttore della NSA William Binney
ora informatore parla delle intercettazioni totali, gli Yesmen e
l’hacking dei media (portavoce Dow Chemical sulla strage di Bophal alla BBC), Tim Pool livestreamer di Occupy e l’hack-tive-journalism, Cryptome e Wikileaks e il caso Bradley Manning, la Electronic Frontier Foundation che difende dal punto di vista legale i diritti in rete, la Free Sofware Foundation che supporta il diritto al software libero, gli oggetti “privacy enhanced” come un portafoglio che scherma gli RFID (trasmettitori radio contenuti nelle carte di credito e nei biglietti bancari), il TvBGone telecomando universale, le questioni di genere nella comunita’ hacker, ingegneria sociale. A un certo punto arrivano i russi.

ECN di nuovo online / ECN back online

mercoledì, Aprile 25th, 2012

La macchina della repressione mostra ancora una volta la sua inutilità:
dopo pochi giorni ECN è tornata online con un backup di qualche giorno antecedente all’attacco da parte dell’FBI. Vi rimandiamo al loro sito per i dettagli.

Censorship and repression have proven – once again – useless and ineffective:
after a few days ECN is back online; a backup from some days before the FBI attack has been restored. Please check ecn.org for all the details.

Server ECN sequestrato dall’FBI

venerdì, Aprile 20th, 2012

Sequestro del server – aprile 2012

Attacco all’anonimato

Lo scorso mercoledì, 18 aprile, alle 16:00 ora di New York City (le 22:00 ora italiana), le autorità Federali statunitensi hanno rimosso un server dalla colocation condivisa da Riseup Networks e May First/People Link a New York City. Il server sequestrato era gestito dall’italiana ECN.org il più vecchio fornitore di servizi internet indipendente d’Europa che, tra le altre cose, fornisce il servizio di anonymous remailer Mixmaster, obiettivo di un’indagine dell’FBI in merito alle minacce di attentati all’Università di Pittsburgh.

(altro…)

ECN server seized by FBI

giovedì, Aprile 19th, 2012

Original press release

FBI seizes server providing anonymous remailer and many other services
from colocation facility.

Attack on Anonymous Speech

On Wednesday, April 18, at approximately 16:00 Eastern Time,
U.S. Federal authorities removed a server from a colocation facility
shared by Riseup Networks and May First/People Link in New York
City. The seized server was operated by the European Counter Network
(“ECN”), the oldest independent internet service provider in Europe,
who, among many other things, provided an anonymous remailer service,
Mixmaster, that was the target of an FBI investigation into the bomb
threats against the University of Pittsburgh.
(altro…)

Apple censura l’app Phone Story

mercoledì, Settembre 14th, 2011

Come sorprendersi, Apple come ogni Corporation non ha niente di democratico.
Percio’  dopo poche ore dal rilascio dell’App che denuncia il processo produttivo degli iPhone viene censurata e rimossa.

Qui le motivazioni e la risposta degli autori.

Phone Story was pulled from the iTunes App Store on Tuesday September 13 at 11.35am, only few hours after its official announcement.

Apple explained that the game is in violation of the following guidelines*:

15.2 Apps that depict violence or abuse of children will be rejected

16.1 Apps that present excessively objectionable or crude content will be rejected

21.1 Apps that include the ability to make donations to recognized charitable organizations must be free

21.2 The collection of donations must be done via a web site in Safari or an SMS

We contest the violation 21.1 and 21.2 since it’s not possible to make donationsthrough Phone Story. Molleindustria simply pledged to redirect the revenues to no-profit organizations, acting independently.

We are currently considering two steps:

. Produce a new version of Phone Story that depicts the violence and abuse of children involved in the electronic manufacturing supply chain in a non-crude and non-objectionable way.

. Release a version for the Android market and jailbroken ios devices.

The users who managed to buy the app before it went offline are now owners of a rare collector edition piece.

We’ll be posting further updates on our twitter

 

Priv3, idea & plugin per Firefox, “Practical Third-Party Privacy for the Social Web”

martedì, Settembre 6th, 2011

http://priv3.icsi.berkeley.edu/

About Priv3
Did you know that social networking sites like Facebook, Google+, and
Twitter can track your visits to any web page that uses the familiar
“Like”, “Follow”, or “+1” buttons, even if you do not actually click
these buttons?

The Priv3 Firefox extension lets you remain logged in to the social
networking sites you use and still browse the web, knowing that those
third-party sites only learn where you go on the web when you want them
to. All this happens transparently, without the need to maintain any
filters. Priv3 is free to use for anyone.
(altro…)

Autodifesa internazionale contro la sorveglianza

domenica, Gennaio 30th, 2011

Mentre in Egitto Internet viene bloccata a livello nazionale e alcuni smanettoni mettono in piedi reti alternative per la comunicazione tra gli insorti, riprendiamo un manuale dell’EFF[*] di qualche mese fa e invitiamo tutti a leggerlo e a diffonderlo, anche in altre lingue.

Sei soluzioni tecniche per proteggere la libertà d’espressione nei regimi autoritari e quattro consigli per aiutare dall’estero

Introduzione

Internet è ormai uno dei mezzi più potenti mai creati per dar voce ai popoli oppressi di tutto il mondo. Purtroppo, le nuove tecnologie hanno anche fornito ai regimi autoritari nuovi strumenti per identificare chi alza la voce contro la censura e la sorveglianza e per compiere rappresaglie contro gli oppositori. Quelli che seguono sono sei consigli fondamentali per chi sta cercando di far sentire la propria voce e non vuole essere vittima della sorveglianza e della censura di uno stato autoritario, oltre a quattro proposte per chi vuole aiutare i cittadini colpiti dalla repressione.
(altro…)