Archive for the ‘DailyHacking’ Category

Regali di fine anno | Gifts for the end of the year

martedì, dicembre 15th, 2015

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

  1. Accedi al tuo pannello utente.
  2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
  3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
  4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

  • La 2FA è per la webmail: per il resto dovrai generare una password specifica.
    Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
  • Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
    1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
    2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
  • Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

(altro…)

Nokia ssl mitm

sabato, gennaio 12th, 2013

Da diversi anni si discute sul senso e sui problemi dell’attuale realizzazione e applicazione dei protocolli Tls/Ssl. L’attuale struttura di pki basata su ca private che operano come se fossero dei notai autoproclamati ha un senso e serve allo scopo ? Oppure semplicemente viene tenuta in piedi perche’ tutto il commercio elettronico si basa sull’esistenza di questo protocollo, e quindi bisogna dire che funziona anche se poi non funziona davvero ?
In molti hanno prodotto riflessioni interessanti sull’argomento, vi consigliamo in particolare questo articolo di Sogohian.

Un esempio di come l’attuale sistema di autenticazione di un certificato ssl/tls sia facilmente aggirabile da telco, enti governativi, proxy aziendali e’ quanto la nokia ha messo in piedi per accellerare la navigazione da alcuni modelli di smartphone.

In bella sostanza per ogni richiesta https si chiude prima la contrattazione del certificato con un proxy della nokia il quale possiede un certificato valido firmato da una CA riconosciuta, e quindi che non genera alcun warning, ne’ finestrella. Sara’ il proxy a fare la richiesta per noi. Questo implica pero’ che il proxy possa vedere in chiaro tutto il nostro traffico ssl/tls, perche’ noi abbiamo chiuso con lui il canale cifrato e solo in seguito lui ne ha aperto un altro con la nostra destinazione. Il suo compito e’ per l’appunto decifrare il nostro traffico, ricifrarlo con la chiave contrattata con la destinazione, e viceversa. Il meccanismo e’ completamente trasparente senza un’analisi del flusso di dati un po’ dettagliata o senza controllare il certificato che ci viene fornito ( sara’ sospettosamente sempre lo stesso per ogni sito che andiamo a visitare). Si tratta usando un lessico un po’ diverso di un attacco mitm su ssl come si potrebbe piu’ elengantemente imbastire attraverso mallory e altre piccole accortezze.

Potremmo consigliarvi di non usare software closed source per non incappare in queste brutte sorprese e di usare comunque sempre plugin come certificate patrol/, che per quanto aprano un sacco di noiose finestrelle permettono di capire cosa accade dietro le quinte nel giochino del ssl/tls. Riteniamo pero’ che questa faccenda sia piu’ interessante per il modello tecnologico che delinea. Si parla di questo problema da circa un decennio, ma il fatto che su questa struttura si basi tutto il commercio elettronico implica che si debba discuterne sottovoce e dietro le quinte e nell’impossibilita’ di trovare una soluzione che non turbi le nostre tranquille ore di shopping on line, fare finta di niente. Tutto avviene in ogni caso soltanto nel nostro interesse, come si e’ affrettata a dichiarare la nokia colta in fallo.

Hope conference 2012

domenica, luglio 29th, 2012

reportage su rainews24: hope conference di ny, 22 min.

http://www.rainews24.it/it/video.php?id=28881

contiene:
nona edizione di HOPE (Hackers On Planet Earth) conference tenuta a NY: Emmanuel Goldstein 2600, l’ex direttore della NSA William Binney
ora informatore parla delle intercettazioni totali, gli Yesmen e
l’hacking dei media (portavoce Dow Chemical sulla strage di Bophal alla BBC), Tim Pool livestreamer di Occupy e l’hack-tive-journalism, Cryptome e Wikileaks e il caso Bradley Manning, la Electronic Frontier Foundation che difende dal punto di vista legale i diritti in rete, la Free Sofware Foundation che supporta il diritto al software libero, gli oggetti “privacy enhanced” come un portafoglio che scherma gli RFID (trasmettitori radio contenuti nelle carte di credito e nei biglietti bancari), il TvBGone telecomando universale, le questioni di genere nella comunita’ hacker, ingegneria sociale. A un certo punto arrivano i russi.

A/I ha un sito nuovo || A/I has a brand new site

lunedì, aprile 2nd, 2012

[IT] A/I è lieta di presentarvi il suo nuovo sito. Dopo 7 anni di onorato servizio mandiamo in pensione il vecchio sito: aveva molti pregi, ma anche molti difetti e abbiamo pensato che fosse importante snellire la nostra comunicazione verso l’esterno, dato che esiste questo blog per i deliri di tutti i membri del collettivo sulle più disparate cause, e per tutti i nostri utenti che vogliono sapere cosa ci succede. Speriamo vi piaccia e che finalmente vi risulti più facile capire dove collegarvi per accedere alla vostra posta! :)

[EN] The A/I collective is happy to launch its brand new site. After 7 years of honored service we switched from the old version of our website: it has been a nice cover for a long while, but we thought important to make our communication swifter and clearer, since we already have this blog to rant about and inform all of you of our misfortunes. We hope you’ll like the new site and you’ll finally be able to find where to login! :)

Come funziona noblogs / how noblogs works

venerdì, novembre 18th, 2011
Se vi interessa come funziona noblogs dal punto di vista tecnico, potete leggervi questo articolo (in inglese).
If you are interested in understanding how noblogs is set up technically, you should check out this post.

Apple censura l’app Phone Story

mercoledì, settembre 14th, 2011

Come sorprendersi, Apple come ogni Corporation non ha niente di democratico.
Percio’  dopo poche ore dal rilascio dell’App che denuncia il processo produttivo degli iPhone viene censurata e rimossa.

Qui le motivazioni e la risposta degli autori.

Phone Story was pulled from the iTunes App Store on Tuesday September 13 at 11.35am, only few hours after its official announcement.

Apple explained that the game is in violation of the following guidelines*:

15.2 Apps that depict violence or abuse of children will be rejected

16.1 Apps that present excessively objectionable or crude content will be rejected

21.1 Apps that include the ability to make donations to recognized charitable organizations must be free

21.2 The collection of donations must be done via a web site in Safari or an SMS

We contest the violation 21.1 and 21.2 since it’s not possible to make donationsthrough Phone Story. Molleindustria simply pledged to redirect the revenues to no-profit organizations, acting independently.

We are currently considering two steps:

. Produce a new version of Phone Story that depicts the violence and abuse of children involved in the electronic manufacturing supply chain in a non-crude and non-objectionable way.

. Release a version for the Android market and jailbroken ios devices.

The users who managed to buy the app before it went offline are now owners of a rare collector edition piece.

We’ll be posting further updates on our twitter

 

The YESman need you!

martedì, settembre 13th, 2011

iPhone App About Apple’s Rotten Supply Chain Gets Past CensorsThis and upcoming Yes Lab projects no hoax
Contact: info@molleindustria.it, michael.pineschi@gmail.com


To the great surprise of its creators, a funny new iPhone gamecritical of Apple’s human rights record was accepted by the iTunesstore and is being released today. The app, called Phone Story,teaches players about abuses in the life-cycle of the iPhone byputting them in the manufacturers’ shoes. To win, players must enslavechildren in Congolese mines, catch suicidal workers jumping out ofChinese assembly plant windows, and conscript the poorest of theworld’s poor to dismantle toxic e-waste resulting from obsoletephones.
The seriously funny new game will sell for 99 cents on iTunes; allproceeds will go to organizations fighting to stop the horrors thatsmartphone production causes. Read more about Phone Story below. Butfirst, a word from Phone Story’s sponsors.
Yes Lab Fundraising Campaign a Shocking Success
Last week the Yes Lab sent you an appeal for support. We set asideforty days and forty nights to reach our goal on Kickstarter—but withyour help we’ve gotten there in just five! (Note: if you haven’t yetdonated, don’t let our success dissuade you! We’ll use the extra moneyto fund more projects, and to develop tools and resources to helpfolks carry them out. And by the way, if you’re a Drupal programmerand feel like helping to make those tools, please write to us!)
Since our fundraising appeal is doing so well, we’re launching ourvery own curated page on Kickstarter, to support other coolprojects—like Beautiful Trouble, an activism manual and websitewritten by over forty troublemakers from around the world, includingthe Yes Men. Beautiful Trouble’s goal is to put the best tactics forcreative action in the hands of the next generation of change-makers.Support Beautiful Trouble!
So back to those phones….
Would you like to force an African child to mine for precious metalsat gunpoint? “Phone Story,” a new iPhone app produced byMolleindustria, puts the player in the unsavory shoes of a smartphoneexecutive. Each level in the game explores a different real-lifeproblem in the consumer electronics life cycle: slavery and abuse inColtan mines, suicide-inducing manufacturing plants, andhealth-destroying e-waste processing are reduced to a cute, low-resaesthetic driven by simple, addictive game play. The game is availablein the iTunes store for 99 cents.

UPDATE: the game has been banned from the Apple app store. If you still had any doubt, now you have another reason to think that app stores are bad for you.

Priv3, idea & plugin per Firefox, “Practical Third-Party Privacy for the Social Web”

martedì, settembre 6th, 2011

http://priv3.icsi.berkeley.edu/

About Priv3
Did you know that social networking sites like Facebook, Google+, and
Twitter can track your visits to any web page that uses the familiar
“Like”, “Follow”, or “+1” buttons, even if you do not actually click
these buttons?

The Priv3 Firefox extension lets you remain logged in to the social
networking sites you use and still browse the web, knowing that those
third-party sites only learn where you go on the web when you want them
to. All this happens transparently, without the need to maintain any
filters. Priv3 is free to use for anyone.
(altro…)

Scrivere un blog anonimo con wordpress e Tor

mercoledì, settembre 30th, 2009

anonimoSu nazione indiana hanno pubblicato la traduzione italiana della guida di Ethan Zuckerman intitolata “Scrivere un blog anonimo con wordpress e Tor”, pubblicata in origine da Global Voices.

Dall’introduzione:
“La libertà di espressione passa anche dalla possibilità di comunicare
proteggendo la propria identità, se necessario. Pubblico perciò qui una
guida tecnica scritta da Ethan Zuckerman per Global Voices, di cui ho
presentato le tecniche durante il convegno e-privacy 2009 a Firenze. ”

Raccogliamo dunque l’invito a leggerla, diffonderla e ripubblicarla partito dal traduttore che ringraziamo.
Per ora leggetela qui.

CCC: Fingering Schauble

martedì, maggio 20th, 2008

:: Il Chaos Computer Club ha pubblicato l’impronta digitale del ministro degli interni tedesco Wolfgang Schauble. Si tratta di un’ottima dimostrazione del fatto che un’impronta non è segreta e un’operazione di hacking politico eccellente. Schauble è un gran sostenitore della raccolta di dati biometrici di tutti come misura antiterrorismo.