cavallette

Forse qualcuno è stato attento e ha notato che ultimamente sono diventate di dominio pubblico alcune notizie che hanno definitivamente svelato le pecche del protocollo usato dal vostro web browser per crittare la comunicazione con i server dei siti che visitate: SSL.

La responsabilità degli attacchi è stata addossata ad un famigerato “hacker iraniano”. La cortina di fumo mediatica non deve distrarre, la questione importante qui è la presa di coscienza di quanto sia incontrollata la struttura di verifica dei certificati SSL: l’impalcatura delle Certification Authority commerciali. Sono più di 600 le organizzazioni di cui si fida il vostro browser, come l’ottima analisi quantitativa dell’EFF SSL Observatory ha evidenziato già da tempo. Oltre ai loschi soggetti noti di questa industria quali Verisign e compari, possiamo contare in questo insieme anche organizzazioni sconosciute non soggette a nessuna revisione e addirittura enti governativi americani. Il fatto che ciascuna di queste organizzazioni sia autorizzata a firmare certificati a nome di chiunque è forse il segno più chiaro che il protocollo SSL, nato in quattro e quattr’otto per vendere Internet ai banchieri, ha raggiunto il limite della sua utilità storica.

Le corporation si dichiarano terrorizzate dalla possibilità che dei “criminali” si impossessino delle credenziali necessarie a creare certificati SSL fasulli, ma non è difficile immaginarsi che gli Stati e le loro forze repressive nutrano delle stessa possibilità. Le agenzie di sicurezza americane sanno da tempo come sfruttare i difetti del meccanismo di verifica delle Certification Authority: già nel 1998 un ricercatore della National Security Agency descrisse in un articolo accademico un metodo per sfruttare la debolezza di tale meccanismo per intercettare il traffico tra browser e server. Pare che oggi il governo iraniano, dopo aver dovuto rubare con destrezza i certificati ad alcune Certification Authority, usi gli stessi meccanismi per intercettare su scala nazionale il traffico internet crittato, al fine di rintracciare oppositori e dissidenti. Nel mondo occidentale, dove non sta bene dedicarsi a simili vistosi hijacking di massa, simili tecniche vengono molto probabilmente usate in contesti più specifici e individuali. Ci inquieta il confronto con il 2004 quando la Polizia italiana, evidentemente ancora povera di amicizie, si è dovuta impadronire fisicamente dei certificati SSL di autistici.org. Oggi probabilmente questo non rappresenterebbe più un problema.

Appare ormai evidente che attualmente il protocollo SSL non è più adatto a stabilire l’identità della controparte in una comunicazione sul web. Quali sono le alternative possibili? Una soluzione immediata e ovvia può essere la creazione di diversi profili nel proprio browser: ogni profilo viene dedicato alla navigazione di un particolare sito ed è quindi possibile rimuovere da ciascun profilo tutte le Certification Authority che non siano rilevanti al sito in questione. A parte l’incredibile scomodità, non tutti i browser permettono di gestire il database delle Certification Authority indipendentemente per i diversi profili.

La ricerca e l’utilizzo di alternative si scontrano con un ulteriore problema: in tutti i maggiori browser la gestione del protocollo SSL è parte integrante del resto del browser stesso ed è quindi difficile da sostituire con un’altra “cosa”, qualsiasi essa sia. Un palliativo è l’utilizzo di estensioni, che al momento sono però disponibili solo per Firefox:

• convergence, un sistema di verifica dei certificati SSL che valida i dati presso terze parti (per usare convergence con autistici.org non c’è da fare niente di speciale, A/I ha installato un proprio notary per contribuire alla rete, ma non verrà necessariamente usato); c’è un ottimo video che ne spiega i dettagli.

• monkeysphere, un sistema che invece si aggancia al network of trust di PGP (in questo caso vi servirà la chiave PGP per monkeysphere@autistici.org, ID 62BBEB9D, reperibile sui keyserver pubblici).

Queste estensioni offrono meccanismi di verifica dei certificati SSL che possono sostituire o affiancare l’attuale infrastruttura delle Certification Authority, ma sono entrambi progetti nuovi e ancora in fase di sviluppo. Speriamo che si evolvano e raggiungano la massa critica necessaria a spodestare il potere delle Certification Authority.

Il certificato SSL della Certification Authority di Autistici/Inventati è come sempre disponibile su http://ca.autistici.org/.

More than six months ago we opened a ticket for WordPress developers about an undocumented behaviour of the WordPress Version Check functionality:

Hi, we’ve noticed that wordpress will send how many users and blogs are in a given installation during the GET to api.wordpress.org together with the installation URL in the headers.

Is there any reason why this is done? It seems quite a leak of information. Can it be turned into an option defaulting to off and admins can opt-in if they want to report how many users/blogs are currently there?

We reckon our request was clear enough: Your software is sending back to you some informations without the users knowing. Please make it explicit adding one of those opt-in dialogues like “Send usage statistics to wordpress.org”.

The developers promptly replied within a few hours. What did they say? They closed the request and marked it as invalid. They basically said: Yes, we are collecting and keeping data about you all without telling you, so what?

We reopened the request together with other users trying to convince the developers to fix this privacy issue, but their replies were always far from being satisfying. This comment summarizes very well their line:

There are plugins available already which allow you to disable the [version] checks if you don’t want to send the data.

We are not going to add any UI option for this.

They basically suggested to completely disable the updates checks if a data leak is not desired. This idea looks particularly funny to us: How could an average user possibly know and decide to disable the checks if it is not clearly written anywhere that WordPress is leaking informations?

So, six months later WordPress is still leaking user/blog data while checking for newer versions. Noblogs obviously does not, but what about your WordPress installation?

Do yourself a favor: Carefully inspect every line of code you are putting on your servers.

UPDATE (1316100929)

These are the patches we applied to our WordPress installation:

• Do not leak how many users/blogs there are to api.wordpress.org
• Anonymize user-agent and don’t send some headers when checking for updates
• Don’t leak which blog has been logged into via get_bloginfo()

[english version below]

A causa dei ripetuti problemi hardware delle ultime settimane, abbiamo la necessità di svolgere un’attività di manutenzione straordinaria su noblogs. Di conseguenza potreste avere difficoltà a inserire nuovi contenuti per le prossime ore. Grazie per la vostra pazienza.

Due to the repeated hardware outages we experienced in the last few weeks, we have do perform some maintenance work on noblogs. Thus, you may experience problems in uploading contents for the next few hours. Thank you for your patience

UPDATE

maintenance is over, everything should work as expected now

One of our servers will be down for maintenance in the next 12 hours.
This means that some mailboxes or websites will be unavailable.
We apologize for any inconvenience.

UPDATE: maintenance finished

We’re going to disable new posts and comments on noblogs.
The whole platform will be in a read-only state for the next 24 hours.

Update: it’s back!

English version below

Almanacco del giorno 3 marzo:

1426 – La Repubblica di Venezia dichiara guerra a Milano
1936 – Il piccolo Joseph Ratzinger (il futuro Benedetto XVI) riceve la Prima Comunione in Germania
1955 – Elvis Presley appare in televisione per la prima volta
1969 – La NASA lancia la Apollo 9 per sperimentare il modulo lunare
1972 – La NASA lancia la sonda spaziale Pioneer 10
2001 – Viene installato il primo server (“paranoia”) del progetto Autistici/Inventati
2007 – In Italia, verso le ore 00:30, si verifica un’eclissi lunare totale

Nati in questo giorno:

1756 – William Godwin
1937 – Tomas Milian
1938 – Bruno Bozzetto
1953 – Arthur Antunes Coimbra detto Zico
1958 – Gianni Alemanno

A parte gli scontati auguri al buon Gianni (tanti tanti tanti auguri e buona fortuna!), vorremmo porre l’attenzione sul fatto che il 3 marzo la NASA ha lanciato ben 2 navicelle spaziali, segnando quindi delle date importanti per la proiezione dell’uomo oltre i confini della realtà terrena.  È anche l’anniversario della prima ostia nell’ugola del buon Ratzi, e quante ostie poi a seguire, e che dire della prima apparizione di Elvis, che tutti sappiamo essere ancora vivo e in lotta assieme a noi.
Potremmo sorvolare su Zico in quanto non siamo udinesi, ma è doveroso omaggiare Bozzetto e l’indimenticabile ‘er monnezza, così come non possiamo dimenticarci di colui che viene considerato il primo filosofo anarchico (e che trasmise i suoi geni all’autrice del moderno prometeo).

Un’ultima nota cabalistica, il 3-3-11  (da notare che 11 in binario = 3 in decimale), il 3 è il numero perfetto, 3 volte 3 è la perfezione assoluta.

Il 3 nella smorfia è il numero del gatto, cogliamo l’occasione per ricordarvi, se ve lo siete dimenticato, di impostare la domanda del gatto nel vostro pannello utente per recuperare la password della vostra mailbox sui server di Autistici/Inventati, che, a proposito, oggi compie 10 anni.
(altro…)