Archive for the ‘General’ Category

Regali di fine anno | Gifts for the end of the year

martedì, Dicembre 15th, 2015

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

  1. Accedi al tuo pannello utente.
  2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
  3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
  4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

  • La 2FA è per la webmail: per il resto dovrai generare una password specifica.
    Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
  • Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
    1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
    2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
  • Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

(altro…)

Homo maker fortunae suae

venerdì, Ottobre 23rd, 2015

Basta poco alle volte per farsi spaccare la faccia. Puoi trovarti nel ruolo di occupante di una casa a bologna, la mattina dello sgombero dell’ex telecom, oppure un sabato pomeriggio di fronte alla maker faire a roma, o in una della tante altre occasioni in cui lo stato italiano ti offre l’opportunita’ di elevare la tua street credibility con quache segno, se sei fortunato permanente, sul corpo.
Ma restiamo sulla maker faire.
Da qui sotto

https://archive.org/details/makerzine

potete scaricare una zine che veniva distribuita in quel sabato pomeriggio all’ingresso della fiera

Nel piccolo pamphlet si critica la centralita’ del business all’interno della ricerca accademica, il concetto di innovazione tecnologica che sembra assumere senso solo quando si traduce in impresa, ovvero quando assume un significato per il mercato, e quindi si puo’ comprare e vendere.
Non sono cose difficili da notare ecco, l’avranno percepito anche un sacco dei maker presenti alla fiera qualcosina di strano, e che forse esiste una certa differenza di approccio e di mentalita’ tra lo stand dell’eni e quello dei piccolo fablab di castiglion da lago.
La visione ufficiale della maker faire e’ ben sintetizzata nelle dichiarazioni di Asset Camera, ovvero quella cosa che “Cura i servizi innovativi e di sviluppo del sistema imprenditoriale, i rapporti con i media e le attività di comunicazione e relazioni esterne della Camera di Commercio di Roma” e che spingeva molto sulla riuscita della fiera.
La reazione alle cariche viene sintetizzata nel titolo di un articoletto sul manifesto con le dichiarazioni del direttore del suddetto ente “Vorrei che i giovani capissero il futuro al posto di contestare la maker faire”.
E’ un affermazione interessante. In primis perche’ non dice “vorrei che i giovani si costruissero un futuro”, ma che lo devono capire, perche’ il senso del futuro e’ gia’ scritto, se lo capisci volendo ti eviti le manganellate, se poi lo abbracci, Asset Camera puntera’ su di te e ti aiutera’ ad avere successo nel mondo prossimo venturo, che comunque e’ piu’ o meno come quello di adesso, ma piu’ caldo, con piu’ domotica, cose a led e problemi ambientali da risolvere. Forte no ?
Anche da un punto di vista tecnologico stiamo in una botte de fero, il futuro alla fine e’ delinenato. Per questo alla maker faire ci sono anche grandi aziende, per far vedere ai ragazzi come si fanno le cose nel mondo dei grandi e che quello e’ il punto di riferimento.
E comunque innovazione/rivoluzione non si appliccano all’ordine sociale. Infatti sottolineano sempre dall’Asset “I fablab e i makers sono la risposta più bella dei giovani alla crisi”. Certo, perche’ la migliore risposta alla crisi costante del capitale e del lavoro non puo’ che essere: accendiamo cose con i led comandandole via internet. O al limite lavora gratis per inventarti qualcosa che sia appetibile per il mercato, fatti una start up e spera che qualche grossa azienda ti compri, oppure evolvi e divieni imprentitore di te stesso. Le menti eccellenti sopravviveranno, al limite fuggiranno all’estero. Per gli altri: comunque ti sei trovato un hobby, tanto sei disoccupato, hai un sacco di tempo libero, no ? Tieni, accenditi un led, offriamo noi. Magari un giorno impari a farne luccicare tanti, e fai l’albero della vita ad Expo.
Le parole del buon direttore di Asset pero’ non sono a vanvera. E’ evidente che nessuno crede che i fablab e i maker possano in qualche modo essere un settore trainante dell’economia. Piuttosto una nicchia, pero’ dalle discrete potenzialita’ ideologiche. Contengono in se’ un ragionamento che potrebbe evolvere su diverse strade. La curiosita’ ti spinge a capire e intervenire sul mondo, a sviluppare capacita’ di fare. Bravo. Ora sei spendibile sul mercato del lavoro, perche’ hai un buon livello di problem solving. Ti appassioni anche ai problemi. Ottimo, appassionati a quelli che possiamo vendere bene, e saremo amici per sempre. Ti piace collaborare con gli altri, aiutarsi a vicenda ? Perfetto, perche’ lavorare con il proprio team e’ importante per emergere nella competizione. Hai una certa manualita’ e intelligenza pratica. Splendido, metti i tuoi arti al servizio di un’impresa. Dimostraci quanto tieni a noi e noi saremo carini con te, davvero. Tutte queste caratteristiche, secondo me alquanto apprezzabili in un essere umano, declinate in un altro senso invece condurrebbero ad una certa capacita’ di autorganizzarsi, autogestirsi, sostenersi l’un l’altro. Se solo non ci fosse qualcuno che poi riporta sempre la tua vita sulla centralita’ del soldo, e quando gli fai notare che e’ un modo di fare antipatico, ti spacca la faccia.

newsletter / cavallette – Settembre 2015

giovedì, Settembre 10th, 2015

++++++++++++++++++++++++++++++++++++++
IMPORTANTE: NUOVA CA
IMPORTANT: NEW CA
++++++++++++++++++++++++++++++++++++++

[english version below]

#####
Tra pochi giorni (alla fine di Settembre 2015) la Certification
Authority di Autistici/Inventati rinnovera’ i certificati.

I nostri servizi saranno per te inaccessibili, a meno che tu non
segua questa procedura di aggiornamento:

Visita https://ca.autistici.org e segui le istruzioni riportate
sulla pagina, assicurandoti di effettuare tutte le verifiche suggerite.

Questa procedura e’ obbligatoria anche se si e’ gia’ scaricato
il certificato della CA di A/I in passato: e’ necessario ripeterla con
il nuovo certificato aggiornato.

* Cosa fare se non si e’ riusciti ad installare il nuovo certificato in
tempo?
La procedura da seguire e’ la stessa che effettueresti su un computer
nuovo per accedere al tuo account di Autistici/Inventati: visita
http://ca.autistici.org e segui le istruzioni riportate sulla pagina,
ricordandoti di effettuare anche le verifiche suggerite.

* Perche’ questa tortura?
Perche’ abbiamo scelto di prendere una posizione forte nel dibattito che
riguarda il mondo delle Certification Authority commerciali:

https://www.autistici.org/it/ssl.html

####

In few days (end of September 2015), the Autistici/Inventati
Certification Authority will *EXPIRE*, making it impossible for you to
reach our services, unless you follow this procedure to update it:

Visit https://ca.autistici.org and follow the instructions on
that page.

This is mandatory even if you have already downloaded and installed
the A/I CA certificate in the past (you need to do the same with the
new, updated certificate).

* What do I do if I was unable to update the CA certificate in time?
You should follow the same procedure that you would when installing
the A/I certificate on a new computer: visit http://ca.autistici.org
and follow the instructions on that page.

* Why all this trouble?
Read the following for our position on the debate on commercial
Certification Authorities:

https://www.autistici.org/en/ssl.html

####

[EN] ToR Users: Beware! / [IT] Utenti Tor: Attenzione!

lunedì, Giugno 29th, 2015

[english version]

A fake website has been indexed as legit “Autistici/Inventati” on some ToR search engines. If you’re accessing Autistici/Inventati via ToR, we remind you of the correct URL:

wi7qkxyrdpu5cmvr.onion

(You can check this information by yourself requesting the TXT record of “onion.autistici.org”. I.e. typing  “dig txt onion.autistici.org” on a terminal )

Beware of imitations!

[versione italiana]

Il nostro sito e’ stato “clonato” su ToR. Alcuni motori di ricerca hanno indicizzato il nostro indirizzo onion sbagliato. Se accedete ad A/I via ToR, vi consigliamo caldamente di controllare la URL corretta:

wi7qkxyrdpu5cmvr.onion

(E’ inoltre possibile ottenere l’ indirizzo giusto con una richiesta DNS per il record TXT dell’indirizzo “onion.autistici.org”. Ad es. aprendo un terminale e digitando “dig txt onion.autistici.org<invio>” )

Diffidate delle imitazioni!

A/I

Nuovi certificati SSL per noblogs.org / New SSL certs for noblogs.org

lunedì, Giugno 1st, 2015

[IT] I certificati SSL di noblogs.org sono stati aggiornati nuovamente. Il cambiamento più significativo è che si tratta di certificati forniti da una CA commerciale. Nonostante la nostra posizione sull’industria delle CA sia rimasta immutata, vogliamo che i nostri utenti possano trarre vantaggio da alcune delle recenti e moderne migliorie al protocollo SSL, ottenibili purtroppo solo usando un certificato commerciale.

[EN] The noblogs.org SSL certificates have been updated yet again. The most significant change, this time, is that the new certificates are issued by a commercial CA. Our position on the CA industry has not changed, but we’d like for our users to take advantage of some of the more recent and modern improvements to the SSL protocol, which can unfortunately only be activated with a commercial certificate.

Nuovi certificati SSL / New SSL certificates

sabato, Maggio 23rd, 2015

[IT] Abbiamo aggiornato i certificati SSL dei nostri servizi. Come sempre, i certificati sono firmati dalla nostra CA. In caso di dubbi, usate questa pagina per verificare la validità dei nostri certificati SSL.

[EN] We have updated the SSL certificates for our services. As usual, they are signed by our own CA. In case of doubts, check out this page for instructions on how to verify the validity of our SSL certificates.

Manutenzione oggi / maintenance today

mercoledì, Febbraio 25th, 2015

Oggi faremo un po’ di manutenzione programmata sui nostri server, il che significa che qualche servizio potrebbe essere indisponibile per un breve lasso di tempo. Aggiorneremo questo post in caso di problemi permanenti

[ENGLISH VERSION]

We will perform some planned maintenance on our servers today. This means that some services will be unavailable from time to time. We’ll update this post in case persistent issues arise.

Important notice to our users/Avviso importante

sabato, Settembre 20th, 2014

We have had a major issue with one of our servers, please read our announcement

Abbiamo avuto un problema grave ad uno dei nostri server – per favore leggete il nostro avviso

Intervista a Claudio ‘Nex’ Guarnieri, parte 2

mercoledì, Settembre 10th, 2014

C – E in Italia invece? Il nostro paese in fatto di sorveglianza ha una “grande tradizione” fin dal secondo dopo guerra ed il rapporto Vodafone di giugno sembra in parte confermare questa tendenza.

N – Dalle nostre analisi emerge in prima battuta una ramificata presenza dell’infrastruttura di comando e controllo di RCS. I server che la compongono sono dislocati anche in altri paesi, ma le nostre rilevazioni hanno mostrato come quelli italiani si contraddistinguano per un’attivita’ piu’ elevata. Questo non significa di per se’ che i dati intercettati provengano esclusivamente da operazioni condotte in Italia, ma semplicemente che i server sul nostro territorio sono costantemente interessati dall’attivita’ di collezionamento dati. Da parte nostra pero’, pur non avendone la certezza, presumiamo che la maggior parte di queste macchine sia utilizzata in operazioni all’interno del nostro paese.

C – Su quali basi fai quest’affermazione?

N – Quello che ti posso dire e’ che durante il corso della ricerca con Citizen Lab abbiamo identificato diversi casi molto probabilmente relativi a operazioni di sorveglianza portate avanti nel nostro paese. Non abbiamo pero’ mai pubblicato i dettagli di cui siamo in possesso perche’ non siamo riusciti a circostanziarne l’uso. E la ricostruzione del contesto in cui tali attacchi si dispiegano e’ fondamentale: senza un’adeguata comprensione di questo retroterra i nostri report non avrebbero alcun valore. A mio avviso pero’ non ci sono dubbi: malware e spyware sono sicuramente utilizzati in Italia e a confermarlo ci sono diversi sintomi…

C – Quali?

N – Durante il lavoro di ricerca su HackingTeam, l’Italia era al primo posto con il maggior numero di endpoint servers in totale, ossia di nodi utilizzati per raccogliere i dati dai vari computer e telefoni controllati. Questo mostra che ci sono agenzie in Italia che utilizzano attivamente RCS.

Ci sono stati anche casi documentati in passato, come l’affare Bisignani, anche se raramente l’utilizzo di spyware viene ammesso in modo trasparente dalle autorita’. A questo proposito, e’ interessante notare che, come abbiamo indicato nel report pubblicato a febbraio, alcuni dei server di HT sono registrati presso CSH & MPS SRL, azienda a cui in passato era stata addebitata la responsabilita’ del malware utilizzato contro Bisignani. Coincidenza? ;)

C – E invece quali ricadute credi possa aver avuto la pubblicazione dei vostri report sui diretti interessati, ovvero su Hacking Team e Gamma International?

N – Dal punto di vista economico non saprei: non ci e’ dato di conoscere le modalita’ con cui operano queste aziende.

Dal punto di vista comunicativo invece Hacking Team e Gamma hanno reagito seguendo strategie diverse. Quest’ultima ha mostrato di essere poco preparata a gestire la situazione. In un primo momento ha tentato di contenere il piu’ possibile il problema, rilasciando interviste e facendo attivita’ di public relations. I risultati sono stati disastrosi: si sono contraddetti e hanno cambiato la loro versione dei fatti piu’ volte. Inizialmente hanno affermato di non aver mai stabilito alcun tipo di rapporto, ne’ stipulato alcun contratto, con il governo egiziano. Un anno dopo invece hanno sostenuto di non aver fornito al regime di Mubarak gli strumenti di sorveglianza utilizzati durante le rivolte del 2011. Successivamente abbiamo dimostrato che stavano mentendo.

Un altro dato certo che abbiamo in mano e’ che la sezione di Gamma International responsabile dello sviluppo dello spyware e’ stata scissa ed ha preso il nuovo nome di Finfisher GmbH: questo potrebbe essere un sintomo delle pressioni legali e politiche che hanno ricevuto. Inoltre alcuni paesi che intrattenevano rapporti commerciali con Gamma li hanno interrotti. Il regime etiope per esempio sembra aver smesso di fare affari con loro e ha siglato nuovi contratti con Hacking Team. Immagino che ora siano alla ricerca di un altro offerente :-)

Ogni volta che pubblichiamo un report cerchiamo sempre di fornire alle societa’ che producono antivirus tutti gli indicatori necessari per rilevare il malware. Fino ad ora abbiamo sempre instaurato con loro un buon livello di cooperazione. Cosi’ facendo riusciamo a creare qualche grattacapo ai produttori di spyware perche’ li costringiamo a reingenierizzare il loro software affiche’ questo non sia visibile ai motori antivirus. In secondo luogo devono ricreare da zero tutta la loro infrastruttura di comando e controllo. Il risultato e’ un incremento dei costi di produzione del malware. L’effetto collaterale e’ quindi rendere il malware il piu’ dispendioso possibile e limitare di conseguenza l’accesso al mercato (sia dal punto di vista dell’acquirente che da quello del produttore).

Abbiamo avuto piu’ difficolta’ a leggere la reazione di Hacking Team. Sono stati piu’ silenziosi e non hanno fatto grosse apparizioni mediatiche. Gamma interveniva in continuazione sui giornali e cosi’ facendo contribuiva a conferire rilevanza alla notizia dei nostri report. Hacking Team l’ha capito e per questo motivo ha scelto di tenere un profilo molto piu’ basso. Quando abbiamo cominciato a pubblicare su di loro in modo piu’ ricorrente e aggressivo hanno provato a rispondere con toni ponderati, premeditati e formali. Le loro argomentazioni sono state sostanzialmente due: primo, che il loro operato si svolge in ottemperanza alle leggi italiane ed internazionali; secondo, che non vendono i loro prodotti a paesi accusati di essere poco rispettosi dei diritti umani. Resta il fatto pero’ che fino ad oggi hanno rifiutato di intavolare qualsiasi tipo di dibattito.

Una prima eccezione e’ avvenuta l’anno scorso quando ho partecipato ad un panel ad RSA dove con Jacob Appelbaum e Kurt Opsahl dell’EFF ci siamo confrontati con i loro rappresentanti. Indirettamente ci hanno accusato di facilitare la vita di terroristi e criminali per aver svelato l’esistenza e il funzionamento dei loro software. Piu’ recentemente ci hanno accusato di portare avanti una campagna dedita esclusivamente a danneggiare il loro business.

Pura retorica. Innanzi tutto perche’ le nostre ricerche sono di carattere tecnico-scientifico e documentano casi di abuso. In secondo luogo perche’, se anche fosse vero quanto sostengono, come spiegano allora l’enorme quantita’ di attivisti e giornalisti messi sotto sorveglianza mediante i software che sviluppano e commercializzano? Ovviamente nel momento in cui abbiamo posto la questione non abbiamo ricevuto alcuna risposta, se non quella per cui le prove presentate erano circostanziali e non dimostravano in alcun modo la paternita’ dei malware esaminati.

Al netto di tutte queste considerazioni pero’ credo vada aggiunta un’ulteriore nota. Nonostante il nostro lavoro la compravendita di malware e’ destinata ad una crescita costante. Dopo l’esplosione del Datagate sono certo che il bacino di clientela di questo mercato sia in impennata. Maggiore e’ il numero di provider che implementa la crittografia di default, piu’ difficile sara’ intercettare su cavo: mettere un plug all’ISP diventa inutile. La conseguenza e’ che l’uso di spyware a fini di controllo diventera’ sempre piu’ diffuso e popolare. Le rivelazioni di Snowden possono forse aver rallentato la sorveglianza massiva ma di certo non hanno fermato le agenzie di intelligence che sempre piu’ ricorreranno a tecniche offensive dirette per intercettare i loro target.

C – C’e’ un aspetto su cui insistete molto nei vostri report e che mi piacerebbe approfondire, ovvero quello dell’assenza di regolamentazione del mercato del malware. Piu’ volte avete sostenuto che la mancanza di norme relative all’esportazione comporta una serie di nuovi rischi per la stabilita’ dei network, sia a livello nazionale che a livello corporate. La diffusione di questi software – dai costi peraltro relativamente ridotti e spesso utilizzati anche contro gli stessi paesi che ne sono produttori – ha infatti come ripercussione un aumento degli attacchi informatici registrati sulle reti globali.

N – Esatto.

C – Ok. Questa dinamica pero’ mi pare foriera di altre conseguenze. Se il livello di instabilita’ dei network cresce, allora e’ plausibile che governi e istituzioni militari comincino la corsa agli armamenti digitali. E infatti gli investimenti in tecnologie offensive sono aumentati vistosamente negli ultimi dieci anni. La loro proliferazione incontrollata porta necessariamente con se’ un altro risvolto, ovvero un ulteriore accrescimento dell’instabilita’ dei network. Questo a sua volta stimolera’ ulteriori investimenti nel settore e cosi’ via. E’ un cane che si morde la coda.

N – Si, l’analisi e’ corretta. Il loop che hai descritto si verifica a causa del concatenarsi di differenti fattori. Quello piu’ rilevante a mio avviso e’ la volonta’ della agenzie di intelligence di mantenere l’attuale status quo, sia a livello economico che legislativo: sono convinto che non permetteranno mai che tali software smettano di essere prodotti, ne’ che certe normative – magari orientate a limitarne l’uso – entrino in vigore.

C – E se anche fosse, quest’ultima opzione rischia di non avere praticamente alcun valore, a meno che non venga adottata su scala globale. In fondo stiamo parlando di aziende che di fronte ad una legislazione nazionale volta a limitarne l’attivita’ potrebbero benissimo spostare la loro sede legale in un altro paese e aggirare in questo modo il problema.

N – Esatto. Inoltre non dobbiamo dimenticare che la deregolamentazione del malware produce una certa instabilita’ globale proprio perche’ e’ una tecnologia che nasce con lo specifico intento di mantenere insicuri reti e sistemi. Se Internet venisse resa sicura diventerebbe molto piu’ complesso estrarre profitto da questo genere di mercato. Ecco perche’ i player del settore (come Gamma, Hacking Team o Vupen) fanno carte false per impedire che certe vulnerabilita’ vengano alla luce o che gli exploit di cui sono in possesso siano resi noti al pubblico. Infine non dimentichiamo che ci sono precisi interessi economici che influenzano i processi di sviluppo del software e le feature di sicurezza dei sistemi operativi (come Windows) passano spesso in secondo piano.

Mi pare evidente: c’e’ un palese interesse a mantenere Internet insicura e vulnerabile. Se ci pensi per un istante ti rendi conto che ci guadagnano un po’ tutti. In primis le agenzie di intelligence che hanno molta piu’ facilita’ a rastrellare informazioni da una rete che e’ un colabrodo. E a dirlo non sono io: le rivelazioni sull’NSA hanno messo in chiaro come le tech companies siano spesso complici nell’accomodare le necessita’ delle rispettive agenzie governative. Poi ci sono le imprese che trafficano in spyware e che hanno interessi economici concreti, ovvero la vendita di vulnerabilita’ e di report d’intelligence in esclusiva a esecutivi e istituzioni militari (si tratta di una pratica piuttosto comune); last but not the least il mercato della security commerciale, che aumenta la sua clientela grazie allo stato penoso in cui versano le infrastrutture comunicative globali. Si tratta di una condizione ambientale necessaria per la crescita del mercato. Anzi, potremmo dire che l’industria della sicurezza diventa piu’ un’industria dell’insicurezza dato che prospera in larga parte sulla destabilizzazione delle reti di telecomunicazione e non sulla ricerca o sullo sviluppo di soluzioni che possano eliminare alla radice una serie di problematiche note.

Di contro, se anche solo una frazione dei miliardi che vengono buttati nell’acquisto di gadget inutili fossero investiti in processi di sviluppo e auditing di software sicuro – do you remeber Heartbleed? – e, piu’ in generale, in alternative open source, l’attuale mercato della security collasserebbe nel giro di una notte. Certo, anche la costruzione di infrastrutture open source presenta problematiche inevitabili, anche perche’ in questo momento si basa largamente su lavoro volontario. Ma la tendenza ad adottare tecnologie proprietarie per me rimane un mistero. Come puoi pensare di realizzare un’infrastruttura sicura se non hai neppure il controllo del codice che utilizzi per implementarla?

Intervista a Claudio ‘Nex’ Guarnieri, parte 1

lunedì, Settembre 8th, 2014

E’ apparsa sul Manifesto di qualche settimana fa un’intervista a Nex, un ricercatore del progetto citizenlab.org. Qui di seguito c’e’ la versione completa della chiaccherata rivista dall’autore dell’articolo (ctrlplus.noblogs.org, twitter.com/ctrlplus_) per cavalette. La pubblichiamo in 2 puntate perche’ e’ piuttosto lunga.

Secondo noi e’ interessante per due motivi:

1) Delinea una visione critica del mondo della sicurezza informatica visto dall’interno.

2) Citizenlab fa un gran lavoro sui malware come strumento di controllo, spesso rivolto nei confronti di attivisti politici.
In Italia si sta tentando di inserirli nella legislazione come “Captatori Informatici” (un termine che rimanda agli “Elaboratori Computazionali” e ai tecnici in camice bianco…), perche’ malware, backdoor, trojan suonavano evidentemente male.

(altro…)