Archive for the ‘home page’ Category

Important – News from hell

giovedì, ottobre 12th, 2017

**AGGIORNAMENTO IMPORTANTE PER LA VOSTRA SICUREZZA**
**IMPORTANT UPDATE FOR YOUR SECURITY**
**ACTUALIZACION IMPORTANTE PARA VUESTRA SEGURIRDAD**

Ancora brutte notizie.
Durante il processo di reinstallazione dell’infrastuttura abbiamo identificato un’altra vulnerabilità. Da circa due mesi era infatti in corso un tentativo di accaparramento delle password degli account di posta, durato fino a pochi giorni fa. Se vi siete loggati su autistici.org per leggere la posta della webmail, la vostra password è da considerarsi probabilmente compromessa. Ora possiamo comunque dire che questo specifico problema ora è stato risolto ed era sicuramente uno strascico dell’intrusione che vi avevamo precedentemente segnalato.

Dobbiamo quindi consigliarvi nuovamente di cambiare le password dei vostri account, e di scegliere password forti.

Se non vi ricordate come cambiare la password del vostro account, leggete queste istruzioni: https://www.autistici.org/docs/userpanel#passwordchange

Inoltre vi suggeriamo di prendere seriamente in considerazione l’utilizzo dell’autenticazione a due fattori per proteggere il vostro account: coloro che l’avevano impostata non sono stat* infatti interessat* dalla vulnerabilità oggetto di questo aggiornamento.

Ve lo abbiamo detto e ripetuto, a costo di sembrare pedanti, ma la riservatezza delle vostre comunicazioni non dipende solo da noi. Noi ce la stiamo mettendo tutta per mettere in sicurezza l’infrastruttura, voi intanto dovreste provvedere a mettere in sicurezza i vostri account.

Quanto accaduto nelle ultime settimane è significativo: quel che è successo non è ordinaria amministrazione. Non possiamo garantire di aver individuato tutti i problemi – alcuni dei quali sono evidentemente di livello sistemico – che affliggevano la sicurezza della nostra infrastruttura. Per questo crediamo sia necessaria una risposta adeguata. E la nostra risposta, come già accaduto in passato, sarà la completa revisione, che realizzeremo nei prossimi mesi, dell’architettura su cui si basa l’infrastruttura di A/I.

Pubblicheremo in seguito una descrizione più dettagliata del piano e aggiornamenti sull’andamento dei lavori.

Lavori in corso

Ecco un breve elenco dei lavori che abbiamo portato a termine nelle ultime settimane per mettere in sicurezza l’infrastruttura:

  • Tutte le macchine che compongono l’infrastuttura sono state reinstallate.
  • I bug e le vulnerabilita’ emersi durante il processo di reinstallazione sono stati risolti.
  • Tutte le password di amministrazione sono state modificate.
  • Abbiamo cominciato il processo di pianificazione del design della nuova infrastruttura.

(altro…)

Nuova chiave GPG | New GPG key

sabato, ottobre 7th, 2017

Nell’ambito della reinstallazione e della messa in sicurezza dell’infrastruttura, abbiamo deciso di generare una nuova chiave GPG, non perché quella precedente fosse palesemente compromessa, ma perché stiamo procedendo con la massima cautela possibile dopo quanto abbiamo scoperto.

La nuova chiave GPG che useremo d’ora in poi è questa. Potete scaricarla anche dai keyserver, per esempio qui.


While reinstalling and securing our infrastructure, we have decided to generate a new GPG key. The key had not been clearly compromised, but we wanted to be as cautious as possible after the breach in our servers.

From now on, the GPG key we will use is this. You can also download it from the keyservers, for example here.

Server compromessi | Breach in A/I servers | Violación en los servidores

venerdì, settembre 15th, 2017

Segui il nostro tweet per aggiornamenti sulla reinstallazione dell’infrastruttura

Read our updates on Twitter for news on the reinstallation of our infrastructure

[English version below]
[Versión en Español mas abajo]
[Portuguese]

Ieri, giovedì 14 settembre, abbiamo scoperto che qualche giorno fa un account di amministratore è stato compromesso. Appena ce ne siamo resi conto, abbiamo cominciato immediatamente a lavorare per risolvere il problema. Abbiamo già realizzato le mitigazioni necessarie e siamo riusciti nuovamente a rimettere tutto in sicurezza. Sono ancora in corso analisi dei log e la reinstallazione dell’infrastruttura.

Stiamo analizzando i dettagli della situazione per sapere esattamente che cosa è successo. Data la natura dell’intrusione, potenzialmente tutti i dati degli utenti sono stati accessibili agli intrusi, ma al momento non abbiamo prove del fatto che siano state toccate delle caselle di posta.

Come misura di sicurezza minima, dovresti cambiare tutte le tue password e le domande di recupero dei tuoi account (email, webdav, lista di email e newsletter, noblogs.org). Ti consigliamo di usare una password forte.

Inoltre raccomandiamo sempre caldamente, se ancora non lo hai ancora fatto, di attivare l’autenticazione a due fattori (2FA) per tenere il tuo account più al sicuro.

Nel caso l’autenticazione 2FA fosse già stata abilitata, dovrai resettarla, disattivandola e riattivandola.

Se ne hai la possibilità, scarica sempre i messaggi di posta sul tuo computer, conservandoli con la dovuta cautela, invece di lasciarli sui nostri server. Inoltre per maggior sicurezza ricorda sempre di crittografare le tue comunicazioni:

* email
* chat

 



[English version]

Yesterday, on Thursday 14 September, we found out that a few days ago an admin account had been compromised. As soon as we spotted this intrusion, we immediately got to work for solving the problem. We have already taken the necessary mitigation measures and have secured the machines. We are still analyzing logs and reinstalling the infrastructure.

We are examining the details of the situation to figure out what happened exactly. Given the nature of this intrusion, all users’ data might have potentially been accessed by the intruders, but so far we have found no evidence that someone touched the mailboxes.

As a minimum security requirement, you should change all your passwords and the recovery questions for your accounts (email, webdav, mailing lists and newsletters, noblogs.org). We recommend to create strong passwords for this.

We also strongly suggest, if you haven’t done so already, to activate 2-factor authentication to secure the access to your account.

If you have already enabled 2-factor authentication, you should reset that too, by deactivating it and activating it again.

If you can, always download your email messages to your personal computer, storing them with care, instead of keeping them in our servers. Also, remember to secure your communications by encrypting them:

* email
* chat

 



[Español]

Ayer, jueves 14 de Septiembre, hemos descubierto hace unos días que una cuenta de administración de nuestra infraestructura había sido violada. En cuanto nos hemos dado cuenta hemos empezado a trabajar para resolver el problema. Hemos tomados las medidas de mitigación necesarias y hemos puesto en seguridad las maquinas. Estamos todavía analizando los logs y reinstalando la infraestructura.

Estamos también examinando los detalles de la situación para averiguar lo que ha ocurrido. Dada la naturaleza de la violación, los intrusos han tenido acceso a todos los datos de los usuarios, pero en este momento no tenemos pruebas de que hayan tocado las cuentas de correo.

Como medida mínima de seguridad, tienes que cambiar las contraseñas y las preguntas de seguridad de todas tus cuentas (email, webdav, listas de correo y newsletters, noblogs.org). Te recomendamos de crear contraseñas fuertes.

También te recomendamos, si no lo has hecho todavía, activar la autenticación de dos factores (2FA).

Si ya tenias la autenticación de dos factores habilitada, tendrás que resetearla, deshabilitandola y volviendo a habilitarla.

Si puedes, descargate siempre los mensajes de tu correo en tu ordenador personal, y guardalos con cuidado, en vez de dejarlos en nuestros servidores. También recuérdate de cifrar tus comunicaciones:

* correo
* chat

 



[Portuguese]

No dia 14 de Setembro, descobrimos depois de alguns dias que uma conta de administração da nossa infraestrutura foi violada.
Na hora que descobrimos isso, começamos imediatamente e trabalhar para resolver o problema. Já realizamos as mitigações necessárias e conseguimos assegurar novamente las maquinas

Estamos analisando os detalhes da situação para saber exatamente o que aconteceu. Considerando a naturaleza de la violação, os intrusos tiveram acesso a todos os dados de usuários, mas nesse momento não temos prova que tocaram as contas de email.

Como medida minima de segurança, tem que mudar sua senhas e suas perguntas de seguridade de todas suas contas (email, webdav, listas, newsletter, noblogs.org). Recomendamos usar senhas forte.

Também recomendamos, se ainda você não está ativo, ativar a autenticação 2FA

Se você já tem 2FA habilitada, você precisa reconfigurá-la, desativando e reativando a mesma.

Se pode, baixa sempre suas emails no seu computador, e guardá-las com cuidado, em lugar de manter as email dentro do nossos servidores. Também lembra-se de criptografar suas comunicações:

Para maior segurança lembra sempre de encriptar suas comunicações:

* email
* bate-papo

 

 

Anno nuovo Jabber nuovo / New Year, new Jabber

domenica, gennaio 29th, 2017

[English version below]

Nelle ultime settimane abbiamo aggiornato l’infrastruttura di Autistici/Inventati, concentrandoci in particolare sul servizio di instant messagging Jabber/XMPP. L’obiettivo era permettervi di usare Jabber su dispositivi mobili, offrendo un’alternativa ai sistemi più diffusi, che sono centralizzati, appartengono spesso a grandi aziende e sono quindi esposti a misure censorie e repressive. Inoltre abbiamo scritto nuovi manuali per facilitare la configurazione di nuovi client per il nostro server Jabber.

Dettagli tecnici e nuove funzionalità

(altro…)

Habemus Let’s Encrypt!

venerdì, aprile 1st, 2016

[English version below]

Con grande gioia vi annunciamo un altro passo avanti negli strumenti che mettiamo a disposizione per una comunicazione libera e autonoma.

tl;dr: grazie a Let’s Encrypt la CA non serve più!

… che poi vorrebbe dire: avete presenti quei messaggi inquietanti che vi mandava il vostro browser quando aprivate le pagine di A/I e di Noblogs? Be’, quella storia è finita! Ora potete andare a festeggiare, oppure continuare a leggere le nostre spiegazioni più sotto (noi vi raccomandiamo la seconda opzione…). Ma soprattutto ricordate: se continuate a ricevere messaggi inquietanti, stavolta vale la pena di preoccuparsi.

letsencrypt

Come sapete, i nostri servizi online supportano – o in certi casi richiedono – l’uso di SSL, un sistema crittografico basato sulla distribuzione di certificati che garantiscono una connessione sicura ai vari server. L’integrità di questi certificati è fondamentale e non abbiamo mai accettato di partecipare al sistema di distribuzione commerciale dei certificati SSL; questo avrebbe significato mettere il rapporto di fiducia tra noi e i nostri utenti nelle mani di soggetti di cui non ci si può fidare: stati, forze “dell’ordine”, aziende il cui solo fine è il profitto.
Perciò finora abbiamo gestito la cosa autonomamente con una nostra Autorità di Certificazione (CA). Il rovescio della medaglia era la necessità – per i nostri utenti, ma anche per i semplici visitatori dei siti web – di seguire una procedura un po’ complicata per installare il certificato della nostra CA.

Non siamo mai state completamente contente di questa situazione, perché crediamo che per risultare efficace la crittografia debba essere utilizzabile senza difficoltà. Da questo punto di vista, il progetto Let’s Encrypt è un’importante risorsa per chiunque usi internet, ma il beneficio per noi e voi è ancora maggiore, perché l’utilizzo di SSL con i server di A/I ora diventa più semplice.

Cosa cambia nella pratica?

  • La nostra CA e la procedura di installazione del suo certificato scompaiono.
  • I certificati SSL dei domini di A/I sono ora firmati dalla CA di Let’s Encrypt.
  • … e soprattutto il certificato della CA di Let’s Encrypt è già installato nel browser che state usando: Non serve quindi fare nient’altro per poter navigare correttamente sui nostri siti web via HTTPS o per stabilire una connessione sicura con i nostri server di posta.
  • L’unica cosa che vi raccomandiamo di fare è di controllare che i vostri
    client siano tutti configurati per non accettare certificati SSL non validi
    (come per esempio consigliavamo di fare per Xchat).

Troverete informazioni aggiornate nella pagina di documentazione specifica su SSL.



[English version]

We have some good news about the tools for a free and autonomous communication we provide you with.

tl;dr: thanks to Let’s Encrypt our CA has become useless!
(altro…)

Regali di fine anno | Gifts for the end of the year

martedì, dicembre 15th, 2015

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

  1. Accedi al tuo pannello utente.
  2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
  3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
  4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

  • La 2FA è per la webmail: per il resto dovrai generare una password specifica.
    Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
  • Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
    1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
    2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
  • Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

(altro…)

Phishing Alert

giovedì, settembre 17th, 2015

[English version below]

Ultimamente ci è stato segnalato un tentativo di phishing a nostro nome.
Il testo era questo:

Your AUTISTICI.ORG Mailbox Has Exceeded Its Quota Limit And You May
Not Be Able To Send Or Receive New Mails Until You Re-Validate.

To Re-Validate, Please Click: RE-VALIDATE For More
Storage Data to Be Added To Your Mailbox

Thank You,
AUTISTICI.ORG Mail Team

E come in ogni tentativo di phishing che si rispetti, il link inserito nel testo non rimandava a un nostro sito ma da qualche altra parte dove qualche simpatico gruppo di malintenzionati si sarebbe appropriato del nome utente e della password del/la malcapitato/a.

Sono cose che capitano e che tutte e tutti noi abbiamo già visto, ma giusto per una ripassatina, ecco alcuni consigli:

  • Nelle nostre comunicazioni noi non vi chiediamo mai di cliccare su un link: molto più probabilmente il nostro invito sarà di accedere al vostro pannello utente, come fate di solito per leggere la vostra mail, all’indirizzo: https://www.autistici.org/pannello/.
  • Quando ricevete una mail che vi chiede con urgenza di cliccare su un link, controllate sempre che il mittente sia chi dice di essere. Nel nostro caso, la mail arriverà da un dominio @ autistici.org — molto probabilmente da info @ autistici . org
  • Se l’indirizzo del mittente vi sembra convincente, controllate che anche il link lo sia.
  • Per ulteriori informazioni potete leggere questo manuale dell’Electronic Frontier Foundation (in inglese e altre lingue ma non ancora in italiano).


English version
(altro…)

Banner sui cookies: solo una formalità

martedì, giugno 2nd, 2015

[English version below]

A partire da oggi entrano definitivamente in vigore le direttive del garante della privacy italiano sui cookies e siamo tenute per legge, pena multe salatissime, a inserire su tutti i blog di Noblogs e su tutti i siti che usano cookies un banner che vi richiede il consenso esplicito all’uso dei cookies.

Si tratta esclusivamente di una formalità, e dal punto di vista del funzionamento dei server di A/I non cambia niente: Autistici/Inventati, e quindi NoBlogs, non registra alcuna infomazione sugli utenti né effettua alcuna profilazione.

Ma che cosa sono i cookies, a che servono e perché vengono usati anche su Noblogs e sui siti di A/I?

I cookies sono informazioni registrate nel tuo computer (o smartphone) quando visiti un sito web. Alcuni, quelli che usiamo noi (i cosiddetti cookies tecnici) servono a facilitare e a velocizzare la navigazione, altri a interfacciarsi con servizi come Twitter o Youtube (i “cookies di terze parti”) e altri ancora per profilare gli utenti a scopo commerciale. Questi ultimi non sono usati sui server di A/I per policy, e di conseguenza neanche i nostri utenti possono usarli nei loro siti.

Quindi non sarete profilati se visitate un sito di A/I o un blog di Noblogs. Considerate però che, a prescindere dalla nuova legge e dal banner d’ordinanza, se accedete a un sito o a un social network commerciale i cookies di profilazione non mancano mai. Se questa idea non vi piace, l’ideale è cancellare i cookies ogni volta che chiudete la sessione del browser: un’opzione che si trova nelle impostazioni del vostro browser.


English version
(altro…)

0xDA733D59D98DA9CE – diffidate delle imitazioni!

mercoledì, marzo 18th, 2015

Importante: questo post è del 2015. Potete trovare la nostra nuova chiave qui.

Important: this post was written in 2015. You can find our new key here.

 

[english version below]

PGP e la sua implementazione libera GnuPG è uno degli strumenti che consigliamo ai nostri utenti per comunicare sia tra di loro che con noi. Per comunicare attraverso PGP è necessario avere la chiave, cosiddetta pubblica, del destinatario. È molto importante assicurarsi che la chiave che si ha appartenga effettivamente alla persona con cui vogliamo comunicare e non a qualcun altro: in questo caso infatti si rischia nel migliore dei casi di mandare un’email illeggibile al nostro destinatario e nel peggiore di essere intercettati e di perdere le garanzie di sicurezza che pensavamo di avere usando PGP.

La nostra chiave pubblica si può trovare sul nostro sito, oppure si può richiedere a uno dei tanti keyserver, che si possono paragonare a servizi di “pagine gialle” delle chiavi crittografiche. La maggior parte di questi server pubblica tutte le chiavi che gli vengono inviate, senza controllare l’effettiva autenticità delle informazioni riportate. È quindi estremamente facile creare una chiave a nome di un’altra persona e caricarla su uno di questi server.

È quel che è successo a noi solo qualche settimana fa: qualcuno ha deciso di creare una chiave a nostro nome e di caricarla sui keyserver. Non ne conosciamo le motivazioni (uno scherzo? un esperimento? un goffo tentativo di intercettare le comunicazioni coi nostri utenti?), però dobbiamo avvisarvi: non tutte le chiavi a nostro nome che trovate su internet sono autentiche. Quindi quando scaricate la nostra chiave pubblica, controllate le firme e se potete utilizzate il Web of Trust.

La fingerprint della nostra chiave [al marzo 2015] è

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Diffidate delle imitazioni!

(altro…)

DDoS in corso? Abbiate pazienza o usate servizi sicuri!

venerdì, marzo 13th, 2015

English version below

Ultimamente sia Autistici/Inventati che altri server autogestiti come Riseup o Nodo50 hanno subito attacchi DDoS (Distributed Denial of Service).

Un DDoS consiste nel dirigere un enorme flusso di traffico fasullo contro l’obiettivo per saturare l’infrastruttura e quindi impedire il funzionamento dei servizi offerti. In questo modo il server non può più rispondere alle richieste di visualizzazione di pagine web, di scaricamento della posta, di collegamento a jabber e via dicendo. Di conseguenza, la fretta può spingere gli/le utenti a usare servizi commerciali, che sono più resistenti agli attacchi DDoS e quindi offrono servizi più stabili. Noi però vi sconsigliamo di prendere decisioni dettate dalla fretta. Per prevenire rischi per la vostra privacy, vi consigliamo di aprire una casella di posta di backup su un altro server amico e di usare jabber con un servizio alternativo (come quello associato a tutte le caselle di posta Riseup o quello di Systemli) invece di ricorrere a un servizio commerciale di messaggistica istantanea.

English version

(altro…)