Archive for the ‘Paranoia’ Category

Nuova chiave GPG | New GPG key

sabato, ottobre 7th, 2017

Nell’ambito della reinstallazione e della messa in sicurezza dell’infrastruttura, abbiamo deciso di generare una nuova chiave GPG, non perché quella precedente fosse palesemente compromessa, ma perché stiamo procedendo con la massima cautela possibile dopo quanto abbiamo scoperto.

La nuova chiave GPG che useremo d’ora in poi è questa. Potete scaricarla anche dai keyserver, per esempio qui.


While reinstalling and securing our infrastructure, we have decided to generate a new GPG key. The key had not been clearly compromised, but we wanted to be as cautious as possible after the breach in our servers.

From now on, the GPG key we will use is this. You can also download it from the keyservers, for example here.

Anno nuovo Jabber nuovo / New Year, new Jabber

domenica, gennaio 29th, 2017

[English version below]

Nelle ultime settimane abbiamo aggiornato l’infrastruttura di Autistici/Inventati, concentrandoci in particolare sul servizio di instant messagging Jabber/XMPP. L’obiettivo era permettervi di usare Jabber su dispositivi mobili, offrendo un’alternativa ai sistemi più diffusi, che sono centralizzati, appartengono spesso a grandi aziende e sono quindi esposti a misure censorie e repressive. Inoltre abbiamo scritto nuovi manuali per facilitare la configurazione di nuovi client per il nostro server Jabber.

Dettagli tecnici e nuove funzionalità

(altro…)

Habemus Let’s Encrypt!

venerdì, aprile 1st, 2016

[English version below]

Con grande gioia vi annunciamo un altro passo avanti negli strumenti che mettiamo a disposizione per una comunicazione libera e autonoma.

tl;dr: grazie a Let’s Encrypt la CA non serve più!

… che poi vorrebbe dire: avete presenti quei messaggi inquietanti che vi mandava il vostro browser quando aprivate le pagine di A/I e di Noblogs? Be’, quella storia è finita! Ora potete andare a festeggiare, oppure continuare a leggere le nostre spiegazioni più sotto (noi vi raccomandiamo la seconda opzione…). Ma soprattutto ricordate: se continuate a ricevere messaggi inquietanti, stavolta vale la pena di preoccuparsi.

letsencrypt

Come sapete, i nostri servizi online supportano – o in certi casi richiedono – l’uso di SSL, un sistema crittografico basato sulla distribuzione di certificati che garantiscono una connessione sicura ai vari server. L’integrità di questi certificati è fondamentale e non abbiamo mai accettato di partecipare al sistema di distribuzione commerciale dei certificati SSL; questo avrebbe significato mettere il rapporto di fiducia tra noi e i nostri utenti nelle mani di soggetti di cui non ci si può fidare: stati, forze “dell’ordine”, aziende il cui solo fine è il profitto.
Perciò finora abbiamo gestito la cosa autonomamente con una nostra Autorità di Certificazione (CA). Il rovescio della medaglia era la necessità – per i nostri utenti, ma anche per i semplici visitatori dei siti web – di seguire una procedura un po’ complicata per installare il certificato della nostra CA.

Non siamo mai state completamente contente di questa situazione, perché crediamo che per risultare efficace la crittografia debba essere utilizzabile senza difficoltà. Da questo punto di vista, il progetto Let’s Encrypt è un’importante risorsa per chiunque usi internet, ma il beneficio per noi e voi è ancora maggiore, perché l’utilizzo di SSL con i server di A/I ora diventa più semplice.

Cosa cambia nella pratica?

  • La nostra CA e la procedura di installazione del suo certificato scompaiono.
  • I certificati SSL dei domini di A/I sono ora firmati dalla CA di Let’s Encrypt.
  • … e soprattutto il certificato della CA di Let’s Encrypt è già installato nel browser che state usando: Non serve quindi fare nient’altro per poter navigare correttamente sui nostri siti web via HTTPS o per stabilire una connessione sicura con i nostri server di posta.
  • L’unica cosa che vi raccomandiamo di fare è di controllare che i vostri
    client siano tutti configurati per non accettare certificati SSL non validi
    (come per esempio consigliavamo di fare per Xchat).

Troverete informazioni aggiornate nella pagina di documentazione specifica su SSL.



[English version]

We have some good news about the tools for a free and autonomous communication we provide you with.

tl;dr: thanks to Let’s Encrypt our CA has become useless!
(altro…)

Regali di fine anno | Gifts for the end of the year

martedì, dicembre 15th, 2015

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

  1. Accedi al tuo pannello utente.
  2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
  3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
  4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

  • La 2FA è per la webmail: per il resto dovrai generare una password specifica.
    Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
  • Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
    1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
    2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
  • Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

(altro…)

Phishing Alert

giovedì, settembre 17th, 2015

[English version below]

Ultimamente ci è stato segnalato un tentativo di phishing a nostro nome.
Il testo era questo:

Your AUTISTICI.ORG Mailbox Has Exceeded Its Quota Limit And You May
Not Be Able To Send Or Receive New Mails Until You Re-Validate.

To Re-Validate, Please Click: RE-VALIDATE For More
Storage Data to Be Added To Your Mailbox

Thank You,
AUTISTICI.ORG Mail Team

E come in ogni tentativo di phishing che si rispetti, il link inserito nel testo non rimandava a un nostro sito ma da qualche altra parte dove qualche simpatico gruppo di malintenzionati si sarebbe appropriato del nome utente e della password del/la malcapitato/a.

Sono cose che capitano e che tutte e tutti noi abbiamo già visto, ma giusto per una ripassatina, ecco alcuni consigli:

  • Nelle nostre comunicazioni noi non vi chiediamo mai di cliccare su un link: molto più probabilmente il nostro invito sarà di accedere al vostro pannello utente, come fate di solito per leggere la vostra mail, all’indirizzo: https://www.autistici.org/pannello/.
  • Quando ricevete una mail che vi chiede con urgenza di cliccare su un link, controllate sempre che il mittente sia chi dice di essere. Nel nostro caso, la mail arriverà da un dominio @ autistici.org — molto probabilmente da info @ autistici . org
  • Se l’indirizzo del mittente vi sembra convincente, controllate che anche il link lo sia.
  • Per ulteriori informazioni potete leggere questo manuale dell’Electronic Frontier Foundation (in inglese e altre lingue ma non ancora in italiano).


English version
(altro…)

0xDA733D59D98DA9CE – diffidate delle imitazioni!

mercoledì, marzo 18th, 2015

Importante: questo post è del 2015. Potete trovare la nostra nuova chiave qui.

Important: this post was written in 2015. You can find our new key here.

 

[english version below]

PGP e la sua implementazione libera GnuPG è uno degli strumenti che consigliamo ai nostri utenti per comunicare sia tra di loro che con noi. Per comunicare attraverso PGP è necessario avere la chiave, cosiddetta pubblica, del destinatario. È molto importante assicurarsi che la chiave che si ha appartenga effettivamente alla persona con cui vogliamo comunicare e non a qualcun altro: in questo caso infatti si rischia nel migliore dei casi di mandare un’email illeggibile al nostro destinatario e nel peggiore di essere intercettati e di perdere le garanzie di sicurezza che pensavamo di avere usando PGP.

La nostra chiave pubblica si può trovare sul nostro sito, oppure si può richiedere a uno dei tanti keyserver, che si possono paragonare a servizi di “pagine gialle” delle chiavi crittografiche. La maggior parte di questi server pubblica tutte le chiavi che gli vengono inviate, senza controllare l’effettiva autenticità delle informazioni riportate. È quindi estremamente facile creare una chiave a nome di un’altra persona e caricarla su uno di questi server.

È quel che è successo a noi solo qualche settimana fa: qualcuno ha deciso di creare una chiave a nostro nome e di caricarla sui keyserver. Non ne conosciamo le motivazioni (uno scherzo? un esperimento? un goffo tentativo di intercettare le comunicazioni coi nostri utenti?), però dobbiamo avvisarvi: non tutte le chiavi a nostro nome che trovate su internet sono autentiche. Quindi quando scaricate la nostra chiave pubblica, controllate le firme e se potete utilizzate il Web of Trust.

La fingerprint della nostra chiave [al marzo 2015] è

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Diffidate delle imitazioni!

(altro…)

DDoS in corso? Abbiate pazienza o usate servizi sicuri!

venerdì, marzo 13th, 2015

English version below

Ultimamente sia Autistici/Inventati che altri server autogestiti come Riseup o Nodo50 hanno subito attacchi DDoS (Distributed Denial of Service).

Un DDoS consiste nel dirigere un enorme flusso di traffico fasullo contro l’obiettivo per saturare l’infrastruttura e quindi impedire il funzionamento dei servizi offerti. In questo modo il server non può più rispondere alle richieste di visualizzazione di pagine web, di scaricamento della posta, di collegamento a jabber e via dicendo. Di conseguenza, la fretta può spingere gli/le utenti a usare servizi commerciali, che sono più resistenti agli attacchi DDoS e quindi offrono servizi più stabili. Noi però vi sconsigliamo di prendere decisioni dettate dalla fretta. Per prevenire rischi per la vostra privacy, vi consigliamo di aprire una casella di posta di backup su un altro server amico e di usare jabber con un servizio alternativo (come quello associato a tutte le caselle di posta Riseup o quello di Systemli) invece di ricorrere a un servizio commerciale di messaggistica istantanea.

English version

(altro…)

La sicurezza non è un crimine

venerdì, gennaio 9th, 2015

[English version below]

Seguiamo con preoccupazione l’evolversi di una brutta vicenda in Spagna. Dal 16 dicembre 2014 7 persone sono in custodia cautelare in carcere ed altre 4 indagate tra le città di Barcellona, Madrid, Sabadell e Manresa. Sembra il copione di un film già visto: una accusa di associazione terroristica di stampo anarchico, perquisizioni all’alba -anche nella storica occupazione della Kasa della Muntanya-, sequestri di libri, agende, cellulari e dischi fissi, e la fastidiosa sensazione che sul banco degli imputati ci siano delle idee piuttosto che delle persone.

Quel che è originale, e ancora più fastidioso, è che tra le motivazioni del giudice per la custodia cautelare, tra gli “indizi” che dovrebbero dare fondamento all’ipotesi che effettivamente esista tale organizzazione e che veramente essa abbia finalità eversive, c’è niente meno che l’uso di caselle di posta sicure, in particolare quelle dei server di Riseup. Così in un tempo in cui le agenzie di sicurezza e le forze di polizia di mezzo mondo violano sistematicamente il diritto alla riservatezza e alla comunicazione libera e mettono in pericolo le basi stesse del funzionamento di Internet, c’è chi crede che utilizzare protocolli standard di sicurezza e riservatezza sia un segnale dell’esistenza di un progetto eversivo. Terrorista è chi difende i propri diritti elementari, non chi li ha violati sistematicamente per anni.

Già avevamo avuto notizia che in certe parti del mondo particolarmente sensibili l’utilizzo di caselle di posta di Riseup fosse considerato un indizio di criminalità. Che questa cosa succeda in un paese dell’Unione europea e che comunque si estenda ci preoccupa enormermente – anche se forse non ci coglie del tutto di sorpresa. Però non abbiamo intenzione di restare zitti mentre un progetto affine e simile al nostro, qual è Riseup, viene additato come il marchio degli untori. Denunceremo e contrasteremo questa interpretazione del diritto alla privacy con tutte le nostre forze e capacità.

Riportiamo il comunicato originale di Riseup tradotto, così come rimandiamo a un ottimo comunicato di OffTopic Lab (e altri) che spiega il contesto in cui è avvenuta questa operazione di polizia.

La sicurezza non è un crimine

(altro…)

Cambiatevi le password. Tutte. – Change all your password now!

mercoledì, aprile 9th, 2014

passchange[English version below]

Come avete letto nel post precedente a causa di un bug in alcune implementazioni della libreria OpenSSL  è stato necessario cambiare i certificati che utilizziamo per le connessioni  SSL, per esempio per accedere alla webmail.
Purtroppo questo non basta, ora tocca a voi fare la vostra parte, è tempo di cambiare la password se non lo avete fatto nelle ultime ore: è tecnicamente possibile che, prima che il bug fosse noto ed i nostri sistemi aggiornati, qualche malintenzionato possa aver carpito la vostra password sfruttando questo bug!

Come creare una nuova password, un esempio possibile
Per le password che dovete tenere a memoria: prendete le iniziali delle parole di una frase che ricordate bene e mescolatele a numeri e segni di punteggiatura secondo un vostro criterio personale.

Suggerimenti per la gestione delle password
Per non dimenticare le vostre password e non essere costrette o costretti a sceglierne di facili e insicure, potete usare un “password manager”. Ci sono vari programmi di questo tipo, come ad esempio Keepass. Questi programmi vi consentono di generare password molto sicure, memorizzandole tutte in un archivio criptato. In questo modo dovrete ricordare a memoria solamente la password del password manager (e questa dovrà essere molto sicura!)

Siamo certi che seguirete il nostro suggerimento, ne va della vostra sicurezza!

English version

As you’ve probably read in the previous post, due to a bug in the OpenSSL library we had to change the SSL certificates for our encrypted services. Unluckily, this is not enough. Now it’s your time to do the next move, it’s time for you to change your password, if you haven’t done so in the past few hours! There is the technical possibility that, before this bug was publicly disclosed and a fix was available, someone could have captured your credentials while you were logging in.

How to create a good password, a possible advice
For those passwords you have to remember: take the initials of each word of a sentence you can easily remember, and mix them with numbers and punctuation following your own personal criteria.

Some advice on storing your passwords
To avoid forgetting passwords, and to avoid having to choose an easy (and insecure!) one for this reason, you could use a Password Manager. There are several programs to do this, for example Keepass among others. These programs let you choose very secure and hard to memorize passwords  since the Password Manager will keep them for you in an encrypted archive, so you’ll have to just remember the password to access the Password Manager itself (so please, at least make this one very secure).

We are sure you’ll take our advice as it’s YOUR security at risk!

«Libertà e diritti? Tocca sudarli. Anche in rete» Infoaut intervista Autistici/Inventati

giovedì, settembre 12th, 2013

[english version below]

Ripubblichiamo un’intervista che InfoFreeFlow ha fatto ad A/I a partire dal nostro comunicato relativo alla situazione che si è venuta a creare dopo la chiusura di Lavabit e Silent mail.

«Non pensiamo la nostra struttura come una risposta al controllo statale, ma più in generale come l’unica cosa decente venutaci in mente per garantire libertà d’espressione ed evitare la profilazione selvaggia da parte di aziende e governi». Sono queste le prime parole digitate da uno dei ragazzi di Autistici/Inventati appena cominciamo la nostra chiacchierata in una delle chat room del loro network. Una precisazione necessaria, sopratutto dopo che gli scossoni del terremoto Snowden hanno cominciato a sentirsi anche in Italia.Sono i primi giorni di agosto quando Lavabit e Silent Mail,due provider statunitensi di posta orientati alla tutela della privacy, vengono costretti a chiudere i battenti a causa delle minacce dell’NSA. Centinaia di migliaia di utenti restano improvvisamente senza strumenti di comunicazione sicura e molti di loro si rivolgono ad AI in cerca di una soluzione alternativa. In poco tempo il collettivo viene sommerso da un’ondata di richieste d’iscrizione ai suoi servizi. Un fatto che ha segnato un momento di difficoltà per la crew di hacker nostrani, tanto da determinare la temporanea sospensione dell’apertura di nuovi account. Ma che ha anche alimentato un forte dibattito in seno ai partecipanti del progetto sulle prospettive da intraprendere. È difficile per adesso dire come il datagate cambierà le esperienze di comunicazione autogestita. Autistici sa solo che potrà affrontare le nuove sfide all’orizzonte con una certezza che l’accompagna da più di 10 anni: quella di non essere un semplice servizio di posta ma una comunità. Che oggi ha bisogno del supporto di tutti quelli che si sentono di farne parte. (altro…)