cavallette

++++++++++++++++++++++++++++++++++++++
IMPORTANTE: NUOVA CA
IMPORTANT: NEW CA
++++++++++++++++++++++++++++++++++++++

[english version below]

#####
Tra pochi giorni (alla fine di Settembre 2015) la Certification
Authority di Autistici/Inventati rinnovera’ i certificati.

I nostri servizi saranno per te inaccessibili, a meno che tu non
segua questa procedura di aggiornamento:

Visita https://ca.autistici.org e segui le istruzioni riportate
sulla pagina, assicurandoti di effettuare tutte le verifiche suggerite.

Questa procedura e’ obbligatoria anche se si e’ gia’ scaricato
il certificato della CA di A/I in passato: e’ necessario ripeterla con
il nuovo certificato aggiornato.

* Cosa fare se non si e’ riusciti ad installare il nuovo certificato in
tempo?
La procedura da seguire e’ la stessa che effettueresti su un computer
nuovo per accedere al tuo account di Autistici/Inventati: visita
http://ca.autistici.org e segui le istruzioni riportate sulla pagina,
ricordandoti di effettuare anche le verifiche suggerite.

* Perche’ questa tortura?
Perche’ abbiamo scelto di prendere una posizione forte nel dibattito che
riguarda il mondo delle Certification Authority commerciali:

https://www.autistici.org/it/ssl.html

####

In few days (end of September 2015), the Autistici/Inventati
Certification Authority will *EXPIRE*, making it impossible for you to
reach our services, unless you follow this procedure to update it:

Visit https://ca.autistici.org and follow the instructions on
that page.

This is mandatory even if you have already downloaded and installed
the A/I CA certificate in the past (you need to do the same with the
new, updated certificate).

* What do I do if I was unable to update the CA certificate in time?
You should follow the same procedure that you would when installing
the A/I certificate on a new computer: visit http://ca.autistici.org
and follow the instructions on that page.

* Why all this trouble?
Read the following for our position on the debate on commercial
Certification Authorities:

https://www.autistici.org/en/ssl.html

####

Il leak di hacking team ci offre uno spaccato su un mondo interessante, un pezzo di realta’ che preferirebbe rimanere nell’ombra, e condurre un po’ in disparte, i propri affari con governi, intelligence e corpi militari a seguito. Se non fosse che la pubblicita’ e’ l’anima del commercio e la sicurezza informatica e’ una grande fiera di paese…
Il materiale pubblicato si presta a molte letture e approfondimenti. Io vorrei puntare l’attenzione sull’effimero mercato della sicurezza IT, sulle sue regole e funzionamento, che sono una metafora perfetta della fragilita’ sulla quale si basa il nostro buffo mondo.
Gli affari di hacking team giravano attorno a una piattaforma software, RCS (remote control system), una soluzione  con iconcine gommosette, pensata per gestire comodamente backdoor su computer e cellulari. Spiccano i nomi degli agent che connotano il target militare della clientela: scout, soldier, elite.
Il valore in termini monetari del giochino dipende da due fattori: il vettore di installazione, il non essere rilevato dagli antivirus. Entrambi questi aspetti riconducono ad un termine che anche i giornali ormai ogni tanto infilano negli articoli, per fare colore: 0-day. Questo, sconosciuto ai piu’, oggetto del desiderio,  che riesce a smuovere la libido di ingegneri e informatici impiegati nel campo della sicurezza.
I software sono scritti da persone, le persone qualche volta sbagliano e introducono degli errorini che adeguatamente sfruttati permettono di far eseguire al proprio giocattolino elettronico altre cose, diverse da quelle che il programma che si sta usando era pensato per fare. Nel nostro caso monitorare live tutte le attivita’ eseguite su computer e cellulari.
Il codice in grado di sfruttare le sviste prende il nome di exploit, un exploit 0-day non e’ pubblico, quindi solo chi ha trovato l’errorino e quelli a cui ha voglia di dirlo, possono sfruttare la vulnerabilita’.
In un mondo diverso dal nostro, la ricerca degli errorini sarebbe un giochino divertente per farsi gli scherzi l’un l’altro.
Nel nostro umanschifo cosi’ splendidamente capitalista, cosi’ trionfalmente guerrafondaio, cosi’ patologicamente dominato da persone in preda a deliri ossessivi da disturbo narcisistico di personalita’, non e’ cosi’. Sono i diamanti del mercato della sicurezza, al piu’ qualche centinaio di righe di codice ( quando sono fatti a modino ) prezzati in diverse decine di K dollari.
Dalle mail disponibili su wikileaks si puo’ seguire l’evoluzione dell’hacking team dal 2005 in avanti. Negli ultimi 2 o 3 anni, lo 0-day pack diventa uno delle loro preoccupazioni principali. Poter offrire vettori di  installazione con vulnerabilita’ non note, e’ la chiave di volta per fare breccia nel cuore dei governi e impressionare  le intelligence mondiali.
Una mail del grande capo spiega bene che i loro punti di debolezza all’inizio del 2014 sono gli exploit e il mobile.
https://wikileaks.org/hackingteam/emails/emailid/15113
Nel 2013 parlavano invece cosi’
https://wikileaks.org/hackingteam/emails/emailid/340289
La situazione e’ ancora piu’ chiara qui
https://wikileaks.org/hackingteam/emails/emailid/347574
Il competitor citato e’ l’israeliana Nso.

Negli anni tentano dunque di infittire i rapporti nel ristretto ed elitario mercato mondiale degli 0-day. E parallelamente mettono in campo risorse per produrseli “in house”. Perche’ nell’ultima decade la ricerca di bug da cui trarre info leak e exploit e’ diventata sempre piu’ una faccenda complicata e Hacking Team ha bisogno di 0-day di qualita’, o anche no: l’importante e’ che funzionino. Dalle mail paiono servirsi essenzialmente da persone, che periodicamente mandano il proprio catalogo dei francobolli rari, con i prezzi al pezzo. Il loro team di tecnici valuta, prova e sceglie. Compra 0-day per flash, cose per android  e via cosi’. Comprano sembra da un russo. A quanto si capisce non ha voluto mostrarsi dal vivo se non incarnato nel proprio codice, che pare essere elegante e ben studiato. Lo prendono un po’ in giro perche’ e’ uno che posta anche su zdi, bruciandosi cosi’ gli 0-day (https://wikileaks.org/hackingteam/emails/emailid/24676). Da un americano, Dustin, un broker, piu’ che uno sviluppatore probabilmente (interessante questa mail https://wikileaks.org/hackingteam/emails/emailid/347574). Poi un asiatico, Eugene, incluso nell’organico di Hacking Team, perche’ ad un certo punto compare con una mail @hackingteam e sembra impiegato a tempo pieno nello ricerca/sviluppo di 0-day. La gallina dalle uova d’oro. E’ bellina una mail nella quale si preoccupano del rilascio di windows 10, perche’ hanno pochi exploit funzionanti per quella piattaforma e ripongono le loro speranze in uno per vlc sviluppato da Eugene.
https://wikileaks.org/hackingteam/emails/emailid/1039373

I pagamenti per gli exploit avvengono a trance di mesi, se la vulnerabilita’ dopo tot mesi viene patchata, il pagamento e’ sospeso. Una sorta di garanzia.
I clienti vogliono la silent installation tramite exploit. E nel 2015 hacking team sembra cresciuta nell’organico e aver ampliato RCS equipaggiandolo con diversi 0-days e altre cosine all’ultimo grido: https://wikileaks.org/hackingteam/emails/emailid/23

Interessante la parte sulla uefi infection, in cui compare Tails.
Il giochino se siete curiosi e’ spiegato piu’ o meno in questa mail https://wikileaks.org/hackingteam/emails/emailid/473283

La ricerca della parola uefi mi ha condotto a questo report da manuale di It crowd
https://wikileaks.org/hackingteam/emails/emailid/19213

Si capisce che sono in due ad una sorta di demo con un  cliente, l’installazione uefi funziona, ma l’agent scout poi non parte al riavvio della macchina, allora mentre uno dei due distrae il cliente l’altro lancia un exploit di quelli che zitti zitti funzionano sicuro (silent installation) e il tipo non si accorge di nulla. Ripetono il giochino con un popup di avg che compare durante la demo. Lo chiudono al volo e il cliente di nuovo non nota nulla. Ancora piu’ bello il test con norton, che rileva l’agent. Allora mentre il secondo distrae il compratore (che a questo punto possiamo pero’ classificare come un po’ scemotto) l’altro mette in whitelist scout e cosi’ la sfangano di nuovo.
In ultimo con windows 8.1 e bit defender riescono a ricavare meno informazioni del dovuto dal sistema, pero’ il cliente tanto non sa bene cosa dovrebbe fare l’oggetto e quindi non si accorge di niente.

Insomma il loro rapporto con la realta’ e’ piuttosto particolare considerato che hanno a che fare con militari/intellegence, e sperano di essere rilevati (salvati dal fallimento) dai servizi segreti italiani. Sembrano divertirsi a sviluppare questi giochini e si autoincensano in qualita’ di azienda all’avanguardia nel panorama mondiale, pero’ fanno le supercazzole ai clienti, come il verduriere che tiene il dito sulla bilancia per fregare la vecchietta di turno.
Leggendo i loro scambi di email colgo una sorta di incapacita’ nel districarsi nella complessita’ del reale. Queste poche righe mettono a disagio https://wikileaks.org/hackingteam/emails/emailid/58672
L’elenco di supercattivi che si conclude con l’ottocentesco “complotti anarchici e terroristici” e l’atteggiamento da “ah ma se voi, sapeste umanita’ ingrata, tutto il bene che  vi stiamo facendo” rivela una tendenza a semplificare la realta’, quale meccanismo di autodifesa e di autoassoluzione. Pensare che governi/militari/intelligence siano i buoni che  combattono i supercattivi e’ qualcosa che non trova corrispondenza nella storia dell’umanita’.
Per restare sui fumetti, perfino il trio paperinik, paperinika, paper bat rivelano una maggiore capacita’ di indagine del mondo circostante, e l’ispettore gadget li batte in simpatia.

Comunque se fossi in hacking team io non me la prenderei troppo per il leak. Alla fine alcuni di loro non provengono dall’esperienza di antifork.org ? E nella pagina about di antifork non c’era forse scritto

Antifork Research supports the free software movement, full-disclosure of security problems and freedom of information. We dislike commercial security brands, ‘cause money doesn’t always mean security. We follow many exciting projects, related to computer technology.

Prendetela come un ritorno ai bei vecchi tempi, ora tutti sanno tutto: full-disclosure.
E cmq coraggio, come ama ripetere il grande capo: BCM!!!

[english version]

A fake website has been indexed as legit “Autistici/Inventati” on some ToR search engines. If you’re accessing Autistici/Inventati via ToR, we remind you of the correct URL:

wi7qkxyrdpu5cmvr.onion

(You can check this information by yourself requesting the TXT record of “onion.autistici.org”. I.e. typing  “dig txt onion.autistici.org” on a terminal )

Beware of imitations!

[versione italiana]

Il nostro sito e’ stato “clonato” su ToR. Alcuni motori di ricerca hanno indicizzato il nostro indirizzo onion sbagliato. Se accedete ad A/I via ToR, vi consigliamo caldamente di controllare la URL corretta:

wi7qkxyrdpu5cmvr.onion

(E’ inoltre possibile ottenere l’ indirizzo giusto con una richiesta DNS per il record TXT dell’indirizzo “onion.autistici.org”. Ad es. aprendo un terminale e digitando “dig txt onion.autistici.org<invio>” )

Diffidate delle imitazioni!

A/I

[IT] Nel corso del weekend saranno svolti alcuni interventi di manutenzione su noblogs.org, alcuni blog potrebbero essere temporaneamente irraggiungibili.

[EN] This weekend we’ll be performing some maintenance work on noblogs.org, some blogs might be temporarily unavailable.

[English version below]

A partire da oggi entrano definitivamente in vigore le direttive del garante della privacy italiano sui cookies e siamo tenute per legge, pena multe salatissime, a inserire su tutti i blog di Noblogs e su tutti i siti che usano cookies un banner che vi richiede il consenso esplicito all’uso dei cookies.

Si tratta esclusivamente di una formalità, e dal punto di vista del funzionamento dei server di A/I non cambia niente: Autistici/Inventati, e quindi NoBlogs, non registra alcuna infomazione sugli utenti né effettua alcuna profilazione.

Ma che cosa sono i cookies, a che servono e perché vengono usati anche su Noblogs e sui siti di A/I?

I cookies sono informazioni registrate nel tuo computer (o smartphone) quando visiti un sito web. Alcuni, quelli che usiamo noi (i cosiddetti cookies tecnici) servono a facilitare e a velocizzare la navigazione, altri a interfacciarsi con servizi come Twitter o Youtube (i “cookies di terze parti”) e altri ancora per profilare gli utenti a scopo commerciale. Questi ultimi non sono usati sui server di A/I per policy, e di conseguenza neanche i nostri utenti possono usarli nei loro siti.

Quindi non sarete profilati se visitate un sito di A/I o un blog di Noblogs. Considerate però che, a prescindere dalla nuova legge e dal banner d’ordinanza, se accedete a un sito o a un social network commerciale i cookies di profilazione non mancano mai. Se questa idea non vi piace, l’ideale è cancellare i cookies ogni volta che chiudete la sessione del browser: un’opzione che si trova nelle impostazioni del vostro browser.


English version
Read the rest of this entry »

[IT] I certificati SSL di noblogs.org sono stati aggiornati nuovamente. Il cambiamento più significativo è che si tratta di certificati forniti da una CA commerciale. Nonostante la nostra posizione sull’industria delle CA sia rimasta immutata, vogliamo che i nostri utenti possano trarre vantaggio da alcune delle recenti e moderne migliorie al protocollo SSL, ottenibili purtroppo solo usando un certificato commerciale.

[EN] The noblogs.org SSL certificates have been updated yet again. The most significant change, this time, is that the new certificates are issued by a commercial CA. Our position on the CA industry has not changed, but we’d like for our users to take advantage of some of the more recent and modern improvements to the SSL protocol, which can unfortunately only be activated with a commercial certificate.

[IT] Abbiamo aggiornato i certificati SSL dei nostri servizi. Come sempre, i certificati sono firmati dalla nostra CA. In caso di dubbi, usate questa pagina per verificare la validità dei nostri certificati SSL.

[EN] We have updated the SSL certificates for our services. As usual, they are signed by our own CA. In case of doubts, check out this page for instructions on how to verify the validity of our SSL certificates.

Di tutti gli articoli apparsi su nessunotocchimilano, a me piace questo qui (http://nbl.gs/e7Z) della Stampa perche’ e’ un bignami bellissimo. L’articolo si focalizza sul sentimento di orgoglio che attraverserebbe la spiazzata di nessunotocchimilano (che non so se gli autori dell’hashtag si sono accorti dell’effetto omofobo che prende se si sposta un pochetto prima il mi, nessunomitocchilano, che e’ anche il motivo per cui l’hashtag non era nontoccatemilano probabilmente), e caratterizza l’italia che dice si’. Come una giovane contadinella scalza dell’ottocento, l’italia famosa per le sue eccellenze, per il vino buono, il cibo sano e le opere d’arte proclama il proprio si’ e nella mia mente si figura la statua di venere donzella fragile dallo sguardo languido che abbraccia voluttuosa, ma timida, marte guerriero con l’elmo e la lancia eretta. L’italia ha deciso di combattere per il proprio futuro e il proprio futuro sta la’ nell’interland milanese, dove prima era tutta campagna e ora sorgono fieri e pieni d’orgoglio dei capannoni ricolmi di cose in cartongesso, schermi e luciotti, che tra sei mesi diverranno terreno edificabile, ma ora per dio, come sentenzia un’altro articolo sempre della Stampa, valgono di sicuro il prezzo del biglietto.
Come dice l’articolista, basta piangersi addosso e pensare che non sappiamo fare niente: sia chiaro a tutti e gridiamolo forte tutte le mattine appena alzati, “noi valiamo il prezzo del biglietto” e non vogliamo le scritte sui muri e basta che i nostri figli devono andare all’estero per trovare lavoro, vogliamo che restino con noi, cosi’ possiamo educarli e mandarli dallo psicologo, almeno poi non ci bruciamo la macchina sotto casa, che e’ antipatico, anche se comunque fa girare l’economia, non dimentichiamoci che anche nel 2015 ci sono gli eco incentivi sulla rottamazione.
Che comunque non siamo noi quelli pessimisti e chiusi al dialogo: le cose che finiscono in “one” non sono tutte brutte. Tipo distruzione e’ brutto, ma innovazione ad esempio no. L’innovazione e’ importante, perche’ ricordiamoci che la fame nel mondo e’ sopratutto un problema tecnico. Cioe’ le persone muoiono di fame belli miei. Per questo servono delle ricette originali e sopratutto nuove, che sappiamo coniugare il vecchio e il nuovo: devono essere biologiche, ma anche un po’ ogm, un po’ slow, ma anche un po’ fast food.
Expo infatti e’ anzitutto un posto nel quale ci si scambiano ricette, un luogo dove per esempio lo cheff tamin proveniente dal lontano e esotico qatar, puo’ confrontarsi con la zia maria che lavora da eataly, e imparare a fare il vero ragu’ napoletano o la cotoletta alla milanese e magari da cosa, nasce cosa. Ad esempio questi del qatar ci sono cosi’ rimasti sotto con la cotoletta, che hanno preso casa a milano, a firenze, in costa smeralda, rilevando alcune piccole attivita’ famigliari, come i grattacieli di porta nuova a milano, la pensioncina four seasons di firenze, un po’ di costa smeralda, cosette cosi’, perche’ anche a loro gli tocca di emigrare per trovare lavoro: questa malattia della crisi non risparmia nessuno. Cmq se volete sapere tutto sullo stand del qatar, perche’ non riuscite piu’ a dormire senza, potete guardare le foto, sul fondamentale http://nbl.gs/e7V. Dove si vede come expo sia veramente un luogo interessantissimo.
E comunque l’Italia e’ forte e sapra’ risollevarsi. come d’altra parte ha gia’ fatto nel dopo guerra, e dalle stragi di stato. E ora sopravvivera’ con orgoglio anche a un’ora e venti di corteo. Perche’ cmq si sa che il problema di milano, oltre al traffico e ai parcheggi, sono principalmente “i black block” e le scritte sui muri. Cioe’ va bene tutto: la speculazione edilizia, le cosche, la cementificazioni, l’inquinamento, la gentrification. Per queste cose non saremmo mai scesi in strada, che abbiamo da lavorare. Ma non questi qui, che gli si dovrebbe sparare in fronte. Noi vogliamo rimetterci in moto e andare dove si deve andare, perche’ comunque e’ meglio che stare li’ fermi a lamentarsi, e sopratutto e’ meno faticoso che provare ad andare da un’altra parte.
Il discorso e’ semplice alla fine: ti rimbocchi le maniche e prendi quello che c’e’, con creativita’, innovazione e amore per la vita e per l’alta velocita’, che comunque e’ quella che permette in soli 50 minuti, anziche’ l’ora e quaranta dell’interegionale(che gia’ solo a scriverlo mi sono annoiato: uffa, che barbanoia), di andare a vedere il museo egizio a Torino e poi scappare via di corsa per andare a prendere un pezzo di cioccolata al padiglione della Svizzera all’Expo. Se dovevi metterci un’ora e quaranta come gli sfigati pendolari, poveracci, puzzoni, no, ma per soli 50 minuti, perche’ no ? Noi siamo il fronte del si’ e diciamo si’ alla vita loca e un po’ pazzerella e scommettiamo sulla nostra fantasia, non troppa, ma quella che serve per ridipingerci il mondo quanto basta durante la giornata, per arrivare alle goccine di lexotan la sera che ci garantiranno sonni felici.

Ho il cervello un po’ stanco dalle letture dei quotidiani on line. Il livello di retorica propagandistica di questi giorni mi ha riportato agli anni delle elementari quando nel torpore del meriggio durante il doposcuola, mi mostrarono una serie di documentari sulla seconda guerra mondiale e scopri la voce dei cinegiornali dell’istituto luce.

“Nell’ora in cui i vili si proclamarono eroi il fulgido esempio di un manipolo di coraggiosi armati solo di spugna e solventi al nitro sfida i dardi del destino e si oppone con italico ardore al veleno sfascista del pessimismo della marcia dei menagrami, gufi, corvi, bolscevichi, sodomiti e leccaciuffi. Milanesi: a noi l’expo, a noi le spugne!”

Per una svista dei relatori , la terza domenica delle 4 programmate al k100 di campi bisenzio, su freepto e benefit A/I, era stata calenderizzata il pomeriggio della domenica di Pasqua. Anche se la scelta del pomeriggio permette comunque a tutti di andare a festeggiare degnamente la resurrezione di nostro signore cristo gesu’ al mattino, abbiamo comunque preferito annullare l’appuntamento e condensare domenica 19 il laboratorio del 5 aprile, cosicche’ tutti possiate agitare i vostri rametti di ulivo inneggiando alla famiglia naturale e all’inquisizione quando piu’ vi aggradata nel corso della giornata.

Quindi la terza puntata viene accorpata alla quarta. Il programma della giornata del 19 diviene dunque: dalle ore 15, con alcuni sviluppatori di Freepto, il gruppo di Avana e i soliti sfigati di A/I

Malware, legislazione attuale e prossima ventura + mini laboratorio relativo

Tor, alcuni cenni di questioni tralasciate nelle scorse puntate

Jabber + otr, qualche consiglio sull’istant messaging e le chat

Piccoli tools utili in Freepto (wipe, mat, bleachbit, mac changer, florentine e altre cosette)

Importante: questo post è del 2015. Potete trovare la nostra nuova chiave qui.

Important: this post was written in 2015. You can find our new key here.

[english version below]

PGP e la sua implementazione libera GnuPG è uno degli strumenti che consigliamo ai nostri utenti per comunicare sia tra di loro che con noi. Per comunicare attraverso PGP è necessario avere la chiave, cosiddetta pubblica, del destinatario. È molto importante assicurarsi che la chiave che si ha appartenga effettivamente alla persona con cui vogliamo comunicare e non a qualcun altro: in questo caso infatti si rischia nel migliore dei casi di mandare un’email illeggibile al nostro destinatario e nel peggiore di essere intercettati e di perdere le garanzie di sicurezza che pensavamo di avere usando PGP.

La nostra chiave pubblica si può trovare sul nostro sito, oppure si può richiedere a uno dei tanti keyserver, che si possono paragonare a servizi di “pagine gialle” delle chiavi crittografiche. La maggior parte di questi server pubblica tutte le chiavi che gli vengono inviate, senza controllare l’effettiva autenticità delle informazioni riportate. È quindi estremamente facile creare una chiave a nome di un’altra persona e caricarla su uno di questi server.

È quel che è successo a noi solo qualche settimana fa: qualcuno ha deciso di creare una chiave a nostro nome e di caricarla sui keyserver. Non ne conosciamo le motivazioni (uno scherzo? un esperimento? un goffo tentativo di intercettare le comunicazioni coi nostri utenti?), però dobbiamo avvisarvi: non tutte le chiavi a nostro nome che trovate su internet sono autentiche. Quindi quando scaricate la nostra chiave pubblica, controllate le firme e se potete utilizzate il Web of Trust.

La fingerprint della nostra chiave [al marzo 2015] è

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Diffidate delle imitazioni!

Read the rest of this entry »