cavallette

Nella notte tra Martedì 16 e Mercoledì 17 Febbraio un problema con uno dei server di Noblogs.org ha provocato dei malfunzionamenti – molti dei nostri utenti si sono ritrovati impossibilitati ad accedere ai loro blog, o il server rispondeva in maniera bizzarra confondendo alcuni blog con altri. Ci siamo rimboccati le maniche e a partire da oggi Giovedì 18 dovrebbe essere di nuovo tutto a posto. Crediamo che niente sia andato perduto, però se notate qualcosa di strano, come sempre, segnalatecelo!

During the night between Tuesday 16th and Wednesday 17th a problem with one of our Noblogs.org server caused some issues, resulting in some users unable to access to their blogs or mismatches between server addresses and content. We should have fixed everything starting from today Thursday 18th. No content should be missing, but if you notice anything unusual, please report it!

[English version below]

2FA, ovvero: raddoppia la sicurezza della tua mail

Il 2015 è quasi finito e, come (quasi) tutti gli anni, abbiamo preparato un regalo speciale per scongiurare la sfiga delle feste e, soprattutto, delle intrusioni nelle caselle di posta. Si tratta di un pensierino dal nome un po’ criptico, ma abbastanza fondamentale di questi tempi. Si chiama 2FA, che vuole dire “two-factor authentication”, autenticazione a due fattori, e il concetto è molto semplice: una volta che lo avrai attivato, per entrare nella tua webmail avrai bisogno di una cosa che sai (la tua password) e di una cosa che hai (il tuo smartphone). In questo modo diventerà più difficile per qualche malintenzionato leggere le tue mail, perché anche se qualcuno riuscisse a intrufolarsi in qualche modo nel tuo computer e a soffiarti la password, avrebbe bisogno anche di rubarti il telefono per accedere alla tua casella. Semplice, no? E allora cosa aspetti?

Attiva subito la 2FA per la tua mailbox!

Per farlo bastano pochi passi:

1. Accedi al tuo pannello utente.
2. Clicca sul tuo nome utente in alto a destra sulla barra nera.
3. Nel menu a tendina che si è appena aperto, clicca su “Abilita autenticazione a doppio fattore (OTP)”.
4. Segui le istruzioni (in sostanza devi installare un’app sul tuo telefono, impostare la domanda di recupero della password se non l’hai ancora fatto e alla fine cliccare sul tasto “Abilita”).

Un paio di avvertimenti importanti:

• La 2FA è per la webmail: per il resto dovrai generare una password specifica.
  Per i client di posta come Thunderbird e per Jabber/XMPP (Pidgin, Jitsi) avrai bisogno di una password generata appositamente, che potrai usare soltanto per un particolare client su un particolare dispositivo. Per creare una password per il tuo client di posta o per Jabber/XMPP, leggi queste istruzioni.
• Una volta che avrai attivato l’autenticazione a due fattori, il tuo punto debole sarà proprio la domanda di recupero della password: se infatti qualcuno vuole accedere alla tua casella di posta e non ci riesce perché non ha il tuo telefono, potrebbe semplicemente provare a resettare la tua password. Per questo è essenziale che la tua domanda di recupero riguardi davvero qualcosa che nessun altro può sapere, e addirittura alcuni consigliano di usare una domanda e una risposta di fantasia. In sintesi l’essenziale è ricordare che:
  1. Se perdi il telefono, l’unico modo di avere accesso alla tua casella di posta è attraverso la domanda di recupero.
  2. Se la risposta alla domanda si trova sui social network, la tua casella non sarà sicura anche se hai impostato l’autenticazione a due fattori.
• Se non hai uno smartphone e non hai nessuna intenzione di procurartene uno, una soluzione c’è, ma è complicata e prevede l’acquisto di una YubiKey. Troverai il comando per configurare la YubiKey nella pagina di istruzioni che si aprirà quando cliccherai il tasto “Abilita”. Se vuoi saperne di più, segui questo blog, dove prossimamente vogliamo pubblicare un post di approfondimento.

Il tuo sostegno è sempre essenziale

Nel 2016 Autistici/Inventati compie 15 anni, e in questi 15 anni abbiamo creato un’infrastruttura resistente che ha permesso di comunicare e di esistere in rete a tanti gruppi e individui attivi nelle lotte più diverse per un mondo migliore (o almeno un po’ meno tetro e deprimente).

Dato che non prendiamo neanche il becco di un quattrino per tenere in piedi questi servizi, l’esistenza di questa infrastruttura è soprattutto merito della nostra comunità di utenti, che continuano a sostenerci con le loro donazioni.

Anche se mail, siti, blog, mailing list, VPN e quant’altro sono offerti gratuitamente, infatti, per noi nulla di tutto questo è
gratuito, e, anzi, i costi che sosteniamo sono consistenti. Quindi è venuto il momento di ricordare tutto questo e di pensare a noi: sostienici anche quest’anno con la tua donazione! Anche un contributo minimo può fare la differenza.

Ci sono molti modi per contribuire. Scegli quello che fa meglio al caso tuo qui.

* * *

Dicembre 2015
Collettivo Autistici/Inventati
https://www.inventati.org https://www.autistici.org
contribuisci: https://www.autistici.org/it/donate.html

* * *

ENGLISH VERSION

Read the rest of this entry »

Due giornate di hacking e danze a 8 bit.
30 e 31 ottobre 2015, XM24, Bologna.

Basta poco alle volte per farsi spaccare la faccia. Puoi trovarti nel ruolo di occupante di una casa a bologna, la mattina dello sgombero dell’ex telecom, oppure un sabato pomeriggio di fronte alla maker faire a roma, o in una della tante altre occasioni in cui lo stato italiano ti offre l’opportunita’ di elevare la tua street credibility con quache segno, se sei fortunato permanente, sul corpo.
Ma restiamo sulla maker faire.
Da qui sotto

https://archive.org/details/makerzine

potete scaricare una zine che veniva distribuita in quel sabato pomeriggio all’ingresso della fiera

Nel piccolo pamphlet si critica la centralita’ del business all’interno della ricerca accademica, il concetto di innovazione tecnologica che sembra assumere senso solo quando si traduce in impresa, ovvero quando assume un significato per il mercato, e quindi si puo’ comprare e vendere.
Non sono cose difficili da notare ecco, l’avranno percepito anche un sacco dei maker presenti alla fiera qualcosina di strano, e che forse esiste una certa differenza di approccio e di mentalita’ tra lo stand dell’eni e quello dei piccolo fablab di castiglion da lago.
La visione ufficiale della maker faire e’ ben sintetizzata nelle dichiarazioni di Asset Camera, ovvero quella cosa che “Cura i servizi innovativi e di sviluppo del sistema imprenditoriale, i rapporti con i media e le attività di comunicazione e relazioni esterne della Camera di Commercio di Roma” e che spingeva molto sulla riuscita della fiera.
La reazione alle cariche viene sintetizzata nel titolo di un articoletto sul manifesto con le dichiarazioni del direttore del suddetto ente “Vorrei che i giovani capissero il futuro al posto di contestare la maker faire”.
E’ un affermazione interessante. In primis perche’ non dice “vorrei che i giovani si costruissero un futuro”, ma che lo devono capire, perche’ il senso del futuro e’ gia’ scritto, se lo capisci volendo ti eviti le manganellate, se poi lo abbracci, Asset Camera puntera’ su di te e ti aiutera’ ad avere successo nel mondo prossimo venturo, che comunque e’ piu’ o meno come quello di adesso, ma piu’ caldo, con piu’ domotica, cose a led e problemi ambientali da risolvere. Forte no ?
Anche da un punto di vista tecnologico stiamo in una botte de fero, il futuro alla fine e’ delinenato. Per questo alla maker faire ci sono anche grandi aziende, per far vedere ai ragazzi come si fanno le cose nel mondo dei grandi e che quello e’ il punto di riferimento.
E comunque innovazione/rivoluzione non si appliccano all’ordine sociale. Infatti sottolineano sempre dall’Asset “I fablab e i makers sono la risposta più bella dei giovani alla crisi”. Certo, perche’ la migliore risposta alla crisi costante del capitale e del lavoro non puo’ che essere: accendiamo cose con i led comandandole via internet. O al limite lavora gratis per inventarti qualcosa che sia appetibile per il mercato, fatti una start up e spera che qualche grossa azienda ti compri, oppure evolvi e divieni imprentitore di te stesso. Le menti eccellenti sopravviveranno, al limite fuggiranno all’estero. Per gli altri: comunque ti sei trovato un hobby, tanto sei disoccupato, hai un sacco di tempo libero, no ? Tieni, accenditi un led, offriamo noi. Magari un giorno impari a farne luccicare tanti, e fai l’albero della vita ad Expo.
Le parole del buon direttore di Asset pero’ non sono a vanvera. E’ evidente che nessuno crede che i fablab e i maker possano in qualche modo essere un settore trainante dell’economia. Piuttosto una nicchia, pero’ dalle discrete potenzialita’ ideologiche. Contengono in se’ un ragionamento che potrebbe evolvere su diverse strade. La curiosita’ ti spinge a capire e intervenire sul mondo, a sviluppare capacita’ di fare. Bravo. Ora sei spendibile sul mercato del lavoro, perche’ hai un buon livello di problem solving. Ti appassioni anche ai problemi. Ottimo, appassionati a quelli che possiamo vendere bene, e saremo amici per sempre. Ti piace collaborare con gli altri, aiutarsi a vicenda ? Perfetto, perche’ lavorare con il proprio team e’ importante per emergere nella competizione. Hai una certa manualita’ e intelligenza pratica. Splendido, metti i tuoi arti al servizio di un’impresa. Dimostraci quanto tieni a noi e noi saremo carini con te, davvero. Tutte queste caratteristiche, secondo me alquanto apprezzabili in un essere umano, declinate in un altro senso invece condurrebbero ad una certa capacita’ di autorganizzarsi, autogestirsi, sostenersi l’un l’altro. Se solo non ci fosse qualcuno che poi riporta sempre la tua vita sulla centralita’ del soldo, e quando gli fai notare che e’ un modo di fare antipatico, ti spacca la faccia.

[English version below]

Ultimamente ci è stato segnalato un tentativo di phishing a nostro nome.
Il testo era questo:

Your AUTISTICI.ORG Mailbox Has Exceeded Its Quota Limit And You May
Not Be Able To Send Or Receive New Mails Until You Re-Validate.

To Re-Validate, Please Click: RE-VALIDATE For More
Storage Data to Be Added To Your Mailbox

Thank You,
AUTISTICI.ORG Mail Team

E come in ogni tentativo di phishing che si rispetti, il link inserito nel testo non rimandava a un nostro sito ma da qualche altra parte dove qualche simpatico gruppo di malintenzionati si sarebbe appropriato del nome utente e della password del/la malcapitato/a.

Sono cose che capitano e che tutte e tutti noi abbiamo già visto, ma giusto per una ripassatina, ecco alcuni consigli:

• Nelle nostre comunicazioni noi non vi chiediamo mai di cliccare su un link: molto più probabilmente il nostro invito sarà di accedere al vostro pannello utente, come fate di solito per leggere la vostra mail, all’indirizzo: https://www.autistici.org/pannello/.
• Quando ricevete una mail che vi chiede con urgenza di cliccare su un link, controllate sempre che il mittente sia chi dice di essere. Nel nostro caso, la mail arriverà da un dominio @ autistici.org — molto probabilmente da info @ autistici . org
• Se l’indirizzo del mittente vi sembra convincente, controllate che anche il link lo sia.
• Per ulteriori informazioni potete leggere questo manuale dell’Electronic Frontier Foundation (in inglese e altre lingue ma non ancora in italiano).

English version
Read the rest of this entry »

++++++++++++++++++++++++++++++++++++++
IMPORTANTE: NUOVA CA
IMPORTANT: NEW CA
++++++++++++++++++++++++++++++++++++++

[english version below]

#####
Tra pochi giorni (alla fine di Settembre 2015) la Certification
Authority di Autistici/Inventati rinnovera’ i certificati.

I nostri servizi saranno per te inaccessibili, a meno che tu non
segua questa procedura di aggiornamento:

Visita https://ca.autistici.org e segui le istruzioni riportate
sulla pagina, assicurandoti di effettuare tutte le verifiche suggerite.

Questa procedura e’ obbligatoria anche se si e’ gia’ scaricato
il certificato della CA di A/I in passato: e’ necessario ripeterla con
il nuovo certificato aggiornato.

* Cosa fare se non si e’ riusciti ad installare il nuovo certificato in
tempo?
La procedura da seguire e’ la stessa che effettueresti su un computer
nuovo per accedere al tuo account di Autistici/Inventati: visita
http://ca.autistici.org e segui le istruzioni riportate sulla pagina,
ricordandoti di effettuare anche le verifiche suggerite.

* Perche’ questa tortura?
Perche’ abbiamo scelto di prendere una posizione forte nel dibattito che
riguarda il mondo delle Certification Authority commerciali:

https://www.autistici.org/it/ssl.html

####

In few days (end of September 2015), the Autistici/Inventati
Certification Authority will *EXPIRE*, making it impossible for you to
reach our services, unless you follow this procedure to update it:

Visit https://ca.autistici.org and follow the instructions on
that page.

This is mandatory even if you have already downloaded and installed
the A/I CA certificate in the past (you need to do the same with the
new, updated certificate).

* What do I do if I was unable to update the CA certificate in time?
You should follow the same procedure that you would when installing
the A/I certificate on a new computer: visit http://ca.autistici.org
and follow the instructions on that page.

* Why all this trouble?
Read the following for our position on the debate on commercial
Certification Authorities:

https://www.autistici.org/en/ssl.html

####

Il leak di hacking team ci offre uno spaccato su un mondo interessante, un pezzo di realta’ che preferirebbe rimanere nell’ombra, e condurre un po’ in disparte, i propri affari con governi, intelligence e corpi militari a seguito. Se non fosse che la pubblicita’ e’ l’anima del commercio e la sicurezza informatica e’ una grande fiera di paese…
Il materiale pubblicato si presta a molte letture e approfondimenti. Io vorrei puntare l’attenzione sull’effimero mercato della sicurezza IT, sulle sue regole e funzionamento, che sono una metafora perfetta della fragilita’ sulla quale si basa il nostro buffo mondo.
Gli affari di hacking team giravano attorno a una piattaforma software, RCS (remote control system), una soluzione  con iconcine gommosette, pensata per gestire comodamente backdoor su computer e cellulari. Spiccano i nomi degli agent che connotano il target militare della clientela: scout, soldier, elite.
Il valore in termini monetari del giochino dipende da due fattori: il vettore di installazione, il non essere rilevato dagli antivirus. Entrambi questi aspetti riconducono ad un termine che anche i giornali ormai ogni tanto infilano negli articoli, per fare colore: 0-day. Questo, sconosciuto ai piu’, oggetto del desiderio,  che riesce a smuovere la libido di ingegneri e informatici impiegati nel campo della sicurezza.
I software sono scritti da persone, le persone qualche volta sbagliano e introducono degli errorini che adeguatamente sfruttati permettono di far eseguire al proprio giocattolino elettronico altre cose, diverse da quelle che il programma che si sta usando era pensato per fare. Nel nostro caso monitorare live tutte le attivita’ eseguite su computer e cellulari.
Il codice in grado di sfruttare le sviste prende il nome di exploit, un exploit 0-day non e’ pubblico, quindi solo chi ha trovato l’errorino e quelli a cui ha voglia di dirlo, possono sfruttare la vulnerabilita’.
In un mondo diverso dal nostro, la ricerca degli errorini sarebbe un giochino divertente per farsi gli scherzi l’un l’altro.
Nel nostro umanschifo cosi’ splendidamente capitalista, cosi’ trionfalmente guerrafondaio, cosi’ patologicamente dominato da persone in preda a deliri ossessivi da disturbo narcisistico di personalita’, non e’ cosi’. Sono i diamanti del mercato della sicurezza, al piu’ qualche centinaio di righe di codice ( quando sono fatti a modino ) prezzati in diverse decine di K dollari.
Dalle mail disponibili su wikileaks si puo’ seguire l’evoluzione dell’hacking team dal 2005 in avanti. Negli ultimi 2 o 3 anni, lo 0-day pack diventa uno delle loro preoccupazioni principali. Poter offrire vettori di  installazione con vulnerabilita’ non note, e’ la chiave di volta per fare breccia nel cuore dei governi e impressionare  le intelligence mondiali.
Una mail del grande capo spiega bene che i loro punti di debolezza all’inizio del 2014 sono gli exploit e il mobile.
https://wikileaks.org/hackingteam/emails/emailid/15113
Nel 2013 parlavano invece cosi’
https://wikileaks.org/hackingteam/emails/emailid/340289
La situazione e’ ancora piu’ chiara qui
https://wikileaks.org/hackingteam/emails/emailid/347574
Il competitor citato e’ l’israeliana Nso.

Negli anni tentano dunque di infittire i rapporti nel ristretto ed elitario mercato mondiale degli 0-day. E parallelamente mettono in campo risorse per produrseli “in house”. Perche’ nell’ultima decade la ricerca di bug da cui trarre info leak e exploit e’ diventata sempre piu’ una faccenda complicata e Hacking Team ha bisogno di 0-day di qualita’, o anche no: l’importante e’ che funzionino. Dalle mail paiono servirsi essenzialmente da persone, che periodicamente mandano il proprio catalogo dei francobolli rari, con i prezzi al pezzo. Il loro team di tecnici valuta, prova e sceglie. Compra 0-day per flash, cose per android  e via cosi’. Comprano sembra da un russo. A quanto si capisce non ha voluto mostrarsi dal vivo se non incarnato nel proprio codice, che pare essere elegante e ben studiato. Lo prendono un po’ in giro perche’ e’ uno che posta anche su zdi, bruciandosi cosi’ gli 0-day (https://wikileaks.org/hackingteam/emails/emailid/24676). Da un americano, Dustin, un broker, piu’ che uno sviluppatore probabilmente (interessante questa mail https://wikileaks.org/hackingteam/emails/emailid/347574). Poi un asiatico, Eugene, incluso nell’organico di Hacking Team, perche’ ad un certo punto compare con una mail @hackingteam e sembra impiegato a tempo pieno nello ricerca/sviluppo di 0-day. La gallina dalle uova d’oro. E’ bellina una mail nella quale si preoccupano del rilascio di windows 10, perche’ hanno pochi exploit funzionanti per quella piattaforma e ripongono le loro speranze in uno per vlc sviluppato da Eugene.
https://wikileaks.org/hackingteam/emails/emailid/1039373

I pagamenti per gli exploit avvengono a trance di mesi, se la vulnerabilita’ dopo tot mesi viene patchata, il pagamento e’ sospeso. Una sorta di garanzia.
I clienti vogliono la silent installation tramite exploit. E nel 2015 hacking team sembra cresciuta nell’organico e aver ampliato RCS equipaggiandolo con diversi 0-days e altre cosine all’ultimo grido: https://wikileaks.org/hackingteam/emails/emailid/23

Interessante la parte sulla uefi infection, in cui compare Tails.
Il giochino se siete curiosi e’ spiegato piu’ o meno in questa mail https://wikileaks.org/hackingteam/emails/emailid/473283

La ricerca della parola uefi mi ha condotto a questo report da manuale di It crowd
https://wikileaks.org/hackingteam/emails/emailid/19213

Si capisce che sono in due ad una sorta di demo con un  cliente, l’installazione uefi funziona, ma l’agent scout poi non parte al riavvio della macchina, allora mentre uno dei due distrae il cliente l’altro lancia un exploit di quelli che zitti zitti funzionano sicuro (silent installation) e il tipo non si accorge di nulla. Ripetono il giochino con un popup di avg che compare durante la demo. Lo chiudono al volo e il cliente di nuovo non nota nulla. Ancora piu’ bello il test con norton, che rileva l’agent. Allora mentre il secondo distrae il compratore (che a questo punto possiamo pero’ classificare come un po’ scemotto) l’altro mette in whitelist scout e cosi’ la sfangano di nuovo.
In ultimo con windows 8.1 e bit defender riescono a ricavare meno informazioni del dovuto dal sistema, pero’ il cliente tanto non sa bene cosa dovrebbe fare l’oggetto e quindi non si accorge di niente.

Insomma il loro rapporto con la realta’ e’ piuttosto particolare considerato che hanno a che fare con militari/intellegence, e sperano di essere rilevati (salvati dal fallimento) dai servizi segreti italiani. Sembrano divertirsi a sviluppare questi giochini e si autoincensano in qualita’ di azienda all’avanguardia nel panorama mondiale, pero’ fanno le supercazzole ai clienti, come il verduriere che tiene il dito sulla bilancia per fregare la vecchietta di turno.
Leggendo i loro scambi di email colgo una sorta di incapacita’ nel districarsi nella complessita’ del reale. Queste poche righe mettono a disagio https://wikileaks.org/hackingteam/emails/emailid/58672
L’elenco di supercattivi che si conclude con l’ottocentesco “complotti anarchici e terroristici” e l’atteggiamento da “ah ma se voi, sapeste umanita’ ingrata, tutto il bene che  vi stiamo facendo” rivela una tendenza a semplificare la realta’, quale meccanismo di autodifesa e di autoassoluzione. Pensare che governi/militari/intelligence siano i buoni che  combattono i supercattivi e’ qualcosa che non trova corrispondenza nella storia dell’umanita’.
Per restare sui fumetti, perfino il trio paperinik, paperinika, paper bat rivelano una maggiore capacita’ di indagine del mondo circostante, e l’ispettore gadget li batte in simpatia.

Comunque se fossi in hacking team io non me la prenderei troppo per il leak. Alla fine alcuni di loro non provengono dall’esperienza di antifork.org ? E nella pagina about di antifork non c’era forse scritto

Antifork Research supports the free software movement, full-disclosure of security problems and freedom of information. We dislike commercial security brands, ‘cause money doesn’t always mean security. We follow many exciting projects, related to computer technology.

Prendetela come un ritorno ai bei vecchi tempi, ora tutti sanno tutto: full-disclosure.
E cmq coraggio, come ama ripetere il grande capo: BCM!!!

[english version]

A fake website has been indexed as legit “Autistici/Inventati” on some ToR search engines. If you’re accessing Autistici/Inventati via ToR, we remind you of the correct URL:

wi7qkxyrdpu5cmvr.onion

(You can check this information by yourself requesting the TXT record of “onion.autistici.org”. I.e. typing  “dig txt onion.autistici.org” on a terminal )

Beware of imitations!

[versione italiana]

Il nostro sito e’ stato “clonato” su ToR. Alcuni motori di ricerca hanno indicizzato il nostro indirizzo onion sbagliato. Se accedete ad A/I via ToR, vi consigliamo caldamente di controllare la URL corretta:

wi7qkxyrdpu5cmvr.onion

(E’ inoltre possibile ottenere l’ indirizzo giusto con una richiesta DNS per il record TXT dell’indirizzo “onion.autistici.org”. Ad es. aprendo un terminale e digitando “dig txt onion.autistici.org<invio>” )

Diffidate delle imitazioni!

A/I

[IT] Nel corso del weekend saranno svolti alcuni interventi di manutenzione su noblogs.org, alcuni blog potrebbero essere temporaneamente irraggiungibili.

[EN] This weekend we’ll be performing some maintenance work on noblogs.org, some blogs might be temporarily unavailable.