cavallette

Basta poco alle volte per farsi spaccare la faccia. Puoi trovarti nel ruolo di occupante di una casa a bologna, la mattina dello sgombero dell’ex telecom, oppure un sabato pomeriggio di fronte alla maker faire a roma, o in una della tante altre occasioni in cui lo stato italiano ti offre l’opportunita’ di elevare la tua street credibility con quache segno, se sei fortunato permanente, sul corpo.
Ma restiamo sulla maker faire.
Da qui sotto

https://archive.org/details/makerzine

potete scaricare una zine che veniva distribuita in quel sabato pomeriggio all’ingresso della fiera

Nel piccolo pamphlet si critica la centralita’ del business all’interno della ricerca accademica, il concetto di innovazione tecnologica che sembra assumere senso solo quando si traduce in impresa, ovvero quando assume un significato per il mercato, e quindi si puo’ comprare e vendere.
Non sono cose difficili da notare ecco, l’avranno percepito anche un sacco dei maker presenti alla fiera qualcosina di strano, e che forse esiste una certa differenza di approccio e di mentalita’ tra lo stand dell’eni e quello dei piccolo fablab di castiglion da lago.
La visione ufficiale della maker faire e’ ben sintetizzata nelle dichiarazioni di Asset Camera, ovvero quella cosa che “Cura i servizi innovativi e di sviluppo del sistema imprenditoriale, i rapporti con i media e le attività di comunicazione e relazioni esterne della Camera di Commercio di Roma” e che spingeva molto sulla riuscita della fiera.
La reazione alle cariche viene sintetizzata nel titolo di un articoletto sul manifesto con le dichiarazioni del direttore del suddetto ente “Vorrei che i giovani capissero il futuro al posto di contestare la maker faire”.
E’ un affermazione interessante. In primis perche’ non dice “vorrei che i giovani si costruissero un futuro”, ma che lo devono capire, perche’ il senso del futuro e’ gia’ scritto, se lo capisci volendo ti eviti le manganellate, se poi lo abbracci, Asset Camera puntera’ su di te e ti aiutera’ ad avere successo nel mondo prossimo venturo, che comunque e’ piu’ o meno come quello di adesso, ma piu’ caldo, con piu’ domotica, cose a led e problemi ambientali da risolvere. Forte no ?
Anche da un punto di vista tecnologico stiamo in una botte de fero, il futuro alla fine e’ delinenato. Per questo alla maker faire ci sono anche grandi aziende, per far vedere ai ragazzi come si fanno le cose nel mondo dei grandi e che quello e’ il punto di riferimento.
E comunque innovazione/rivoluzione non si appliccano all’ordine sociale. Infatti sottolineano sempre dall’Asset “I fablab e i makers sono la risposta più bella dei giovani alla crisi”. Certo, perche’ la migliore risposta alla crisi costante del capitale e del lavoro non puo’ che essere: accendiamo cose con i led comandandole via internet. O al limite lavora gratis per inventarti qualcosa che sia appetibile per il mercato, fatti una start up e spera che qualche grossa azienda ti compri, oppure evolvi e divieni imprentitore di te stesso. Le menti eccellenti sopravviveranno, al limite fuggiranno all’estero. Per gli altri: comunque ti sei trovato un hobby, tanto sei disoccupato, hai un sacco di tempo libero, no ? Tieni, accenditi un led, offriamo noi. Magari un giorno impari a farne luccicare tanti, e fai l’albero della vita ad Expo.
Le parole del buon direttore di Asset pero’ non sono a vanvera. E’ evidente che nessuno crede che i fablab e i maker possano in qualche modo essere un settore trainante dell’economia. Piuttosto una nicchia, pero’ dalle discrete potenzialita’ ideologiche. Contengono in se’ un ragionamento che potrebbe evolvere su diverse strade. La curiosita’ ti spinge a capire e intervenire sul mondo, a sviluppare capacita’ di fare. Bravo. Ora sei spendibile sul mercato del lavoro, perche’ hai un buon livello di problem solving. Ti appassioni anche ai problemi. Ottimo, appassionati a quelli che possiamo vendere bene, e saremo amici per sempre. Ti piace collaborare con gli altri, aiutarsi a vicenda ? Perfetto, perche’ lavorare con il proprio team e’ importante per emergere nella competizione. Hai una certa manualita’ e intelligenza pratica. Splendido, metti i tuoi arti al servizio di un’impresa. Dimostraci quanto tieni a noi e noi saremo carini con te, davvero. Tutte queste caratteristiche, secondo me alquanto apprezzabili in un essere umano, declinate in un altro senso invece condurrebbero ad una certa capacita’ di autorganizzarsi, autogestirsi, sostenersi l’un l’altro. Se solo non ci fosse qualcuno che poi riporta sempre la tua vita sulla centralita’ del soldo, e quando gli fai notare che e’ un modo di fare antipatico, ti spacca la faccia.

[English version below]

Ultimamente ci è stato segnalato un tentativo di phishing a nostro nome.
Il testo era questo:

Your AUTISTICI.ORG Mailbox Has Exceeded Its Quota Limit And You May
Not Be Able To Send Or Receive New Mails Until You Re-Validate.

To Re-Validate, Please Click: RE-VALIDATE For More
Storage Data to Be Added To Your Mailbox

Thank You,
AUTISTICI.ORG Mail Team

E come in ogni tentativo di phishing che si rispetti, il link inserito nel testo non rimandava a un nostro sito ma da qualche altra parte dove qualche simpatico gruppo di malintenzionati si sarebbe appropriato del nome utente e della password del/la malcapitato/a.

Sono cose che capitano e che tutte e tutti noi abbiamo già visto, ma giusto per una ripassatina, ecco alcuni consigli:

• Nelle nostre comunicazioni noi non vi chiediamo mai di cliccare su un link: molto più probabilmente il nostro invito sarà di accedere al vostro pannello utente, come fate di solito per leggere la vostra mail, all’indirizzo: https://www.autistici.org/pannello/.
• Quando ricevete una mail che vi chiede con urgenza di cliccare su un link, controllate sempre che il mittente sia chi dice di essere. Nel nostro caso, la mail arriverà da un dominio @ autistici.org — molto probabilmente da info @ autistici . org
• Se l’indirizzo del mittente vi sembra convincente, controllate che anche il link lo sia.
• Per ulteriori informazioni potete leggere questo manuale dell’Electronic Frontier Foundation (in inglese e altre lingue ma non ancora in italiano).

English version
Read the rest of this entry »

++++++++++++++++++++++++++++++++++++++
IMPORTANTE: NUOVA CA
IMPORTANT: NEW CA
++++++++++++++++++++++++++++++++++++++

[english version below]

#####
Tra pochi giorni (alla fine di Settembre 2015) la Certification
Authority di Autistici/Inventati rinnovera’ i certificati.

I nostri servizi saranno per te inaccessibili, a meno che tu non
segua questa procedura di aggiornamento:

Visita https://ca.autistici.org e segui le istruzioni riportate
sulla pagina, assicurandoti di effettuare tutte le verifiche suggerite.

Questa procedura e’ obbligatoria anche se si e’ gia’ scaricato
il certificato della CA di A/I in passato: e’ necessario ripeterla con
il nuovo certificato aggiornato.

* Cosa fare se non si e’ riusciti ad installare il nuovo certificato in
tempo?
La procedura da seguire e’ la stessa che effettueresti su un computer
nuovo per accedere al tuo account di Autistici/Inventati: visita
http://ca.autistici.org e segui le istruzioni riportate sulla pagina,
ricordandoti di effettuare anche le verifiche suggerite.

* Perche’ questa tortura?
Perche’ abbiamo scelto di prendere una posizione forte nel dibattito che
riguarda il mondo delle Certification Authority commerciali:

https://www.autistici.org/it/ssl.html

####

In few days (end of September 2015), the Autistici/Inventati
Certification Authority will *EXPIRE*, making it impossible for you to
reach our services, unless you follow this procedure to update it:

Visit https://ca.autistici.org and follow the instructions on
that page.

This is mandatory even if you have already downloaded and installed
the A/I CA certificate in the past (you need to do the same with the
new, updated certificate).

* What do I do if I was unable to update the CA certificate in time?
You should follow the same procedure that you would when installing
the A/I certificate on a new computer: visit http://ca.autistici.org
and follow the instructions on that page.

* Why all this trouble?
Read the following for our position on the debate on commercial
Certification Authorities:

https://www.autistici.org/en/ssl.html

####

Il leak di hacking team ci offre uno spaccato su un mondo interessante, un pezzo di realta’ che preferirebbe rimanere nell’ombra, e condurre un po’ in disparte, i propri affari con governi, intelligence e corpi militari a seguito. Se non fosse che la pubblicita’ e’ l’anima del commercio e la sicurezza informatica e’ una grande fiera di paese…
Il materiale pubblicato si presta a molte letture e approfondimenti. Io vorrei puntare l’attenzione sull’effimero mercato della sicurezza IT, sulle sue regole e funzionamento, che sono una metafora perfetta della fragilita’ sulla quale si basa il nostro buffo mondo.
Gli affari di hacking team giravano attorno a una piattaforma software, RCS (remote control system), una soluzione  con iconcine gommosette, pensata per gestire comodamente backdoor su computer e cellulari. Spiccano i nomi degli agent che connotano il target militare della clientela: scout, soldier, elite.
Il valore in termini monetari del giochino dipende da due fattori: il vettore di installazione, il non essere rilevato dagli antivirus. Entrambi questi aspetti riconducono ad un termine che anche i giornali ormai ogni tanto infilano negli articoli, per fare colore: 0-day. Questo, sconosciuto ai piu’, oggetto del desiderio,  che riesce a smuovere la libido di ingegneri e informatici impiegati nel campo della sicurezza.
I software sono scritti da persone, le persone qualche volta sbagliano e introducono degli errorini che adeguatamente sfruttati permettono di far eseguire al proprio giocattolino elettronico altre cose, diverse da quelle che il programma che si sta usando era pensato per fare. Nel nostro caso monitorare live tutte le attivita’ eseguite su computer e cellulari.
Il codice in grado di sfruttare le sviste prende il nome di exploit, un exploit 0-day non e’ pubblico, quindi solo chi ha trovato l’errorino e quelli a cui ha voglia di dirlo, possono sfruttare la vulnerabilita’.
In un mondo diverso dal nostro, la ricerca degli errorini sarebbe un giochino divertente per farsi gli scherzi l’un l’altro.
Nel nostro umanschifo cosi’ splendidamente capitalista, cosi’ trionfalmente guerrafondaio, cosi’ patologicamente dominato da persone in preda a deliri ossessivi da disturbo narcisistico di personalita’, non e’ cosi’. Sono i diamanti del mercato della sicurezza, al piu’ qualche centinaio di righe di codice ( quando sono fatti a modino ) prezzati in diverse decine di K dollari.
Dalle mail disponibili su wikileaks si puo’ seguire l’evoluzione dell’hacking team dal 2005 in avanti. Negli ultimi 2 o 3 anni, lo 0-day pack diventa uno delle loro preoccupazioni principali. Poter offrire vettori di  installazione con vulnerabilita’ non note, e’ la chiave di volta per fare breccia nel cuore dei governi e impressionare  le intelligence mondiali.
Una mail del grande capo spiega bene che i loro punti di debolezza all’inizio del 2014 sono gli exploit e il mobile.
https://wikileaks.org/hackingteam/emails/emailid/15113
Nel 2013 parlavano invece cosi’
https://wikileaks.org/hackingteam/emails/emailid/340289
La situazione e’ ancora piu’ chiara qui
https://wikileaks.org/hackingteam/emails/emailid/347574
Il competitor citato e’ l’israeliana Nso.

Negli anni tentano dunque di infittire i rapporti nel ristretto ed elitario mercato mondiale degli 0-day. E parallelamente mettono in campo risorse per produrseli “in house”. Perche’ nell’ultima decade la ricerca di bug da cui trarre info leak e exploit e’ diventata sempre piu’ una faccenda complicata e Hacking Team ha bisogno di 0-day di qualita’, o anche no: l’importante e’ che funzionino. Dalle mail paiono servirsi essenzialmente da persone, che periodicamente mandano il proprio catalogo dei francobolli rari, con i prezzi al pezzo. Il loro team di tecnici valuta, prova e sceglie. Compra 0-day per flash, cose per android  e via cosi’. Comprano sembra da un russo. A quanto si capisce non ha voluto mostrarsi dal vivo se non incarnato nel proprio codice, che pare essere elegante e ben studiato. Lo prendono un po’ in giro perche’ e’ uno che posta anche su zdi, bruciandosi cosi’ gli 0-day (https://wikileaks.org/hackingteam/emails/emailid/24676). Da un americano, Dustin, un broker, piu’ che uno sviluppatore probabilmente (interessante questa mail https://wikileaks.org/hackingteam/emails/emailid/347574). Poi un asiatico, Eugene, incluso nell’organico di Hacking Team, perche’ ad un certo punto compare con una mail @hackingteam e sembra impiegato a tempo pieno nello ricerca/sviluppo di 0-day. La gallina dalle uova d’oro. E’ bellina una mail nella quale si preoccupano del rilascio di windows 10, perche’ hanno pochi exploit funzionanti per quella piattaforma e ripongono le loro speranze in uno per vlc sviluppato da Eugene.
https://wikileaks.org/hackingteam/emails/emailid/1039373

I pagamenti per gli exploit avvengono a trance di mesi, se la vulnerabilita’ dopo tot mesi viene patchata, il pagamento e’ sospeso. Una sorta di garanzia.
I clienti vogliono la silent installation tramite exploit. E nel 2015 hacking team sembra cresciuta nell’organico e aver ampliato RCS equipaggiandolo con diversi 0-days e altre cosine all’ultimo grido: https://wikileaks.org/hackingteam/emails/emailid/23

Interessante la parte sulla uefi infection, in cui compare Tails.
Il giochino se siete curiosi e’ spiegato piu’ o meno in questa mail https://wikileaks.org/hackingteam/emails/emailid/473283

La ricerca della parola uefi mi ha condotto a questo report da manuale di It crowd
https://wikileaks.org/hackingteam/emails/emailid/19213

Si capisce che sono in due ad una sorta di demo con un  cliente, l’installazione uefi funziona, ma l’agent scout poi non parte al riavvio della macchina, allora mentre uno dei due distrae il cliente l’altro lancia un exploit di quelli che zitti zitti funzionano sicuro (silent installation) e il tipo non si accorge di nulla. Ripetono il giochino con un popup di avg che compare durante la demo. Lo chiudono al volo e il cliente di nuovo non nota nulla. Ancora piu’ bello il test con norton, che rileva l’agent. Allora mentre il secondo distrae il compratore (che a questo punto possiamo pero’ classificare come un po’ scemotto) l’altro mette in whitelist scout e cosi’ la sfangano di nuovo.
In ultimo con windows 8.1 e bit defender riescono a ricavare meno informazioni del dovuto dal sistema, pero’ il cliente tanto non sa bene cosa dovrebbe fare l’oggetto e quindi non si accorge di niente.

Insomma il loro rapporto con la realta’ e’ piuttosto particolare considerato che hanno a che fare con militari/intellegence, e sperano di essere rilevati (salvati dal fallimento) dai servizi segreti italiani. Sembrano divertirsi a sviluppare questi giochini e si autoincensano in qualita’ di azienda all’avanguardia nel panorama mondiale, pero’ fanno le supercazzole ai clienti, come il verduriere che tiene il dito sulla bilancia per fregare la vecchietta di turno.
Leggendo i loro scambi di email colgo una sorta di incapacita’ nel districarsi nella complessita’ del reale. Queste poche righe mettono a disagio https://wikileaks.org/hackingteam/emails/emailid/58672
L’elenco di supercattivi che si conclude con l’ottocentesco “complotti anarchici e terroristici” e l’atteggiamento da “ah ma se voi, sapeste umanita’ ingrata, tutto il bene che  vi stiamo facendo” rivela una tendenza a semplificare la realta’, quale meccanismo di autodifesa e di autoassoluzione. Pensare che governi/militari/intelligence siano i buoni che  combattono i supercattivi e’ qualcosa che non trova corrispondenza nella storia dell’umanita’.
Per restare sui fumetti, perfino il trio paperinik, paperinika, paper bat rivelano una maggiore capacita’ di indagine del mondo circostante, e l’ispettore gadget li batte in simpatia.

Comunque se fossi in hacking team io non me la prenderei troppo per il leak. Alla fine alcuni di loro non provengono dall’esperienza di antifork.org ? E nella pagina about di antifork non c’era forse scritto

Antifork Research supports the free software movement, full-disclosure of security problems and freedom of information. We dislike commercial security brands, ‘cause money doesn’t always mean security. We follow many exciting projects, related to computer technology.

Prendetela come un ritorno ai bei vecchi tempi, ora tutti sanno tutto: full-disclosure.
E cmq coraggio, come ama ripetere il grande capo: BCM!!!

[english version]

A fake website has been indexed as legit “Autistici/Inventati” on some ToR search engines. If you’re accessing Autistici/Inventati via ToR, we remind you of the correct URL:

wi7qkxyrdpu5cmvr.onion

(You can check this information by yourself requesting the TXT record of “onion.autistici.org”. I.e. typing  “dig txt onion.autistici.org” on a terminal )

Beware of imitations!

[versione italiana]

Il nostro sito e’ stato “clonato” su ToR. Alcuni motori di ricerca hanno indicizzato il nostro indirizzo onion sbagliato. Se accedete ad A/I via ToR, vi consigliamo caldamente di controllare la URL corretta:

wi7qkxyrdpu5cmvr.onion

(E’ inoltre possibile ottenere l’ indirizzo giusto con una richiesta DNS per il record TXT dell’indirizzo “onion.autistici.org”. Ad es. aprendo un terminale e digitando “dig txt onion.autistici.org<invio>” )

Diffidate delle imitazioni!

A/I

[IT] Nel corso del weekend saranno svolti alcuni interventi di manutenzione su noblogs.org, alcuni blog potrebbero essere temporaneamente irraggiungibili.

[EN] This weekend we’ll be performing some maintenance work on noblogs.org, some blogs might be temporarily unavailable.

[English version below]

A partire da oggi entrano definitivamente in vigore le direttive del garante della privacy italiano sui cookies e siamo tenute per legge, pena multe salatissime, a inserire su tutti i blog di Noblogs e su tutti i siti che usano cookies un banner che vi richiede il consenso esplicito all’uso dei cookies.

Si tratta esclusivamente di una formalità, e dal punto di vista del funzionamento dei server di A/I non cambia niente: Autistici/Inventati, e quindi NoBlogs, non registra alcuna infomazione sugli utenti né effettua alcuna profilazione.

Ma che cosa sono i cookies, a che servono e perché vengono usati anche su Noblogs e sui siti di A/I?

I cookies sono informazioni registrate nel tuo computer (o smartphone) quando visiti un sito web. Alcuni, quelli che usiamo noi (i cosiddetti cookies tecnici) servono a facilitare e a velocizzare la navigazione, altri a interfacciarsi con servizi come Twitter o Youtube (i “cookies di terze parti”) e altri ancora per profilare gli utenti a scopo commerciale. Questi ultimi non sono usati sui server di A/I per policy, e di conseguenza neanche i nostri utenti possono usarli nei loro siti.

Quindi non sarete profilati se visitate un sito di A/I o un blog di Noblogs. Considerate però che, a prescindere dalla nuova legge e dal banner d’ordinanza, se accedete a un sito o a un social network commerciale i cookies di profilazione non mancano mai. Se questa idea non vi piace, l’ideale è cancellare i cookies ogni volta che chiudete la sessione del browser: un’opzione che si trova nelle impostazioni del vostro browser.


English version
Read the rest of this entry »

[IT] I certificati SSL di noblogs.org sono stati aggiornati nuovamente. Il cambiamento più significativo è che si tratta di certificati forniti da una CA commerciale. Nonostante la nostra posizione sull’industria delle CA sia rimasta immutata, vogliamo che i nostri utenti possano trarre vantaggio da alcune delle recenti e moderne migliorie al protocollo SSL, ottenibili purtroppo solo usando un certificato commerciale.

[EN] The noblogs.org SSL certificates have been updated yet again. The most significant change, this time, is that the new certificates are issued by a commercial CA. Our position on the CA industry has not changed, but we’d like for our users to take advantage of some of the more recent and modern improvements to the SSL protocol, which can unfortunately only be activated with a commercial certificate.

[IT] Abbiamo aggiornato i certificati SSL dei nostri servizi. Come sempre, i certificati sono firmati dalla nostra CA. In caso di dubbi, usate questa pagina per verificare la validità dei nostri certificati SSL.

[EN] We have updated the SSL certificates for our services. As usual, they are signed by our own CA. In case of doubts, check out this page for instructions on how to verify the validity of our SSL certificates.