cavallette

Da diversi anni si discute sul senso e sui problemi dell’attuale realizzazione e applicazione dei protocolli Tls/Ssl. L’attuale struttura di pki basata su ca private che operano come se fossero dei notai autoproclamati ha un senso e serve allo scopo ? Oppure semplicemente viene tenuta in piedi perche’ tutto il commercio elettronico si basa sull’esistenza di questo protocollo, e quindi bisogna dire che funziona anche se poi non funziona davvero ?
In molti hanno prodotto riflessioni interessanti sull’argomento, vi consigliamo in particolare questo articolo di Sogohian.

Un esempio di come l’attuale sistema di autenticazione di un certificato ssl/tls sia facilmente aggirabile da telco, enti governativi, proxy aziendali e’ quanto la nokia ha messo in piedi per accellerare la navigazione da alcuni modelli di smartphone.

In bella sostanza per ogni richiesta https si chiude prima la contrattazione del certificato con un proxy della nokia il quale possiede un certificato valido firmato da una CA riconosciuta, e quindi che non genera alcun warning, ne’ finestrella. Sara’ il proxy a fare la richiesta per noi. Questo implica pero’ che il proxy possa vedere in chiaro tutto il nostro traffico ssl/tls, perche’ noi abbiamo chiuso con lui il canale cifrato e solo in seguito lui ne ha aperto un altro con la nostra destinazione. Il suo compito e’ per l’appunto decifrare il nostro traffico, ricifrarlo con la chiave contrattata con la destinazione, e viceversa. Il meccanismo e’ completamente trasparente senza un’analisi del flusso di dati un po’ dettagliata o senza controllare il certificato che ci viene fornito ( sara’ sospettosamente sempre lo stesso per ogni sito che andiamo a visitare). Si tratta usando un lessico un po’ diverso di un attacco mitm su ssl come si potrebbe piu’ elengantemente imbastire attraverso mallory e altre piccole accortezze.

Potremmo consigliarvi di non usare software closed source per non incappare in queste brutte sorprese e di usare comunque sempre plugin come certificate patrol/, che per quanto aprano un sacco di noiose finestrelle permettono di capire cosa accade dietro le quinte nel giochino del ssl/tls. Riteniamo pero’ che questa faccenda sia piu’ interessante per il modello tecnologico che delinea. Si parla di questo problema da circa un decennio, ma il fatto che su questa struttura si basi tutto il commercio elettronico implica che si debba discuterne sottovoce e dietro le quinte e nell’impossibilita’ di trovare una soluzione che non turbi le nostre tranquille ore di shopping on line, fare finta di niente. Tutto avviene in ogni caso soltanto nel nostro interesse, come si e’ affrettata a dichiarare la nokia colta in fallo.

We are going to do some heavy maintenance on one of our servers to improve our infrastructure. The maintenance will start around 21:00 UTC and is supposed to last for 12 hours.

During this period a part of our users will not be able to access their mailboxes, websites or blogs. We will update this post as soon as maintenance is over.

UPDATE: Maintenance is over, everything ok again.

//

Stasera faremo un intervento di manutenzione su uno dei nostri server per migliorare la nostra infrastruttura. La manutenzione partirà circa alle 22:00 e durerà almeno 12 ore.

Durante questo periodo, una frazione delle nostre caselle di posta, dei siti e dei blog risulteranno irraggiungibili. Aggiorneremo questo post non appena la manutenzione sarà terminata.

AGGIORNAMENTO: La manutenzione è terminata, tutto a posto.

[english version below]

Recentemente abbiamo cambiato i nostri certificati SSL/TLS e pare più o meno in contemporanea Google ha deciso di ritenere non validi i certificati non acquistati presso una certification authority (CA) ufficiale. (qui la pagina con la loro comunicazione ufficiale).
Read the rest of this entry »

Stiamo risolvendo un problema sui nostri server che sta impattando alcuni utenti (non funzionano alcuni servizi autenticati es. e-mail)

We are currently working on an ongoing issue on our servers (some authenticated services won’t work i.e. e-mail)

Cari utenti della VPN di A/I,
abbiamo giusto introdotto un paio di cambiamenti alla configurazione della VPN, come conseguenza purtroppo le configurazioni attualmente attive non sono piu’ valide e le connessioni falliranno. La soluzione e’ semplicemente visitare https://vpn.autistici.org/ e generare dei nuovi certificati.

Hello users of the A/I VPN!
We have recently introduced a few changes in the VPN configuration which are meant to improve its security, but as a consequence the currently active configurations are invalid and connections to the VPN will fail. Just visit https://vpn.autistici.org/ and generate a new certificate.

Sabato 15 dicembre saremo in Conchetta 18 a milano per presentare il libro (ore 21:30). E’ una data speciale per noi, che Conchetta è stata luogo di produzione di immaginari sul cyberpunk dalla fine degli anni ’80 e per tutti gli anni ’90. La rivista Decoder e le pubblicazioni della Shake Edizioni di quegli anni sono state un passaggio culturale formidabile per noi giovinastri amanti del punk e armati di tastiera. Non mancate, ci saranno un pò di proiezioni che riporteranno a quello spirito originale che ci mosse, sarà l’ennesima occasione in cui vivere uno spazio sociale che ancora oggi è con gli occhi nemici puntati addosso, come se 20 e più anni di autogestione e produzione culturale continuativi non fossero sufficenti a dare la meritata legittimità a proseguire sereni.
Segnaliamo inoltre l’appuntamento in Conchetta di domenica 16, iniziativa a sostegno della campagna di raccolta fondi per i condannati di Genova lanciata da Supporto Legale, Genova non è finita, noi c’eravamo allora e lo sappiamo molto bene ancora oggi.
Per questo doppio invito di festa e di lotta, con noi, con Conchetta, per tutti quelli che Genova la stanno ancora pagando ingiustamente. La memoria è un ingranaggio collettivo, siatene parte.

We updated our SSL certificates – please see our CA:  https://ca.autistici.org or down here

Abbiamo aggiornato i nostri certificati SSL – controllate le fingerprint qua presso la nostra CA:  https://ca.autistici.org o qua sotto

Fingerprints:
web www.autistici.org
SHA1: C7:A8:77:06:2A:BF:D7:19:5A:FD:85:99:60:23:22:7C:2B:A8:CC:79
MD5: 63:85:4C:7A:B7:81:66:A3:5A:8F:8E:D3:05:E4:02:00
imap mail.autistici.org
SHA1: C5:3A:7A:F2:E7:DD:43:90:29:B4:EA:51:57:57:5D:8A:15:C3:20:88 MD5: EB:DA:24:FB:03:70:38:F2:98:8D:50:2D:B7:FC:8F:3B
smtp smtp.autistici.org SHA1: 00:2E:8E:C0:36:BF:A0:59:A4:CB:0A:7C:AE:FE:DC:6F:3F:A0:FD:F8
MD5: 2B:93:5C:01:7D:1D:BD:B9:BF:4C:E9:B5:31:69:A2:33 jabber jabber.autistici.org
SHA1: 6A:2F:BB:8B:C2:39:26:FA:AB:14:B9:24:76:E4:27:CC:FA:52:0C:25
MD5: 03:44:5E:CB:1E:9E:D7:1B:04:1F:A6:C7:C7:C9:13:6B irc irc.autistici.org
SHA1: 9B:B5:9B:D5:CA:6F:06:71:72:30:5F:68:3A:E4:2F:77:81:62:CB:54
MD5: B5:C4:A7:C8:0B:41:D4:81:C5:BB:6C:F9:8F:63:B2:9F

SOLVED / RISOLTO
All services are back online.
Tutti i servizi sono di nuovo online.

A/I

[Italian version below]

In order to improve the security and reliability of our infrastructure, we are going to do some heavy maintenance on one of our servers starting soon (around 18:00 UTC). Maintenance is supposed to last overnight.

During this period a part of our users will not be able to access their mailboxes, websites or blogs. We will update this post as soon as maintenance is over.

Update: Maintenance took longer than expected. All services should be back online around 16:00 UTC.

//

Per migliorare la sicurezza della nostra infrastruttura, stasera faremo un intervento di manutenzione su uno dei nostri server, a partire circa dalle 19:00.  La manutenzione dovrebbe essere conclusa domani mattina.

Durante questo periodo, una frazione delle nostre caselle di posta, dei siti e dei blog risulteranno irraggiungibili. Aggiorneremo questo post non appena la manutenzione sarà terminata.

Update: La manuntenzione ha richesto piu’ tempo del previsto; tutti i servizi dovrebbero essere nuovamente online intorno alle 17:00

tutto e’ tornato al suo posto. ci scusiamo per il disagio.

everything went back to its proper place. we apologize for the inconvenience.

Purtroppo pare che la partizione di posta di uno dei server abbia seri problemi, stiamo lavorando per trovare la soluzione meno dolorosa. Speriamo di non perdere dati, ci dispiace per quegli utenti che sono ospitati li, faremo l’impossibile per gestire la situazione.

Unluckily the mail partition of one of our servers has serious problems, we are working towards the less painful resolution. We hope not to loose any data, we’ll be trying also the impossible to manage the situation for the best.

L’iniziativa di giovedi’ 29 con la presentazione di +Kaos, non sara’ presso l’ulisse Dini, ma nel plesso Morgagni, secondo piano, aula 228