Aiutateci a smascherare i violenti

Ottobre 18th, 2011 by cavallette

A partire dal 15 ottobre la Pro Loco del Bel Paese invita la cittadinanza a partecipare al

Grande “indovina chi” della Delazione di massa

Se conosci individui di sesso maschile/femminile/intersessuale di eta’ compresa tra gli 8 e 16 anni, tra i 16 e i 32,  i  32 e i  64, oltre i 64 che corrispondano agli identikit qui di seguito, per prima cosa inorridisci, sei di fronte a un mostro.

Superato lo shock e il vuoto cognitivo a seguire, invia una segnalazione alla magistratura, alle forze dell’ordine, alle principali testate giornalistiche nazionali, ma anche quelle un poco piu sfigate, alla segreteria di uno o piu’ partiti politici a tua scelta.

Tra le migliori segnalazioni verranno estratte a sorte migliaia di gratta e vinci, bottiglie di marsala a pioggia, confezioni da 12 di cremini Fiat e pacchi di fusilli barilla da un chilo.

Col patrocinio dell’Ente per la valorizzazione e lo sviluppo della guerra tra poveri.

Affrettati: il concorso e’ valido solo fino alla prossima emergenza.

Superare SSL

Settembre 23rd, 2011 by cavallette

Forse qualcuno è stato attento e ha notato che ultimamente sono diventate di dominio pubblico alcune notizie che hanno definitivamente svelato le pecche del protocollo usato dal vostro web browser per crittare la comunicazione con i server dei siti che visitate: SSL.

La responsabilità degli attacchi è stata addossata ad un famigerato “hacker iraniano”. La cortina di fumo mediatica non deve distrarre, la questione importante qui è la presa di coscienza di quanto sia incontrollata la struttura di verifica dei certificati SSL: l’impalcatura delle Certification Authority commerciali. Sono più di 600 le organizzazioni di cui si fida il vostro browser, come l’ottima analisi quantitativa dell’EFF SSL Observatory ha evidenziato già da tempo. Oltre ai loschi soggetti noti di questa industria quali Verisign e compari, possiamo contare in questo insieme anche organizzazioni sconosciute non soggette a nessuna revisione e addirittura enti governativi americani. Il fatto che ciascuna di queste organizzazioni sia autorizzata a firmare certificati a nome di chiunque è forse il segno più chiaro che il protocollo SSL, nato in quattro e quattr’otto per vendere Internet ai banchieri, ha raggiunto il limite della sua utilità storica.

Le corporation si dichiarano terrorizzate dalla possibilità che dei “criminali” si impossessino delle credenziali necessarie a creare certificati SSL fasulli, ma non è difficile immaginarsi che gli Stati e le loro forze repressive nutrano delle stessa possibilità. Le agenzie di sicurezza americane sanno da tempo come sfruttare i difetti del meccanismo di verifica delle Certification Authority: già nel 1998 un ricercatore della National Security Agency descrisse in un articolo accademico un metodo per sfruttare la debolezza di tale meccanismo per intercettare il traffico tra browser e server. Pare che oggi il governo iraniano, dopo aver dovuto rubare con destrezza i certificati ad alcune Certification Authority, usi gli stessi meccanismi per intercettare su scala nazionale il traffico internet crittato, al fine di rintracciare oppositori e dissidenti. Nel mondo occidentale, dove non sta bene dedicarsi a simili vistosi hijacking di massa, simili tecniche vengono molto probabilmente usate in contesti più specifici e individuali. Ci inquieta il confronto con il 2004 quando la Polizia italiana, evidentemente ancora povera di amicizie, si è dovuta impadronire fisicamente dei certificati SSL di autistici.org. Oggi probabilmente questo non rappresenterebbe più un problema.

Appare ormai evidente che attualmente il protocollo SSL non è più adatto a stabilire l’identità della controparte in una comunicazione sul web. Quali sono le alternative possibili? Una soluzione immediata e ovvia può essere la creazione di diversi profili nel proprio browser: ogni profilo viene dedicato alla navigazione di un particolare sito ed è quindi possibile rimuovere da ciascun profilo tutte le Certification Authority che non siano rilevanti al sito in questione. A parte l’incredibile scomodità, non tutti i browser permettono di gestire il database delle Certification Authority indipendentemente per i diversi profili.

La ricerca e l’utilizzo di alternative si scontrano con un ulteriore problema: in tutti i maggiori browser la gestione del protocollo SSL è parte integrante del resto del browser stesso ed è quindi difficile da sostituire con un’altra “cosa”, qualsiasi essa sia. Un palliativo è l’utilizzo di estensioni, che al momento sono però disponibili solo per Firefox:

  • convergence, un sistema di verifica dei certificati SSL che valida i dati presso terze parti (per usare convergence con autistici.org non c’è da fare niente di speciale, A/I ha installato un proprio notary per contribuire alla rete, ma non verrà necessariamente usato); c’è un ottimo video che ne spiega i dettagli.
  • monkeysphere, un sistema che invece si aggancia al network of trust di PGP (in questo caso vi servirà la chiave PGP per monkeysphere@autistici.org, ID 62BBEB9D, reperibile sui keyserver pubblici).

Queste estensioni offrono meccanismi di verifica dei certificati SSL che possono sostituire o affiancare l’attuale infrastruttura delle Certification Authority, ma sono entrambi progetti nuovi e ancora in fase di sviluppo. Speriamo che si evolvano e raggiungano la massa critica necessaria a spodestare il potere delle Certification Authority.

  

Il certificato SSL della Certification Authority di Autistici/Inventati è come sempre disponibile su http://ca.autistici.org/.

WordPress is leaking user/blog data

Settembre 14th, 2011 by admin

More than six months ago we opened a ticket for WordPress developers about an undocumented behaviour of the WordPress Version Check functionality:

Hi, we’ve noticed that wordpress will send how many users and blogs are in a given installation during the GET to api.wordpress.org together with the installation URL in the headers.

Is there any reason why this is done? It seems quite a leak of information. Can it be turned into an option defaulting to off and admins can opt-in if they want to report how many users/blogs are currently there?

We reckon our request was clear enough: Your software is sending back to you some informations without the users knowing. Please make it explicit adding one of those opt-in dialogues like “Send usage statistics to wordpress.org”.

The developers promptly replied within a few hours. What did they say? They closed the request and marked it as invalid. They basically said: Yes, we are collecting and keeping data about you all without telling you, so what?

We reopened the request together with other users trying to convince the developers to fix this privacy issue, but their replies were always far from being satisfying. This comment summarizes very well their line:

There are plugins available already which allow you to disable the [version] checks if you don’t want to send the data.

We are not going to add any UI option for this.

They basically suggested to completely disable the updates checks if a data leak is not desired. This idea looks particularly funny to us: How could an average user possibly know and decide to disable the checks if it is not clearly written anywhere that WordPress is leaking informations?

So, six months later WordPress is still leaking user/blog data while checking for newer versions. Noblogs obviously does not, but what about your WordPress installation?

Do yourself a favor: Carefully inspect every line of code you are putting on your servers.

UPDATE (1316100929)

These are the patches we applied to our WordPress installation:

Apple censura l’app Phone Story

Settembre 14th, 2011 by cavallette

Come sorprendersi, Apple come ogni Corporation non ha niente di democratico.
Percio’  dopo poche ore dal rilascio dell’App che denuncia il processo produttivo degli iPhone viene censurata e rimossa.

Qui le motivazioni e la risposta degli autori.

Phone Story was pulled from the iTunes App Store on Tuesday September 13 at 11.35am, only few hours after its official announcement.

Apple explained that the game is in violation of the following guidelines*:

15.2 Apps that depict violence or abuse of children will be rejected

16.1 Apps that present excessively objectionable or crude content will be rejected

21.1 Apps that include the ability to make donations to recognized charitable organizations must be free

21.2 The collection of donations must be done via a web site in Safari or an SMS

We contest the violation 21.1 and 21.2 since it’s not possible to make donationsthrough Phone Story. Molleindustria simply pledged to redirect the revenues to no-profit organizations, acting independently.

We are currently considering two steps:

. Produce a new version of Phone Story that depicts the violence and abuse of children involved in the electronic manufacturing supply chain in a non-crude and non-objectionable way.

. Release a version for the Android market and jailbroken ios devices.

The users who managed to buy the app before it went offline are now owners of a rare collector edition piece.

We’ll be posting further updates on our twitter

 

The YESman need you!

Settembre 13th, 2011 by cavallette

iPhone App About Apple’s Rotten Supply Chain Gets Past CensorsThis and upcoming Yes Lab projects no hoax
Contact: info@molleindustria.it, michael.pineschi@gmail.com


To the great surprise of its creators, a funny new iPhone gamecritical of Apple’s human rights record was accepted by the iTunesstore and is being released today. The app, called Phone Story,teaches players about abuses in the life-cycle of the iPhone byputting them in the manufacturers’ shoes. To win, players must enslavechildren in Congolese mines, catch suicidal workers jumping out ofChinese assembly plant windows, and conscript the poorest of theworld’s poor to dismantle toxic e-waste resulting from obsoletephones.
The seriously funny new game will sell for 99 cents on iTunes; allproceeds will go to organizations fighting to stop the horrors thatsmartphone production causes. Read more about Phone Story below. Butfirst, a word from Phone Story’s sponsors.
Yes Lab Fundraising Campaign a Shocking Success
Last week the Yes Lab sent you an appeal for support. We set asideforty days and forty nights to reach our goal on Kickstarter—but withyour help we’ve gotten there in just five! (Note: if you haven’t yetdonated, don’t let our success dissuade you! We’ll use the extra moneyto fund more projects, and to develop tools and resources to helpfolks carry them out. And by the way, if you’re a Drupal programmerand feel like helping to make those tools, please write to us!)
Since our fundraising appeal is doing so well, we’re launching ourvery own curated page on Kickstarter, to support other coolprojects—like Beautiful Trouble, an activism manual and websitewritten by over forty troublemakers from around the world, includingthe Yes Men. Beautiful Trouble’s goal is to put the best tactics forcreative action in the hands of the next generation of change-makers.Support Beautiful Trouble!
So back to those phones….
Would you like to force an African child to mine for precious metalsat gunpoint? “Phone Story,” a new iPhone app produced byMolleindustria, puts the player in the unsavory shoes of a smartphoneexecutive. Each level in the game explores a different real-lifeproblem in the consumer electronics life cycle: slavery and abuse inColtan mines, suicide-inducing manufacturing plants, andhealth-destroying e-waste processing are reduced to a cute, low-resaesthetic driven by simple, addictive game play. The game is availablein the iTunes store for 99 cents.

UPDATE: the game has been banned from the Apple app store. If you still had any doubt, now you have another reason to think that app stores are bad for you.

Priv3, idea & plugin per Firefox, “Practical Third-Party Privacy for the Social Web”

Settembre 6th, 2011 by cavallette

http://priv3.icsi.berkeley.edu/

About Priv3
Did you know that social networking sites like Facebook, Google+, and
Twitter can track your visits to any web page that uses the familiar
“Like”, “Follow”, or “+1” buttons, even if you do not actually click
these buttons?

The Priv3 Firefox extension lets you remain logged in to the social
networking sites you use and still browse the web, knowing that those
third-party sites only learn where you go on the web when you want them
to. All this happens transparently, without the need to maintain any
filters. Priv3 is free to use for anyone.
Read the rest of this entry »

crittografia omomorfica

Agosto 19th, 2011 by cavallette

Sulla lista hackmeeting si e’ sviluppato un breve thread su un argomento interessante che avevo rimosso dalla testa, la crittografia omomorfica. Si tratta in pratica di trovare un sistema matematico computazionalmente efficiente per fare in modo che una modifica su un certo dato cifrato si rifletta sul dato in chiaro in maniera coerente: cifro P per ottenere C, moltiplico C per 2, se decifro 2C devo ottenere 2P. Il che renderebbe possibile modificare il dato in chiaro in maniera coerente senza prima decifrarlo e ricifrarlo in seguito.

Questa e’ la tesi che un paio di anni fa ha riportato in auge questa concetto

http://crypto.stanford.edu/craig/craig-thesis.pdf

La crittografia omomorfica e’ citata come uno dei dieci punti dello sviluppo prossimo ventuto dalla technology review, ci stanno investendo un po’ tutte le realta’ con interessi nel cloud computing. Da ibm che si e’ comprata direttamente l’autore della tesi, dalla microsoft (https://www.technologyreview.com/computing/38239),  a google (https://code.google.com/p/thep)

Due anni fa il tema era stato trattato dal scheiner nel suo blog in maniera piuttosto critica, sostenendo sostanzialmente che l’argomento era interessantissimo, ma che farne dei lanci commerciali era piuttosto pretestuoso e prematuro.(http://www.schneier.com/blog/archives/2009/07/homomorphic_enc.html)

Due piu’ due uguale quattro. Due cose sulle rivolte a londra

Agosto 13th, 2011 by cavallette

Prima cosa

E’ interessante che il governo inglese abbia pensato di rendere irraggiungibili i social network quando palesemente utilizzati per orchestrare rivolte. Ma come si chiude un social network come facebook o twitter ? A me interesserebbe sapere come un governo possa eliminare l’accesso a queste risorse senza toglierle a tutti. Io personalmente non uso il primo e poco il secondo, ma pochi mesi fa leggevo che la Goldman Sach stava preparando lo sbarco in borsa di facebook. Questa banca aveva gia’ cavalcato e orchestrato la bolla delle dot com, di qualche anno fa.
Ora viene fuori che facebook e twitter li usano per fare le rivolte, che finche’ sono in medio oriente va bene, ma quando arrivano nell’occidente civilizzato, il migliore dei mondi possibili, allora vanno fermati, almeno un poco. La crisi economica in cui siamo calati, e’ il risultato di un’ideologia monetarista che prevede di lasciare campo libero alla finanza e correggere le anomalie grazie alla saggezza della banche centrali. Londra e’ uno dei luoghi in cui tutto questo ha preso forma, in pochi anni i quartieri ricchi londinesi si sono riempiti degli squali del capitalismo finanziario mondiale. Qualcuno in una villa londinese tirava l’acqua nel cesso e il mercato delle bolle finanziarie gongolava.
Pensiamoci bene, la quotazione in borsa dei social network potrebbe essere una ventata d’aria fresca nel depresso mercato dei titoli azionari, in grado di far impennare  il nasdaq. Si puo’ spegnere tutto questo per un po’ di rumba nelle strade di londra ? E se poi il mercato ci rimane male ? Finora si e’ fatto di tutto per favorirlo in ogni modo, vogliamo che tutto questo sia stato inutile ? E se poi crolla la fiducia nelle tecnologie ? No perche’ si sa quanto sia importante l’ottimismo per il mercato. Niente musoni qui, solo gente che sorride. No perche’ il nasdaq lo calcolano con un computer, e’ l’indice dei titoli tecnologici, non vorrei mai che poi a forza di dire male di internet, poi scema l’entusiamo per la tecnologia tutta, e il nasdaq tocca spegnerlo.

Seconda cosa

Il fatto che alcuni genitori londinesi abbiano consegnato i loro figli alle autorita’ secondo me e’ significativo e dovrebbe far riflettere tutti e cosi’ giungere ad una sola e semplice verita’: i figli sono migliori dei padri.

Quando tutto va male la sola cosa che conserva un valore e’ l’oro, metallo, numero atomico 79, Au per gli amici. La cosa piu’ importante al mondo e’ l’oro. Non si mangia, non si beve, non si tromba, non da’ affetto di alcun tipo, non fa le fusa, nulla. E’ soltanto uno stupido e neanche troppo diffuso metallo di colore giallo. Al di sopra di esso abbiamo costruito un complesso meccanismo chiamato capitalismo e elevato la moneta e il mercato ad arbitro e gestore delle nostre vite. Non e’ che in questo ci sia proprio proprio una logica ferrea, anche se han tirato di mezzo la matematica. Il mercato e’ una divinita’ un po’ dispettosa, gli piace di essere libero e un po’ pazzerello. Si tratta di una specie di fede, di religione, con alcuni dogmi. Noi attualmente ci situiamo all’interno della corrente monetarista, di cui la Banca Centrale Europea e’ gran sacerdotessa.
Ad esempio siamo sicuri, contro ogni evidenza dei fatti, che lo sviluppo debba essere continuo. Non importa se le risorse sono limitate, la crescita sara’ comunque continua e non si fermera’ mai, e’ una professione di fede. I padri e le madri dei figli hanno affrontato tantissimi sacrifici durante l’arco della loro esistenza in nome di questa vulgata, e molti di loro hanno introiettato il giochino. Eppero’ i figli che possiedono poco o nulla di questo buffo mondo, che sono soltanto delle anime desideranti in un terra promessa di merci, hanno sviscerato in fretta il problema. E l’hanno comunicato a modo loro, con una rivolta di mezza estate hanno detto:  non ha senso, tutto questo non ha alcun senso, ma se due piu’ due e’ uguale a quattro almeno prendiamoci i televisori.

Noblogs in read-only mode

Luglio 12th, 2011 by cavallette

[english version below]

A causa dei ripetuti problemi hardware delle ultime settimane, abbiamo la necessità di svolgere un’attività di manutenzione straordinaria su noblogs. Di conseguenza potreste avere difficoltà a inserire nuovi contenuti per le prossime ore. Grazie per la vostra pazienza.

Due to the repeated hardware outages we experienced in the last few weeks, we have do perform some maintenance work on noblogs. Thus, you may experience problems in uploading contents for the next few hours. Thank you for your patience

 

UPDATE

maintenance is over, everything should work as expected now

 

Una domenica in val di susa

Luglio 5th, 2011 by cavallette

Sono passati 10 anni da genova e’ ancora si evoca il fantasma dei black block (d’ora in poi bb). Domenica in valle ho visto tantissime persone, migliaia, dai 16 agli anta anni partecipare attivamente all’assedio del fortino/cantiere della maddalena, salutarti cordiale e dirti grazie perche’ eri venuto fin li’. Passeggiando nelle frazioni intorno ad exilles ho visto una coppia di mezz’eta’ sorridere a dei ragazzi e dirgli “siete da ammirare”. Io ho pensato che siano loro da ammirare, perche’ la dignita’ nell’affrontare questa lotta da piu’ di quindici anni infonde coraggio a tutti. Ho avuto un leggero moto di commozione, perche’ quanto accaduto lassu’ domenica e’ stato qualcosa di emozionante. Un risveglio di coscienza, che da’ speranza.
I reparti schierati dall’inizio della settimana a difesa del fortino/cantiere sono percepiti come una forza di occupazione militare, e lo stato italiano come un desposta autoritario. Considerando che l’opposizione all’opera in valle e’ ben evidente e non nascosta da nessuno da piu’ di una decade, non saprei immaginarmi uno scenario diverso. Forse ci si dovrebbe interrogare su questo piuttosto che cercare di scovare i bb sotto i sassi della val di susa.

Read the rest of this entry »