vitocola.it

Condividere saperi, senza fondare poteri

BLOG

0 comments

Un trojan di stato alla prova dei fatti

Come funziona e quanto è sicuro un “captatore informatico”?

Sul sito DDAY.it, già all’epoca dell’hackeraggio del sito di HackingTeam, era possibile trovare una dettagliata descrizione del funzionamento del famoso RCS Galileo (il captatore informatico creato da HackingTeam, l’azienda italiana che fornisce questa suite di intelligence a oltre 21 stati nel mondo) ma il Collettivo Autistici Inventati fa di più: installa e mette in funzione il software simulando un’intrusione vera e prorpria. In tal modo mette alla prova “RCS Galileo” e soprattutto dimostra come, alla prova dei fatti, il DDL Orlando appena licenziato anche alla Camera, apra la strada a un pericoloso abbassamento non solo della privacy dei cittadini ma anche della loro sicurezza.

galileo from cami on Vimeo.

0 comments

WannaCry: che fare?

Qualche giorno fa, oltre duecentomila computer nel mondo, sono stati infettati da un ransomware che, come al solito, ha criptato i file (rendendoli inaccessibili) per poi chiedere il pagamento in cambio della chiave di decriptazione. Il malware si chiama WannaCry  e si è diffuso con una rapidità incredibile in un bel numero di paesi; ha sfruttato una falla di sicurezza nel sistema di condivisione dei file e di conseguenza ha avuto gioco facile all’interno delle reti a dominio Windows.

La debolezza era già nota a Microsoft, poiché l’exploit usato (EternalBlue), messo a punto dalla NSA per i loro consueti usi di spionaggio, era stato rubato dal gruppo Shadow Brokers che l’aveva messo on-line ad aprile (una settimana dopo che Trump aveva ordinato il bombardamento della base siriana).

Infatti Microsoft, il 14 marzo, aveva rilasciato degli aggiornamenti, per corregge la modalità con le quali SMBv1 gestisce “le richieste appositamente create a un Microsoft Server Message Block 1.0“.  

Ma si sa che gli utenti windows sono dei buon temponi che non badano troppo agli aggiornamenti di Windows Update (a dirla tutta sono forse gli unici utenti che stanno loggati h24 come administrator sulle proprie macchine) e che hanno permesso a WannaCry di moltiplicarsi a dismisura. Poi nelle lan aziendali, dove le politiche di aggiornamento sono elefantiache, l’intrusione è stata uno scherzetto (benedetto WSUS).

Ora, se non siete stati infettati (e l’Italia è fra le nazioni meno colpite) potete semplicemente avviare Windows Update, verificare la presenza di aggiornamenti e installarli subito, altrimenti vi tocca ripristinare i file dal vostro backup. Se non avete fatto neanche quello… pazienza, vi servirà da lezione e magari, poi, imposterete gli aggiornarsi in modalità “automatica”.
Anche per quelli che ancora smanettano su Windows XP (un sistema ormai dismesso da Microsoft) è stato diffuso un aggiornamento di sicurezza che dovrebbe metterli al sicuro.

Questa era la parte, per così dire, tecnico-descrittiva dell’azione, ora dovremmo cercare di capirne la natura e la logica sottesa a quello che solitamente ci raccontano.

Edward Snowden sostiene che gli attacchi alla rete arrivano anche dagli stati nazionali che si combattono, attraverso le agenzie di intelligence, a colpi di software malevoli. Forse non è un caso se WannaCry sia una diretta derivazione di quello della NSA.

Brad Smith, president and chief Legal Officer di Microsoft, ha detto che questo attacco fornisce un esempio della grande attività di “stoccaggio delle vulnerabilità da parte dei governi”: un po’ come se rubassero agli Usa qualche suo missile Tomahawk. 

Secondo altri, esistono consistenti evidenze di legami tra Shadow Brokers e Putin. Proprio Shadow Brokers aveva detto a Trump di aver votato per lui, ma di aver perso la fiducia riposta nell’attività del neo presidente.

Per tutto il resto vi consiglio questo articolo di Daniele Gambetta su Il Manifesto.

0 comments

L’instant messaging XMPP (Jabber)

Ho già parlato di alcuni software di messaging qui, in riferimento a quelli più diffusi, e il problema della sicurezza e della privacy degli utenti era e continua a rimanere una piaga aperta su cui i più, purtroppo, buttano semplicemente del sale. Qualsiasi ragionamento facciamo nella direzione della sicurezza/privacy, continua a rimanere in un’area di approssimazione, più o meno, accettabile.

Ora vorrei parlarvi di Jabber (o XMPP – Extensible Messaging and Presence Protocol – che è la stessa cosa) che l’officina ribelle eigenlab di Pisa ha presentato qualche giorno fa. Si tratta di un servizio di messaging open source che gira sul server di una rete XMPP privata (quella di eigenlab appunto) e che permette l’accesso, sicuro e protetto, alla rete XMPP pubblica.  Al contrario degli altri software come WhatsApp, Telegram o Signal, XMPP è un protocollo “federato”,  nel senso che i client della rete globale dialogano tra loro al di là del server sul quale si sono registrati e quindi  entrano in contatto anche con client di reti che utilizzano protocolli differenti (come OSCAR, .NET, ecc…).

Ovviamente esistono client multiprotocollo, ma a differenza di questi, XMPP (acronimo di “protocollo estendibile di messaggistica e presenza”) risolve la cosa già all’accesso del client sul server, poiché ha già messo insieme tutti i protocolli e le tecnologie necessarie, annullando così l’onere di dover programmare un supporto al protocollo a livello di client.
L’idea di Jabber nasce nel 1998 con Jeremie Miller e un gruppo di sviluppatori indipendenti che riescono a sviluppare una rete di instant messaging aperta ed espandibile a qualsiasi altro servizio di messaggistica già  esistente. Inoltre la filosofia open source garantì, già da subito, uno sviluppo migliore e un controllo generalizzato sulla sincerità e la bontà della sicurezza dei dati.

Per spiegare l’architettura XMPP, Markus Hofmann e Leland R. Beaumont utilizzano i personaggi “Romeo and Juliet” della tragedia shakespeariana. La metafora racconta che Giulietta e Romeo utilizzano account diversi, appartenenti ciascuno al proprio server familiare. Giulietta, con il proprio account juliet@example.com, invia al suo server un messaggio (Art thou not Romeo and a Montague?) per romeo@example.net; il testo viene ricevuto dal server “example.com” che contatterà il server “example.net” (che ospita l’account di Romeo) e verificata la rispondenza di indirizzo e di linguaggio, si stabilirà una connessione tra i due server recapitando così il messaggio al giusto destinatario che potrà rispondere (Neither, fair saint, if either thee dislike) e così via.

In sostanza, anche se gli utenti hanno client e sistemi operativi diversi, i server su cui poggiano gli account faranno in modo di portare a buon fine lo scambio comunicativo.
E’ quello che si chiama “sistema scalabile”: nessun server centrale che si occupa di smistare i messaggi, ma tanti server che diventano nodi di scambio all’interno della rete XMPP. Questo significa che anche se una parte della rete non funzionasse, quella restante continuerebbe a svolgere egregiamente il proprio compito.

XMPP fornisce sia chat singola che di gruppo, ha una rubrica per i contatti, permette di scambiare file e immagini in chat e stabilisce comunicazioni criptate sia singole che di gruppo.

E’ possibile installare una grande quantità di Clients per qualsiasi tipo di piattaforma e qui trovate tutta la lista.  Il migliore per Android è sicuramente Conversations che su Google Play è a pagamento mentre con F-Droid puoi scaricarlo gratis (se volete potete seguire questa guida); mentre per iOS consiglio Monal che trovate gratis sullo store ufficiale.

La sicurezza e la privacy, anche qui, sono affidate a una crittografia end-to-end ed è possibile ricevere messaggi cifrati su più dispositivi, o inviarli anche se il destinatario è offline. La crittografia funziona anche per immagini, file e messaggi vocali. I protocolli crittografici sono implementati in modo trasparente e, grazie allo sviluppo comunitario di questo open source, chiunque può verificare l’assenza di backdoor e di falle di sicurezza nel codice.

Ma per la nostra sicurezza, la domanda giusta è: di chi e di cosa ci fidiamo quando decidiamo di  dialogare con qualcuno?

Qualche esempio, un po’ grossolano, sulla nostra percezione (e sulle pratiche) della sicurezza in tema di conversazioni.

La prima cosa che facciamo quando instauriamo una conversazione è quella di capire/decidere, immediatamente, il livello (pubblico, sociale, privato, intimo) a cui tale tipo di comunicazione appartiene. Al netto di disturbi psicologici, sappiamo come discutere in un bar o nella sala d’attesa di un barbiere/parrucchiere, sappiamo (forse un po’ meno) come e cosa scrivere sulla nostra bacheca di Facebook, comprendiamo che per parlare di cose di famiglia è meglio farlo in casa nostra, allo stesso modo ci appartiamo in luoghi e con distanze opportune (curando bene il “canale”) per dialogare di cose intime.

Basandoci su tale paradigma, risolviamo una semplice proporzione che ci da, approssimativamente, il peso della propagazione dell’informazione, in rapporto al numero delle persone presenti nella conversazione. Ovvero, il potenziale di diffusione parte da un numero imprecisato (teoricamente infinito) “x” della conversazione pubblica e arriva fino a “2” nella conversazione intima (ovviamente parliamo di partecipanti e non di rischio diffusione o intercettazione).

Se, dunque, in analogico possiamo assumere come valore minimo teorico di diffusione il numero “2“, in digitale questo valore minimo dev’essere almeno “3” (i due dialoganti/intimi più colui che gestisce il canale). Questo vuol dire almeno due cose: la prima è che non esistere la condizione di “intimità” in una chat; la seconda che, come conseguenza della prima, la nostra soglia di prevenzione della privacy è diventata un po’ più “lasca”.

Ora, possiamo fare tutti i ragionamenti che vogliamo, sulla proprietà, sui sistemi e anche sulla criptazione o qualcos’altro, ma fondamentalmente dobbiamo sempre fidarci di qualcuno che è “altro” rispetto al nostro interlocutore intimo. In sostanza sta a noi scegliere se questo “altro” debba essere Zuckerberg (Messenger, WhatsApp, Instagram), Durov (Telegram), Google (Hangout e Yahoo! Messanger), Microsoft (MSN MessangerSkype) oppure un’organizzazione no-profit come Open Whisper Systems che gestisce l’open source Signal.

Ecco forse sta proprio qui la chiave di volta: fidarsi di chi  non crede che tutti gli scambi debbano essere per forza di natura economica, di chi non venderà i dati appena possibile, di chi non capitalizzerà il successo e di chi da anni si batte per una rete paritaria e democratica.

 

 

0 comments

Obiezione respinta: la mappa degli obiettori

 

C’è un problema che riguarda la contraccezione di emergenza (quella non abituale ma relativa a una situazione di rischio gravidanza in seguito a un rapporto poco protetto) circa la reperibilità della cosiddetta “pillola del giorno dopo“, perché questa, che va assunta il prima possibile, viene impedita da molti medici e farmacie che illegittimamente si appellano alla norma sulla obiezione di coscienza. Questa norma, in ambito medico, si riferisce all’interruzione di gravidanza, che è tale a partire dall’innesto dell’ovulo nella cavità uterina.  La pillola del giorno dopo, invece, agisce prevenendo l’ovulazione e, qualora l’ovulo fosse già stato fecondato, modifica la cavità uterina in modo da impedire l’annidamento dell’ovulo. Nel caso in cui l’ovulo si fosse già innestato, la pillola non ha alcun effetto.

Ecco perché è del tutto illegittimo fare ricorso alla obiezione di coscienza nel prescrivere o somministrare la pillola del giorno dopo.

Le farmacie che sono sempre obbligate a fornire la pillola (senza ricetta, in caso di maggiore età, art. 38 del R.D. del 30/09/1938), spesso fingono di averla terminata e siccome non è possibile controllare di persona la disponibilità della farmacia, si è costretti a girare velocemente per tutte le farmacie della città, perché l’assunzione deve essere effettuata nel più breve tempo possibile.

Che Fare?

Puoi aiutare Obiezione Respinta a mappare la presenza degli obiettori anche nella tua città, basta segnalare la farmacia scrivendo sulla pagina Facebook ObiezioneRespinta, sul profilo Twitter @ObiezioneRes oppure via e-mail a: obiezionerespinta[@]autistiche[dot]org (le segnalazioni vengono registrate in maniera anonima), indicando le seguenti informazioni:

  • città
  • indirizzo
  • orari di apertura
  • numero di telefono
  • eventuale sito web
  • cosa ti è successo
0 comments

Il mio primo Sinclair QL

Gli anni ’80 possono essere ricordati, tranquillamente, per le “musicassette” che, a tutti gli effetti, sono state le chiavi per aprire il mondo conosciuto e quello conoscibile.

Credo di essermi sentito un pirata per la prima volta, dopo aver duplicato della musica da una cassetta originale a una vergine o, come molti altri, dopo aver registrato dei pezzi col miscrofono direttamente dalla radio per poi riprodurli e diffonderli (anche se quest’attività la facevo già da qualche anno prima, con la trasmissione “Pop-Off” che andava in onda dopo le 21 sul secondo canale della Rai) .

Poi mi sentivo un vero e proprio hacker quando duplicavo una cassetta per un datasette.

Insomma le musicassette stavano dappertutto: nelle case, nelle auto, in giro nei walkman e io ne avevo la stanza piena fino al soffitto. Fu, probabilmente, questa la ragione che mi spinse ad avvicinarmi al QL, l’ultimo prodotto di casa Sinclair (CPU Motorola 68008 a 7.5 MHz e 128k di RAM). Perchè QL, oltre al suo Qdos multitasking e al suo SuperBasic, utilizzava dei mini supporti di memorizzazione magnetici, i ZX Microdrive, sui quali girava anche una suite office di serie (word processor, foglio di calcolo, database e grafica) sviluppati dalla Psion.  Altra novità erano le due porte QLAN che permettevano di creare una rete di QL e/o Spectrum a 100 Kbaud.

In sostanza Sinclair cercava di intromettersi in un mercato ancora fortemente diviso tra computer home e sistemi professionali, facendo da cerniera tra i due mondi.

Le cose, però, non andarono proprio nel modo sperato: il periodo fu infelice a causa dell’uscita di Macintosh 128k e della fretta che ebbe la Sinclair nel lanciare il QL prima di Apple. Forse proprio quella fretta fece partorire un prodotto con diversi difetti sia nell’hardware che nel software.

Quei mini supporti magnetici, poi, si rivelarono poco affidabili e poco capienti (100 Kb) e il Qdos fu costretto a un numero imprecisato di patch. Anche la compatibilità con gli altri prodotti della stessa casa andò a farsi benedire, mentre sul mercato si affacciavano macchine con architetture più performanti.

Insomma nel giro di qualche anno, con l’acquisizione d Sinclair da parte di Amstrad, il QL esce completamente di scena e io invece ci continuai a lavorarci, giocarci per quanto possibile; anzi grazie a quel QL sviluppai una passione che porto ancora dentro.

Poi come fai a non commuoverti davanti a una coriacea community che è attiva ancora oggi.

0 comments

A San Valentino boicottiamo la retorica dell’amore su Twitter!

[post copiato e incollato da Pasionaria]

San Valentino ti stressa? Il romanticismo commerciale ti disgusta? Non ne puoi più di slogan stereotipati sull’amore eteronormativo e patriarcale?

Allora, il 14 febbraio, partecipa con noi al boicottaggio della retorica dell’amore per lanciare lo sciopero delle donne e dai generi dell’8 marzo!

Per farlo ti bastano uno smartphone e un account Twitter. Non una di meno ha organizzato un “inquinamento” dell’hashtag ufficiale di San Valentino che ogni anno viene sponsorizzato da Twitter.

“Il nostro obiettivo – comunica il coordinamento di Non una di meno – è quello di sfruttare la visibilità dell’hashtag di San Valentino e quello che uscirà lo stesso giorno per il film ’50 sfumature di nero’ per dirottare i contenuti ai nostri verso l’8 marzo”.

Come si fa? Semplice si twittano messaggi sullo sciopero dell’8 marzo utilizzando gli hashtag che sono trend topic (cioè i più usati del momento) per diffondere i nostri temi a quante più persone possibile!

Per scoprire quale sarà l’hashtag della giornata bisognerà aspettare San Valentino. La mattina del 14 febbraio lo comunicheremo sui nostri canali social.

La “Twitter storm” (tempesta) vera e propria inizierà alle 16, come annunciatonell’evento Facebook: “Inizieremo alle 16, in un orario strategico, e andremo avanti ad oltranza, tenetevi pronte, perché inizieremo a scatenare la nostra rabbia, scateneremo questa marea ormai inarrestabile”.

Frasi per boicottare San Valentino

Su Twitter non sai mai cosa scrivere o hai paura di essere a corto di idee? Nessun problema: vi suggeriamo alcuni dei possibili messaggi da usare, diffusi da Non una di meno, e di seguito anche qualche foto e gif utili.

Ricorda che ad ogni frase andranno aggiunti gli hashtag #50SfumatureDiNero e quello sponsorizzato, che si scoprirà solo il 14 febbraio. 

L’amore è un’altra cosa: #LottoMarzo sciopero delle donne!

Rifiutiamo l’immaginario romantico, verso lo sciopero dell’#8M

La precarietà nuoce gravemente alla salute sessuale! Sciopero #LottoMarzo

Oggi amore, domani dolore? #LottoMarzo sciopero delle donne!

Se mi ami non mi giudichi: #LottoMarzo sciopero delle donne!

Possedere non è amare: #LottoMarzo sciopero delle donne!

Amore è libero e femminista, tutto il resto è patriarcato: #8M sciopero!

A San Valentino uccidi l’eteronormativitá che è in te: #8M sciopero dai generi!

NO vuol dire NO: #LottoMarzo sciopero delle donne!

Gender panic! #LottoMarzo sciopero dai generi!

Immagini per boicottare San Valentino

Preferisci le immagini alle parole? Ecco qualche link dove trovare immagini da usare nei vostri tweet, da abbinare sempre all’hashtag #50SfumatureDiNero e a quello sponsorizzato, che si scoprirà solo il 14 febbraio

Gli “adesivi” transfemministi:
https://sommovimentonazioanale.noblogs.org/post/2015/03/07/otto-favolosi-adesivi/

Gif di Beyoncé: http://gph.is/2k48QzG
Gif di Eva Green: http://gph.is/2kUhJLc
Gif di Danish Girl: http://gph.is/2k4G8tJ
Gif di Priscilla: http://gph.is/2k44Vmp

san valentino
Dichiarazione di guerra a San Valentino!

A San Valentino ricordiamo a tutti che per diffondere l’amore bisogna combattere la violenza!

0 comments

Ninux Day 2016

A Firenze, nell’ex villa rurale del 1500 di ExFila (che fu la storica sede della fabbrica di matite Fila), dal 26 al 27 novembre ci sarà il Ninux Day, organizzato dalla wireless community network ninux.org.

Tutti i membri delle community italiane ed europee e gli appassionati delle reti free, si riuniranno per discutere di:

* rete come bene comune
* networking spontaneo, dal basso
* governance di comunita’ decentralizzate
* aspetti legislativi legati alle community networks e delle reti wireless
* espressioni artistiche nell’ambito delle community networks o reti wireless
* reti cittadine
* wireless mesh networks
* protocolli di routing
* sistemi operativi FLOSS orientati al networking
* management e monitoring distribuito
* servizi distribuiti e decentralizzati
* fog computing e cloud (IaaS) distribuito
* reti resilienti

Se volete farvi un’idea su Ninux e le reti libere ne parlavo un po’ di tempo fa qui e qui.

Se invece volete proporre un talk o un workshop, potete invia un’e-mail a contatti@ninux.org con una breve biografia e un abstract da 50-100 parole entro il 15 Novembre.

Dove: Exfila, Via Leto Casini 11, Firenze
Wiki: http://wiki.ninux.org/NinuxDay2016
Blog: http://blog.ninux.org
Mappa dei nodi ninux: http://map.ninux.org

Pagine:1234567...130»