Lewis Mumford: il monastero e l'orologio
da Lewis Mumford, Tecnica e cultura, Il Saggiatore 1961
Il paragrafo sulla misurazione del tempo della giornata, dal monastero alla fabbrica.
25 giugno 2022
alle ore 18.00
@Cox18 - via Conchetta 18 - Milano
FOGS OF WAR
La guerra tra Russia e Ucraina, oltre al tradizionale confronto armato sul campo, vede emergere lo scenario della cyber-guerra. Uno scontro "a distanza" con armi e tecnologie inedite, che colpiscono non solo sul fronte e coinvolgono la sfera economica e quella dell'informazione dei paesi interessati al conflitto.
Quanto sappiamo realmente di questa guerra? Come si muovono i governi, i generali, le pedine? Come si muove l'Italia in questo scenario?
LOST, con l'aiuto di UNIT Hacklab, propone un incontro su questi temi per diradare un po' delle nebbie che ricoprono le guerre contemporanee.
non esiste più la trusted-zone: la leva obbligatoria del cellulare in tasca
lavoratori della cyberwar (pen-tester): difensivi, oppure offensivi (in fondo è lo stesso)
AI warfare: la cibernetica e cyber come si intende negli attacchi informatici
1 luglio 2022
alle ore 19.30
presentazione del libro
LOC0-19 Pensieri, voci e cronache da un silenzioso pandemonio
A un tratto è sembrato che il tempo si fosse fermato mentre invece stava iniziando il bordello...
A seguire: a tavola assieme
Prenotazioni cena: tel 348 055 9421
email: arci.traverso@gmail.com
Trattoria Popolare ARCI Traverso
Via Ambrogio Figino 13, Milano
20 marzo 2022
alle ore 16.00
@Cox18 - via Conchetta 18 - Milano
presentazione del libro
LOC0-19 Pensieri, voci e cronache da un silenzioso pandemonio
Dopo due anni LOST torna con un incontro in presenza.
Era proprio il 15 marzo 2020 quando sospendemmo un incontro con tracking.exposed sulla profilazione di pornhub (questo qui), ed era proprio il 15 marzo 2020 che iniziammo "la radio".
A distanza di due anni cerchiamo di riprendere il ragionamento materialmente presenti e con un testo che raccoglie, aggiornati, alcuni pezzi delle trasmissioni.
Nel frattempo molte cose sono successe, ad un tratto è sembrato che il tempo si fosse fermato mentre invece correva veloce, per non perdersi e non farsi confondere troppo vale la pena di ripercorrere i propri passi.
============================================== SCHEDA ==============================================
Il virus Covid-19 si presenta nel 2020, la sua diffusione, grazie ai ritmi dello scambio globale di persone e merci, ne determina la diffusione su tutto il Pianeta. L'epidemia ha creato occasioni di confronto e obbligato all'ascolto di punti di vista molto diversi, mettendo alla prova diverse chiavi di lettura e quadri interpretativi sia sugli assetti generali che su quelli particolari. Queste testimonianze concrete di resistenza e di coscienza critica sono state trasmesse …
COVID19 materiali
(un po' di materiali)
Usiamo questa pagina per linkare un po' di materiali sul Coronavirus e dintorni.
L'intenzone è di tenerla in costante aggiornamento, è un fenomeno in rapida mutazione e non è facile star dietro ai fatti, alle loro narrazioni e alle valutazioni che su queste ultime vengono date.
Nostro parere è che l'emergenza antropogenica associata al virus semi influenzale COVID-19 produrrà, sul lungo periodo, dei segni che non sarà facile decostruire.
Alcuni capitoli potrebbero essere i seguenti:
Cosa è la verità scientifica? (l'importanza dei numeri, il valore delle statistiche, l'efficacia degli strumenti di analisi ed indagine...)
Corpi e contesti, la salute in relazione al territorio e all'ambiente circostante. L'emergenza è classista?
Strutture sanitarie, strumenti organizzativi, strutture sanitarie, dotazioni, carenze. L'intersezione non nulla della salute con il mercato.
Il potere della comunicazione, il superpotere della comunicazione emergenziale
Effetti collaterali, sulle norme che riguardano il lavoro, le libertà individuali, i diritti sindacali
Effetti collaterali sulla salute (ai tempi dell'AIDS si diceva che la paura abbassa le difese immunitarie)
Effetti collaterali sull'uso di tecnologie per lavoro / studio a distanza
Effetti sui gruppi sociali, è forse la prima volta che anziché contenere i malati si vol prevenire il diffondere di …
04.03.2020
Maria Elisa Sartor: Lombardia. Istantanee a confronto
10.03.2020
Quello che non bisognava fare: appunti sul Sistema sanitario lombardo
19.03.2020
Maurizio Braucci: Lettera alla Lombardia
20.03.2020
Ilaria Capua: “In Lombardia sta succedendo qualcosa che non si spiega”
22.03.2020
Guido Silvestri: Perché così tanti morti in Lombardia, Piemonte e Veneto?
10.06.2020
Nicolò Porcelluzzi: la Lombardia ha fatto anche cose buone
30.07.2020
Dossier collettivo sulla panedmia nel bresciano
23.09.2020
Nelle Rsa di Bergamo 1.308 decessi solo a marzo. I dati inediti dell’Ats sull’impatto del Covid-19
15.10.2020
Regione Lombardia DELIBERAZIONE …
Le nuove tecnologie in Inghilterra tra '700 e '800
di Angelo Rossi
da SAPERE numero 774, agosto-settembre 1974
Lo sviluppo economico-produttivo che va sotto il nome di rivoluzione industriale, momento del decollo economico della borghesia inglese fra '700 e '800, non è solo all'origine di una nuova tecnologia scientifica in cui si formarono concetti fondamentali della meccanica e della termodinamica. Esso stimolò anche la nascita di una nuova concezione e di una nuova organizzazione scientifica, che sostituì il newtonianismo inglese del '700 con una visione più dinamica della realtà naturale e un più organico rapporto scienza-tecnica.
1789: prassi e organizzazione della scienza
di Angelo Baracca e Angelo Rossi
da SAPERE numero 775, ottobre 1974
La presa del potere da parte della borghesia francese, dopo la rivoluzione del 1789, comportò anche una radicale trasformazione nei contenuti, nei metodi e nell'organizzazione della scienza, resi funzionali al nuovo ordine sociale, come elementi integranti in esso profondamente radicati.
Hackmeeting è l'incontro annuale delle controculture italiane legate all'hacking, comunità che vivono in maniera critica il rapporto con la tecnologia.
Quest'anno si terrà a Torino al C.S.O.A. Gabrio dal venerdì 9 a domenica 11 settembre 2022.
La nostra idea di hacking investe ogni ambito della nostra vita e non si limita al digitale: crediamo nell'uso del sapere e della tecnologia per conoscere, modificare e ricreare quanto ci sta attorno.
Purtroppo la realtà è difficile da leggere, complicata da modificare e interagire con essa è impegnativo.
Vogliamo riprenderne il controllo.
Non è un idea vaga, una generica linea guida o aspirazione, è invece una pragmatica capacità organizzativa basata sulla solidarietà, complicità e la messa in comune di conoscenze, metodi e strumenti per riprenderci tutto e riprendercelo insieme, un tassello per volta.
In sintesi se pensi di poter arricchire l'evento con un tuo contributo manda
la tua proposta iscrivendoti alla mailing list di hackmeeting o all'indirizzo di
posta infohackit@autistici.org mandando una mail con oggetto [talk]
titolo_del_talk oppure [laboratorio] titolo_del_lab e queste informazioni:
Allestiremo tre spazi all'aperto, o al coperto in caso di pioggia, muniti di
amplificazione e proiettore.
Se pensi che la tua presentazione non abbia bisogno di tempi cosi lunghi, puoi
proporre direttamente ad hackmeeting un ten minute talk di massimo 10
minuti.
Questi talk verranno tenuti nello spazio più capiente al termine della
giornata di sabato; ci sarà una persona che ti avviserà quando stai per
eccedere il tempo massimo.
Se invece vuoi condividere le tue scoperte e curiosità in modo ancora piu
informale e caotico, potrai sistemarti con i tuoi ciappini, sverzillatori,
ammennicoli ed altre carabattole sui tavoli collettivi del LAN space.
Troverai curiosità morbosa, corrente alternata e rete via cavo (portati una
presa multipla, del cavo di rete e quel che vuoi trovare).
Hai una domanda estemporanea o una timidezza? Scrivici a infohackit@autistici.org
Ti piacerebbe che si parlasse di un argomento che non è stato ancora proposto? Aggiungilo insieme al tuo nick in questo pad o manda una mail in lista hackmeeting e spera che qualcun* abbia voglia di condividere le sue conoscenze e si faccia avanti.
Per più info visita il sito hackmeeting.org
Hackmeeting is the yearly meeting of the Italian countercultures related to hacking, communities which have a critical relationship with technology.
This year it will be held in Turin at C.S.O.A. Gabrio from Friday, September 9 to Sunday, September 11, 2022.
Our idea of hacking touches every aspect of our lives and it doesn't stop at the digital realm: we believe in the use of knowledge and technology to understand, modify and re-create what is around us.
Unfortunately reality is hard to read, hard to modify and interacting with it is a hard task.
We want to take control.
It's not a vague idea, generic guidelines or aspiration, it's a pragmatic organization effort based on solidarity, complicity and sharing of knowledge, methods and tools to take back everything and take it back together, one piece at a time.
If you think you can enrich the event with a contribution, send your proposal
joining the hackmeeting mailing list or sending a message to
infohackit@autistici.org with subject [talk] title or [lab]
lab_title and this info:
We will set up three outdoor locations (indoor in case of
rain), with microphone/speakers and projector.
If you think your presentation will not need this much time, you can propose
something directly at hackmeeting: a ten minute talk of a maximum of 10
minutes.
These talks will be held in the largest available space at the end of of the
day on Saturday. There will be someone who will warn you if you are about to
exceed the allocated time.
If you want to share your discoveries or curiosities in an even more informal
and chaotic way, you will be able to to get a place with your hardware on the
shared tables in the LAN space. You will find morbid curiosity, power and
wired connection (bring a power strip, network cables and whatever you might
find useful).
Have any questions or you are shy? Write us at infohackit@autistici.org
Would you like to talk about something that hasn't yet been brought up? Add it, along with your nick, to this pad or send a mail to the hackmeeting list and hope that somebody else wants to share their knowledge and steps up.
HackЯocchio s. m. [der. di hackЯocchiare] (pl. -chi)
situazione o soluzione raffazzonata, raccogliticcia, approssimativa
Sabato 9 Aprile dalle ore 14 e Domenica 10 Aprile 2022
Edera Squat, Via Pianezza 115, Lucento, Torino.
Costruire comunità resistenti complici nelle lotte, saldare relazioni di fiducia tra le moltitudini sommerse nell'estrattivismo cognitivo, riuscire ad immaginare e a costruire tecnologie conviviali che sostituiscano le megamacchine digitali. Non promettiamo la rivoluzione ma il crepuscolo degli dei, per farlo inietteremo lo shellcode nel paese reale, andando nelle case ma sopratutto nei cuori di chi ancora ci crede, a decifrare le blockchain corrotte di un sistema che nulla ha più di umano se non la scalabilità del vostro frigorifero nel cloud, insomma, in una parola, quantum machine learning :)
se non ci hai capito molto, neanche noi, ma trovi tutte le informazioni e il progamma su https://hackrocchio.org
Ripubblichiamo piu' che volentieri un tentativo di censura finito male dei nostri eroi di Area Spa
Il consiglio è quello di condividere l'articolo sul vostro blog, ma soprattutto di leggerlo con attenzione, senza dimenticare di guardare questi due imperdibili video!
da notav.info
Nei giorni scorsi abbiamo ricevuto e pubblicato un video inviato da alcuni escursionisti della Val Clarea che, andando per funghi, si sono imbattuti in una vasta rete di telecamere nascoste cablate sotto le rocce e dissimulate dalla polizia in pieno lockdown per spiare i valsusini. Nei video recuperati dai notav si vedono la dirigenza della digos di Torino farsi selfie con le nuove apparecchiature durante la scampagnata e alcuni tecnici che li aiutano nell’istallazione dei dispositivi.
Se sulla figura di palta della mitica polizia politica del capoluogo piemontese non c’è molto da dire visto che ha fatto già sganasciare la metà della rete, vale la pena spendere due parole in più sul profilo dell’azienda che li accompagnava, la Area spa, tra le principali ad aver investito il mercato in piena espansione dei dispositivi per la sorveglianza di massa e protagonista di diversi affari con regimi dittatoriali di tutto il mondo.
In Italia, un pugno di società private si dividono il mercato delle intercettazioni telefoniche e web. Una delle più importanti è un’azienda del varesotto, l’Area spa, specializzata nei dispositivi cosiddetti dual use, apparecchi di spionaggio utilizzabili sia in ambito militare che civile e quindi molto comodi per eludere le legislazioni contro la vendita di armamenti. Fondata nel 1996, Area spa attraversa anni travagliati che portano la società a più riprese sull’orlo del fallimento fino al 2009 quando arriva la svolta: vince una grossa commessa, circa 17 milioni di euro, per un dispositivo DPI (Deep packet Inspection) che consente di intercettare e analizzare email, conversazioni e ricerche internet dei cittadini siriani per conto dei servizi del presidente Assad. L’affare è denunciato dal giornale Bloomberg nell’autunno del 2011 e le rivelazioni costringeranno cinque anni dopo la procura di Milano ad aprire un’inchiesta che travolgerà l’amministratore delegato di Area, Andrea Fromenti, con le accuse di esportazione illegale di materiale dual use e dichiarazioni non veritiere. Secondo i PM, esattamente nelle settimane in cui il vento delle primavere arabe faceva vacillare il presidente siriano che reagiva lanciando barili di dinamite sui manifestanti dagli elicotteri, gli ingegneri dell’azienda sarebbero volati da Milano a Damasco con le apparecchiature nascoste nei bagagli facilitando la feroce repressione dei dissidenti (dopo le rivelazioni di Bloomberg la sede dell’azienda a Vizzola Ticino sarà tra l’altro il bersaglio di un sit-in di rifugiati politici siriani).
Nonostante la vicenda, il MISE nel giugno del 2016 autorizza Area spa a installare attrezzature analoghe a beneficio del regime egiziano di Al Sisi. L’affare avrebbe dovuto andare in porto appena poche settimane dopo la morte di Giulio Regeni e avrebbe avuto come destinatario finale il Technical Research Department (TRD), sorta di unità distaccata dei servizi segreti incaricata di infiltrare e monitorare l’opposizione alla giunta militare. Solo grazie alle pressioni della famiglia del giovane ricercatore italiano la licenza è infine revocata. I dispositivi dovevano essere forniti in tandem con un’altra azienda italiana specializzata nella programmazione di trojan e malware per spiare gli attivisti politici, la Hacking team. Le circostanze sono state rese pubbliche dopo la pubblicazione delle email della società sul portale di wikileaks in cui si possono leggere i centinaia di scambi tra le due aziende lombarde e grazie a cui si evincono anche le simpatie politiche del CEO di Hacking team, David Vincenzetti, che conclude gli scambi con i suoi collaboratori con un pittoresco “Boia chi molla”.
Nel 2017 in un’inchiesta della rete Al Jazeera di cui consigliamo la visione a chiunque voglia farsi un’idea su questo opaco mercato che sta divorando le libertà civili di tutto il mondo, il vice-presidente di Area spa, Marco Braccioli, viene ripreso da una telecamera nascosta durante uno scambio in cui si dice pronto a fornire un IMSI catcher al regime sud sudanese. Si tratta di un dispositivo grande come una valigia che consente di agganciare i telefoni cellulari di chiunque nel raggio di qualche decina di metri per poi poter attivare telecamera, microfono, tracciare il gps e persino inviare messaggi come se provenissero dai propri contatti. Nonostante l’embargo, Area spa assicura di potersi appoggiare su un paese terzo come la Tanzania per far arrivare la merce a destinazione. Dettaglio inquietante ma particolarmente rivelatore, nelle immagini Braccioli rassicura il suo interlocutore a proposito degli agganci che ha all’interno dell’apparato statale italiano che gli consentirebbero di snellire le procedure di esportazione.
Perché se Area fornisce i suoi servizi a regimi di tutto il mondo, i suoi principali clienti sono le forze di polizia italiane che usano le tecnologie di sorveglianza per spiare gli attivisti di casa nostra. Anche per questi affari interni, Area spa è finita nuovamente sotto inchiesta prima da parte della procura di Trieste poi di quella di Milano per accesso abusivo a sistema informatico. L’accusa è di aver scaricato sui pc dell’azienda sms, whatsapp, chiamate, intercettazioni e altri dati sensibili che dovrebbero invece essere di sola disponibilità degli inquirenti. Proprio le accuse di aver un proprio archivio privato frutto del lavoro di sorveglianza hanno portato il Consiglio di stato il 20 marzo del 2019 a concludere della legittimità dell’esclusione di Area spa dalle gare per l’aggiudicazione di appalti legati alle intercettazione per mancanza “di onorabilità, sicurezza e affidabilità“.
Mancanza di onorabilità che non ha impedito alla digos di Torino di avvalersi dei servizi di Area durante la pandemia quando, sfruttando un po vigliaccamente il fatto che i valsusini erano confinati a casa e non potevano difendere il proprio territorio, hanno deciso di affidare una ricca commessa all’azienda di Varese.
A vederlo dalla Val Susa, pare proprio che per tutti i governi i cittadini rimangono tali finché rigano dritto. Se osano mobilitarsi sono da trattare come un nemico interno da sorvegliare, infiltrare, molestare e incarcerare usando le stesse tecniche, le stesse tecnologie e addirittura gli stessi servizi forniti dalle medesime aziende.
Beh dopo 3 anni senza intoppi abbiamo finalmente fatto una cazzata col pad \o/
Lunedi' mattina abbiamo cancellato per errore gran parte dei pad: aggiornando il plugin che rende possibile l'eliminazione degli stessi dopo 6 mesi di inattivita', questo ha deciso di cambiare le sue impostazioni di default e usare un solo giorno di inattivita' come condizione per l'eliminazione.
Dopo numerose bestemmie abbiamo fatto un restore dal backup notturno ma su alcuni pad qualcosa non ha funzionato come previsto: se il vostro pad e' uno dei pochi sfortunati potete fare in due modi:
modo 1: contenuto statico dell'ultima versione del pad
cercate il vostro pad al suo indirizzo ma sostituendo /p con /o, quindi se il nome del pad era pippo e il link dello stesso https://pad.cisti.org/p/pippo ora ne troverete una versione statica al link https://pad.cisti.org/o/pippo
modo 2: valido per ogni stagione
ci scrivete all'indirizzo info@cisti.org
Presentazione e chiacchiere su cisti.org, uno spazio digitale liberato, un server scapestrato e autogestito.
assemblea dell'istanza mastodon.cisti.org
a seguire cena condivisa e proiezione cortometraggi tematici a cura dell'hacklab underscore_to
A 500 anni di sfruttamento delle Americhe, 300 di carbone, 27 anni di Internet, 21 dalle rivolte NoGlobal di Seattle, 20 dall’omicidio di Carlo Giuliani al G8 di Genova, 8 anni nell’era post Snowden, 1 anno e mezzo nella pandemia Covid, hackmeeting vi chiama: accorrete, o papere iconoclaste, acarə sediziosə, gatte furastiche, e altre creature mutanti e non, il 3/4/5 settembre 2021 alla Nuova Casa del Popolo di Ponticelli “La Casona” a Malalbergo (BO).
In questo emisfero, in questi mesi di clausura oltre che per comunicare abbiamo usato le tecnologie digitali per lavorare e consumare come mai prima d’ora. Nel mondo “a portata di click” si nota meno, ma la produzione industriale e il consumo di massa non si sono mai fermati, continuando a capillarizzare la distruzione ambientale, il lavoro alienato e la disgregazione sociale. Una infrastruttura e un’organizzazione logistica che dettano la forma al contenuto ed al contenitore, a noi e all’ambiente. La “storia” della merce e dell’informazione che ci viene recapitata direttamente alla porta di casa è sempre piu’ disarticolata e i processi che la generano e la fanno muovere sono frammentati in una miriade di passaggi di cui è sempre più difficile cogliere l’origine e lo sviluppo. Questi processi si muovono attraverso interazioni e automazioni digitali che ci offrono il mondo come “un servizio”, alienandoci come esseri umani. Quest’anno all’hackmeeting vorremmo (anche) investigare questo aspetto, comprenderlo per provare a trasformarlo, immaginandoci un rapporto tra infrastruttura, tecnologie -digitali e non-, e società che sia solidale, autogestito, piu vicino ai territori e a chi li abita.
Nella nostra esperienza e pratica di critica e riappropriazione delle tecnologie e delle tecniche, ogni granello di consapevolezza è prezioso. Dal rapporto con la terra e gli esseri che ci vivono, al caos dei saperi e delle relazioni che attraversano la rete, i tasselli mancanti alla “minima manutenzione” del pianeta Terra sono tanti, e tante sono le comunità e gli ambiti che li esplorano e se li scambiano. La curiosità è un ingranaggio collettivo: se hai scoperto uno di questi tasselli e te la senti di condividerlo ti invitiamo a venircelo a raccontare ad Hackmeeting.
Se vuoi proporre un seminario, iscriviti alla lista https://www.autistici.org/mailman/listinfo/hackmeeting e invia un messaggio con oggetto "[talk] titolo_del_talk" con queste informazioni:
Ci saranno tre spazi coperti, dotati di amplificazione audio e videoproiettore.
Se pensi che la tua presentazione non abbia bisogno di tempi cosi lunghi, puoi proporre un “ten minute talk” di massimo 10 minuti.
Questi talk verranno tenuti nello spazio piu capiente a fine giornata; ci sarà una persona che ti avviserà quando stai per eccedere il tempo massimo. Puoi proporre il tuo talk in lista inviando una mail con soggetto "[ten] titolo_del_talk" oppure direttamente in loco.
Se invece vuoi condividere le tue scoperte e curiosità in modo ancora piu informale e caotico, potrai sistemarti con i tuoi ciappini, sverzillatori, ammennicoli ed altre carabattole sui tavoli collettivi del “LAN space”. Troverai curiosità morbosa, corrente alternata e rete via cavo (portati una presa multipla, del cavo di rete e quel che vuoi trovare).
Hai una domanda estemporanea o una timidezza? Scrivici a hackmeeting2021@totallynot.science
I podcast continuano direttamente sul sito di radioblackout
per poter seguire tutti i podcast potete andare su:
StakkaStakka -- RadioBlackout -- PodcastFilter
In questi mesi abbiamo dovuto lavorare molto di più: sembra buffo, visto che eravamo a casa. Nel frattempo tante cose sono successe su internet e, con l'avvicinarsi di un "dopo" incerto, vorremmo dire la nostra sperando che queste riflessioni servano ad aprire una discussione. O almeno chiarire un poco alcune vicende fondamentali di queste lunghe giornate.
Se c'è qualcosa che l'hacking ci ha insegnato è che la tecnologia è un terreno di dominio e come tale va scardinato. Oggi la soluzione tecnica viene sbandierata come panacea, semplice, accessibile, ma è pura propaganda.
La tecnica asservita al potere economico e politico sembra avere il diritto di parlare di tutto, proponendo soluzioni che vanno dalla sanità, alla formazione, alla gestione dei flussi di persone, ma parla sempre da una posizione disincarnata, senza l'esperienza diretta delle problematiche e delle risorse fondamentali da preservare. Questo tipo di approccio alla tecnica è per noi tossico e l'hacking continuerà a voler sollevare queste contraddizioni con i suoi strumenti.
Le istituzioni hanno scelto di avere fin da subito un atteggiamento paternalista, con l'obiettivo di scaricare il pesante impatto del virus sulla "popolazione indisciplinata" che non rispetta i dettami della quarantena. Come se la limitatissima capacità di intervento non fosse dovuta alle condizioni critiche della sanità pubblica, stremata da anni di tagli, aziendalizzazioni su base regionale, privatizzazioni, accorpamenti e scelte sbagliate.
Invece di assumersi le responsabilità di una strategia che ha privilegiato i grandi centri nevralgici ospedalieri (grandi centri che da soli sotto pressione non avrebbero retto) a discapito di una sanità diffusa sul territorio, nelle comunicazioni ufficiali abbiamo assistito sgomenti all'elezione quotidiana di nemici pubblici, inviduati in categorie finora impensabili: il runner, il genitore con passeggino, il ciclista.
Si sono lasciate sole le persone anziane nelle RSA o nelle loro case, incrociando le dita perché non si presentassero negli ospedali, nascoste sotto a un grande tappeto mentre il problema del contenimento del virus veniva trasformato, con atteggiamento ottuso e punitivo, nel contenimento/isolamento della popolazione.
In cima a tutto questo spesso si è preferito dar seguito alla volontà di confindustria e di molte aziende di tenere aperti i luoghi di lavoro a tutti i costi, senza procedure di protezione verificate ed efficaci, sviando l'attenzione grazie ad un'insostenibile retorica di guerra (il personale medico-sanitario come "eroi in prima linea") a giustificazione dell'esistenza della carne da cannone in corsia e nelle fabbriche così come in trincea. Il costo del sacrificio è caduto sulle persone più vulnerabili.
La prassi sanitaria è stata opportunamente confusa con la norma legislativa, attivando spesso un completo nonsense. Si è operato uno spostamento del problema: dal contenimento del virus si è passati ad un sistema di infrazioni da sanzionare, traslando così l'attenzione su quest'ultimo (il runner come arma di distrazione di massa). Di nuovo, si prende un problema complesso e lo si riduce a uno collegato, ma più semplice, illudendosi e lasciando intendere che il secondo sia equivalente e risolva il primo. Si fa strada il sillogismo per cui contrastare il virus significa sorvegliare le persone che zuzzurellano in qua e in là. A questo si aggiunge la più classica politica delle buzzword (parole tecniche, usate spesso in modo improprio per impressionare/influenzare chi ascolta con termini "alla moda"). Ci troviamo di fronte a un proliferare di "tecno-buzzword": buzzword che presentano strumenti tecnologici come panacea di tutti i mali. Questa è una forma di tecno-soluzionismo che non risolve realmente i problemi e apre a una serie di ulteriori contraddizioni e criticitá.
Prendiamo un esempio: i droni. L'Enac ha dovuto effettuare una serie di concessioni sull'utilizzo di questi giocattolini, perché i sindaci italiani più "smart" avevano iniziato ad autorizzarne l'uso in autonomia. L'ente ministeriale ha dunque in fretta e furia liberato l'uso di droni nei controlli legati alle ordinanze covid, prima fino al 3 aprile, poi nella paranoia generalizzata dell'apocalittico weekend di pasquetta, l'ha rinnovata fino al 18 maggio.
L'utilizzo propagandistico, per quanto inquietante, di questi oggetti volanti è chiaro: l'autorizzazione prevede la presenza di chi pilota sul posto, non in remoto, e la guida a linea di vista; i droni possono solo segnalare la presenza di persone da controllare, il materiale video registrato deve essere rimosso dopo il controllo e le infrazioni contestate sul momento. I controlli con droni sono stati effettuati in luoghi semi deserti, fluviali o marittimi. A conti fatti sembra più un divertissement per non annoiarsi in quarantena, visto che praticamente un vigile con un binocolo da 20 euro avrebbe avuto lo stesso effetto. Il salto di qualità avverrebbe con la guida da remoto e la registrazione ed elaborazione automatica delle immagini. Ricordiamocelo bene e non lasciamoci distrarre quando inevitabilmente qualcuno cercherà di far passare inosservato qualche "temporaneo aggiustamento alla normativa", magari per far fronte ad un'altra "emergenza". Attualmente però i droni funzionano solo da generico spauracchio, utile a terrorizzare le persone, o da spot per sindaci sceriffi col pallino dell'innovazione in cerca di visibilità e consenso.
Altro esempio: la app per tracciare i contatti.
Non ci sembra interessante disquisire se il tracciamento avvenga con la collaborazione degli operatori telefonici, o come sembra essere stato scelto, con il bluetooth e le app sviluppate da google ed apple. La pre-condizione per questa fantomatica fase due è il ripristino di una sanità pubblica di prossimità, colpevomente smantellata da scelte di governo bipartisan e risorsa imprescindibile per contenere la pandemia. Servono assunzioni, formazione, presìdi medici diffusi sui territori, capacità di analisi: eppure non se ne sente parlare. Se non ci sono abbastanza laboratori d'analisi per fare un tampone a una persona con la polmonite, se non c'è nessuna persona in grado di andarglielo a fare a casa, se non ci si prende cura delle persone capillarmente, a poco serviranno uno smartphone e una app. Al massimo una app segnerebbe un numeretto, ma a leggere quel numeretto poi chi ci sarebbe? Più chiaramente: è come costruire una casa a partire dalla porta, rifinirla di tutto punto con gli intarsi e lo spioncino a fotocamera, e poi chiamare tutti e dire: "Ecco qui: la porta è fatta secondo standard europei, è molto innovativa e rispettosissima della vostra privacy". È normale che poi ti si chieda: "Ok, ma c'è solo la porta. La casa dov'è?" La app trasla ancora il problema da una cosa difficile a una facile: in due settimane la app la fai. Poi, tossendo, la apri sul cellulare e scopri che non ha proprietà curative.
Affrontare il discorso in termini di privacy e di tecnologie, è esattamente il terreno su cui ci vogliono portare, per attuare il giochino dello spostamento del problema e puntarci contro un'altra ennesima grande arma di distrazione di massa.
Non ci sono dubbi: preservare l'intimità digitale e la privacy è uno dei campi di lotta di quest'epoca, il problema del controllo è connaturato al sistema in cui viviamo e la raccolta massiva di dati è uno degli elementi fondamentali su cui si basano abusi e repressione. Immediatamente però, alle attuali condizioni e per contrastare la diffusione del virus qui e ora, un'app è semplicemente inutile e chi utilizza le buzzword app o innovazione sta colpevolmente contribuendo a sviare l'attenzione da quelle che sono le reali problematiche e a deresponsabilizzare chi ha realmente causato questa catastrofe sanitaria.
La didattica, nell'impossibilità di utilizzare piattaforme pubbliche, si è frastagliata in mille rivoli e strumenti, pesando sulla buona volontà, intraprendenza e connessione del corpo docente che, lasciato alla propria iniziativa individuale, si getta a spegnere l'incendio che divampa grazie al vuoto sociale. Navigando tra un google, zoom, teams, whatsapp, skype, facebook, youtube, nella consapevolezza che l'esperienza didattica non sia riducibile esclusivamente all'erogazione di contenuti.
Al netto di tutti i ragionamenti vi è la (banale?) constatazione che la didattica a distanza non può essere sostitutiva e considerata equivalente della didattica in presenza, sopratutto per la fascia di età 6-18 e che il motivo per cui è stata imposta sono le carenze strutturali delle scuole che, disorganizzate e sovraffollate, non permettono la didattica in aula opportunamente distanziati.
Quindi si torna di nuovo alla questione principale: i problemi materiali si spostano nel digitale, ma il digitale non può risolverli.
La scuola, nel vuoto del pensiero e delle risorse strategiche, è stata di fatto consegnata in toto alle grosse piattaforme commerciali. Ancora una volta, il meccanismo è il solito: di fronte a una scuola trasformata in azienda, svilita, dove mancano i soldi anche per il sapone, che andrebbe ripensata e riorganizzata con affetto, ci si affida al presunto potere taumaturgico della tecnologia. Non si può pensare che questa scelta non avrà ripercussioni sul futuro. Né si può pensare che sia una scelta ovvia ed automatica, con buona pace di tutti i discorsi sul free software nella pubblica amministrazione, che si fanno da praticamente 20 anni.
Salvo poi scoprire che la tecnologia non è così accessibile, ma è invece ulteriore fonte di diseguaglianza sociale. Perchè possiamo fare finta che non sia vero che molte persone facciano teledidattica con i giga del proprio cellulare, che il territorio italiano sia fatto di paesini sperduti e nient'affatto connessi, che sfavillanti e velocissimi computer non siano affatto in ogni casa, però, per l'appunto, stiamo facendo finta.
Quella che era già una tendenza problematica (una scuola fatta di didattica frontale e di valutazioni basate sulla quantificazione) rischia ora di diventare la norma perché "siamo in emergenza". L'emergenza di oggi porta al pettine i nodi problematici della società che abitiamo. Lo stato di crisi è strutturale e rende evidenti vulnerabilità preesistenti che non si possono risolvere normando l'emergenza ma solo in un processo di profondo cambiamento.
Amiamo gli enigmi e non ci spaventano le complessità dei problemi. Quello che temiamo sono le false piste e gli specchietti per le allodole. Ciò che stiamo vedendo, e subendo, in questi giorni, non è altro che l'esasperata manifestazione di una serie di nodi che vengono al pettine e nessuna bacchetta magica smart basterà a scioglierli.
Quando la politica parla di tecnologia, spesso lo fa per sviare l'attenzione dalle ingiustizie e problematiche sociali a cui ci chiede di rassegnarci. Consapevoli che ogni piccolo spazio di libertà sacrificato non verrà restituito ma dovrà essere duramente riconquistato, quando la parola chiave è "emergenza" è ancora piu' importante svelare i meccanismi nascosti e leggere oltre la propaganda.
Dobbiamo mantenere la concentrazione, scrollarci di dosso il ruolo di gregge e ritrovare quello di comunità pensante, ricordarci ogni buzzword che è stata utilizzata sulla nostra pelle, scartarla e continuare a guardare dritto davanti, al cuore del problema.
Accedi
_TO* hacklab - Torino
Una panoramica sul funzionamento della app Immuni e le sue innumerevoli impossibilità. PERCHE' FARLA? SERVE FARE QUALCOSA! LA APP E' QUALCOSA! RISOLTO! Servirebbe per contenere i contagi, lo scopo non è seguire i movimenti degli individui, né quello di far rispettare prescrizioni.
https://ncase.me/contact-tracing/
Super approfondimento tecnico sul mercato degli expoit e sistemi difensivi. Cosa può mettere in difficoltà le aziende più ferrate nella produzione di malware? Scopriamolo con un contributo di pregio.
Nuovo bug per il boeing 787 Compriamo la notizia direttamente dalle piste.
Un nuovo attrezzo per cisti.org In queste ultime settimane in molte e molti ci avete chiesto delle dritte per comunicare a distanza cercando di non usare strumenti che controllassero anche il colore delle vostre mutande. Abbiamo passato un po' di tempo a sperimentare varie soluzioni, abbiamo mannaggiato tanto su jitsi meet, la piattaforma per videoconferenze messa a disposizione da molti collettivi in questo periodo (tra cui citiamo vc.autistici.org, ma anche disroot), ma non ci ha convinto perche' soffre di alcune problematiche che ne pregiudicano l'uso in piu' di 5/6 persone (ne abbiamo comunque scritto una guida qua)
Ma alla fine non la vogliamo alzare un po' questa asticella? Ci siamo resi conto che non tutte abbiamo la fibra a casa e che ci piacerebbe poter parlare dalla nostra scassata rete di campagna o dalla rete autogestita che verra'. Ma la nostra lista dei desideri continua: un numero di telefono per collegare le "vecchie" linee alle "nuove" così da non lasciare fuori dalle nostre assemblee chi l'accesso ad internet non ce l'ha o magari non ci tiene ad averlo.
Insomma non ci vogliamo accontentare di un cosetto che fa più o meno quello che ci si aspetta, vogliamo di più! Ci siamo quindi buttati alla riscoperta di mumble, un po' oldschool ma molto versatile e che con affetto e coccole siamo riusciti a far funzionare con tutte le richieste che avevamo (per ora...).
Ci troviamo a consigliare mumble tra tutte le soluzioni perchè è il compromesso migliore per avere un aggeggio autogestito che copre un sacco di utilizzi particolari. È vero, è un po' macchinoso da imparare, per questo ci abbiamo anche scritto una guida sopra, ma pensiamo che in questo periodo dovremmo incominciare a prendere decisioni lungimiranti.
Insomma nasce farma.cisti.org, il nostro balsamo contro l'isolamento, ma non ci andate via web se non proprio necessario, usate invece uno dei programmi suggeriti nella documentazione scritta con grande fatica e che potete leggere qua.
Ricordiamo anche altri due servizi che in questo periodo risultano presenze utili nel coltellino svizzero di cisti.org: l'usatissimo pad per la scrittura di testi collaborativi che potete trovare su https://pad.cisti.org e il nostro nodo mastodon che si sta rivelando un buon posto per comunicare al di fuori della paura e della rincorsa alla notizia.
Abbiamo fatto due chiacchere su coronavirus e soluzioni tech leggendo dei pezzi di un articolo curato da Carola Frediani su Valigia Blu
come molte e molti di voi sapranno, una delle misure incluse nel decreto cura italia e' un bonus di 600 euro per partite iva, autonomi, artigiani, commercianti, etc. l'ente che in questi casi si deve occupare di queste questioni operativamente e' l'inps, che ha comunicato l'apertura di queste richieste di indennita' per l'1 aprile. solo che ha capito male la storia degli assembramenti e ha lanciato l'operazione #noassembramentidigitali visto che per tutta la notte il sito e' andato a singhizzi, fino a chiudere del tutto i battenti in tarda mattinata. questo perche' ad un certo punto iniziano ad arrivare delle segnalazioni sul fatto che il sito mostra dati di altre persone. cioe' entranto per la richiesta di indennita' sul sito dell'inps, mettendo il pin e facendo due preghiere, venivano mostrati dati personali di altre persone. se questo gia' sarebbe grave in generale, e' particolarmente grave perche' ha interessato il sito di un ente che gestisce e maneggia un'enorme mole di informazioni personali e che mannaggia dovrebbe garantire rigorose misure di sicurezza e non affidare al cuggino dello stagista tutte cose. L'ipotesi di gran lunga più probabile sull'accaduto è che ci sia stato un banale errore di configurazione sul sito, ma di questo ne parliamo dopo questo pezzo per darvi il buongiorno e mettervi nel giusto mood. buon ascolto.
comunque il succo dei messaggi e' come sempre, e' colpa vostra che siete arrivati tutti insieme, mica nostra. in generale non c'e' mai un'assunzione di responsabilita', un dire che ne so, raga scusate abbiamo fatto una cagata, c'era poco tempo, abbiamo dovuto arrangiarci e non abbiamo potuto fare delle prove. e' sempre il solito approccio per cui i cittadini sono visti come sospetti e potenziali criminali o alla meglio come bambini, più che come soggetti responsabili, capaci di collaborazione, dotati di neuroni, quando gli unici atteggiamenti infantili sono proprio quelli per cui si cerca sempre qualcuno a cui addossare la colpa, un capro espiatorio, il runner, quello che porta a pisciare il cane, in questo caso gli hacker.
ebbene si', hanno stato gli hacker!@@!@!1 "Abbiamo avuto nei giorni scorsi e anche stamattina violenti attacchi hacker", ha detto Pasquale Tridico " questa la dichiarazione ufficiale di quanto accaduto dal presidente dell'INPS ripresa anche da conte. cosi' senza un minimo di pudore o vergogna, sparare cazzate per cercare di coprire la propria inettitudine. anche i bambini vi hanno sgamato. e' talmente grande e palese come cazzata che non ci hanno creduto neanche i giornali e infatti abbiamo fatto fatica a trovare l'audio perche' pochissimi giornali l'hanno ripresa come notizia. Un credulone che invece ci ha creduto e' il vicesegretario del Partito democratico, Andrea Orlando, in merito alla falla del sito dell'Inps denuncia che "alcune infrastrutture strategiche sono state sotto attacco di hacker" e su Twitter sollecita: "Bisogna subito convocare il Copasir per chiedere al Dis quale reazione è in atto. Questi sciacalli vanno fermati immediatamente". A questo punto piovono messaggi di scherno, anonymous italia scrive "vorremmo prenderci il merito, ma la verita' e' che siete incapaci e avete fatto tutto da soli togliendoci il divertimento", addirittura pornhub (per la sua immagine ovviamente) offre aiuto all'inps per potenziare il sito grazie ai suoi server.
"L’INPS informa gli utenti di avere prontamente notificato il data breach al Garante per la protezione dei dati personali ed assicura che, fin dal momento in cui si è avuta conoscenza della possibilità che vi sia stata violazione di dati personali, sta assumendo tutte le misure atte a porre rimedio alla situazione di rischio, attenuare i possibili effetti negativi e tutelare i diritti e le libertà delle persone fisiche. In tale ambito è istituita la seguente casella di posta elettronica violazionedatiGDPR@inps.it utilizzabile, esclusivamente dai soggetti i cui dati siano stati interessati dalla violazione, per le segnalazioni all’INPS, allegando eventuali evidenze documentali. L’Istituto si impegna a verificare tutte le segnalazioni ricevute e ad adottare ogni ulteriore misura tecnica e organizzativa adeguata di protezione dei dati personali che dovesse rendersi necessaria."
a parte che il sito dell'inps ha una normativa della privacy ferma al 2013, ancora non c'era la gdpr, forse non lo sanno che in questi casi sono loro a dover informare chi ha subito un leak e non viceversa. infatti le normative, in particolare la gdpr prevede sicuramente il nominativo di un responsabile dei dati personali e raga, l'inps non ce l'ha. l'inps non ha un responsabile dei dati personali di cosa stiamo parlando. anche il tabacchino sotto casa vostra deve averlo per le registrazioni di videosorveglianza. e invece no, il Data Protection Officer e' andato in pensione. Una delle altre questioni e' relativa alle risposte dopo un merdone cosi' che ad oggi si sono limitate alla creazione di una casella di posta dove poter inviare le segnalazioni. Come scrive il giornalista Raffaele Angius su Wired citando un avvocato specializzato in tutela della privacy: "Sembra quasi che la creazione della casella di posta elettronica sia essa stessa la misura adottata per risolvere il problema Di fatto mancano tutti i contenuti previsti dal Gdpr, che prescrive chiaramente l’identificazione di un responsabile e le soluzioni proposte per la risoluzione dell’incidente” Ma ancora di più qua si inverte l’onere dell’identificazione degli interessati coinvolti nella violazione: sarebbero infatti questi ultimi a dover ricevere un avviso nel quale si informa che i loro dati personali sono stati visibili a una quantità imprecisata di persone”.
c'e' nel merito un succosissimo thread su reddit da cui rubero' una spiegazione introduttiva per spiegare il problema:
Esistono principalmente due tipi di pagine web: quelle statiche e quelle dinamiche La classica pagina statica potrebbe essere https://www.corriere.it/. Anche se può cambiare più volte nel corso della giornata, tutte le volte che la carichi tra una modifica e l'altra sia tu sia chiunque altro vedranno la stessa cosa Una pagina dinamica invece è per esempio quella di gestione del tuo conto in banca. L'impaginazione e l'URL son gli stessi per tutti, ma il contenuto varia per ogni utente. Per ottimizzare le performance di un sito il materiale statico può essere messo in cache, ovvero una memoria esterna più performante del server normale perchè non deve fare nessun controllo, semplicemente ti restituisce i dati che ha già visto. Una rete di cache viene generalmente definita CDN, o Content Delivery Network
Ecco il ragionamento che fa: Tu: "Salve vorrei una mascherina per favore" CDN: "Aspetti che controllo nel retro" CDN: "Server di backend, abbiamo mascherine?" Server Backend: "No" CDN: "Mi dispiace abbiamo finito le mascherine" D'ora in poi CDN sa che non ci sono mascherine e risponderà "no" subito a chiunque venga a chiederne Quale è il problema? Che Server Backend non ha mai informato CDN che tra 10 minuti arriva il camion delle consegne che potrebbe consegnare altre mascherine, quindi CDN andrà beatamente avanti fino a sera a dire che "non abbiamo mascherine" anche se potrebbero essercene Questo è quello che è successo con le pagine dell'INPS. Gli URL erano uguali per tutti, Server Backend non ha mai informato CDN "prossima volta che te lo chiedono torna comunque da me" e CDN semplicemente ha fornito la pagina di dettaglio a Mario Rossi, il primo in coda la mattina... e anche a tutti gli altri, che fossero Mario Rossi o no.
La mattina del 1 aprile, per qualche ora (e non "5 minuti" come ha dichiarato l'INPS), è stata impostata la CDN Microsoft Azure Edge davanti al server del sito dell'INPS. www.inps.it era diventato un CNAME a inps-cdn-a.azureedge.net. Poi hanno ripristinato l'IP diretto senza CDN, "risolvendo l'attacco hacker" e il "data breach" (autoinflitti?!?!) Ecco svelato il mistero, una volta per tutte. Niente "hacker", e nessun database fallito in modi improbabili e assurdi, come sosterrebbero alcuni sedicenti "esperti" (non esiste che si possano "confondere" le richieste al database...) Ci sta solo un'incredibile (e ingiustificabile) incompetenza da parte sia di chi ha realizzato il portale dell'INPS senza nemmeno saper impostare gli HTTP Cache Headers, che anche da parte di chi l'altro giorno vi ha impostato una CDN davanti senza accorgersene prima. Non è possibile che i dati personali di tutti gli italiani vengano affidati a gente come questa. Soprattutto sapendo che gli appalti (anche per il "nuovoportaleinps") sono costati addirittura 360 milioni di euro di soldi dell'INPS.
Lista dettagliata delle società che hanno vinto appalti da INPS
E torniamo sulle libere frequenze di radio blackout 105.25, siamo su stakkastakka e ricordiamo i contatti. Come abbiamo detto in precedenza quindi le cause del collasso del sito INPS sono puramente tecniche, ma la politica istituzionale ha deciso comunque di inventarsi un nemico, un gruppo di cattivi, i fantomatici hacker su cui far partire l'ennesima caccia alle streghe. Questo ovviamente ricalca il copione vecchio e stantio di una politica che deve scaricare le proprie responabilità su un nemico invisibile.
Ma ancora più divertente della politica c'è Pornhub, che in un tweet ha chiesto all'INPS se avesse bisogno di un paio di server in prestito, o magari di una mano a configurarli. Sicuramente a livello di marketing avrà funzionato, anche grazie al fatto che poggia su un assunto comune alla società capitalista, ovvero che in ogni caso il privato è molto più efficiente ed innovativo del pubblico. In quest'ultimo pezzo vorremmo cercare di portare i dati degli appalti dell'INPS per sfatare un attimo il mito dell'eccellenza, perché se scaviamo un attimo in fondo scopriamo a fare i milioni sull'INPS non è stato il cugino con partita IVA del consigliere comunale. Proprio nell'ottica di arginare il clientelismo nella spesa pubblica si stanno obligando gli enti ad emettere bandi di gara per affidare a terzi la propria infrastruttura, visto che assumere del personale competente sarebbe troppo inefficiente. E allora via a lanciare gare pubbliche, l'INPS negli ultimi 20 anni ha pubblicato bandi nel settore informatico per quasi mezzo miliardo di euro. Sembra una cifra non da poco, ma se il sito e tutta l'infrastruttura che c'è dietro fa tanto schifo, a chi sono andati tutti questi soldi?
Beh, possiamo iniziare a vedere uno dei bandi più ricchi, un maxiappalto da 170 milioni del 2013, diviso in sette lotti:
Finmeccanica. Il lotto 4, per complessivi 29,7 milioni di euro, è andato per esempio a un drappello di imprese in cui spicca Selex Elsag, del gruppo Finmeccanica. Al suo fianco troviamo la Hp Enterprise Services, che fa capo al colosso americano dell’informatica Hewlett Packard, e la multinazionale della consulenza Deloitte.
Il lotto 5, il cui valore finale si è attestato sui 24 milioni di euro, è stato conquistato da un raggruppamento in cui è presente Telecom Italia, il gruppo al tempo guidato da Franco Bernabè che raramente manca all’appuntamento delle grosse commesse di stato.
Il lotto 2, che l’Inps remunererà con 33,8 milioni, ha visto tra i vincitori un gruppo particolarmente folto all’interno del quale si segnala la presenza degli spagnoli di Indra Sistemas (attraverso la Indra Italia). Accanto a loro compaiono la multinazionale Accenture, che ha sede a Dublino, e la Avanade Italy, ossia la sussidiaria italiana della joint venture che vede insieme la stessa Accenture e gli americani di Microsoft. Accenture che si vanta anche sul suo sito di aver aiutato l'Istituto Nazionale della Previdenza Sociale (INPS) a modernizzare le applicazioni per promuovere le prestazioni e ridurre i costi, nella pagina (CASI DI SUCCESSO DEI CLIENTI), consentendo all'ente di registrare una netta riduzione dei costi operativi e di sviluppo e di migliorare sia l'efficienza che la produttività.
Nomi di assoluto rilievo internazionale li troviamo anche all’interno del raggruppamento che ha incamerato il lotto 3, per un totale di 21,7 milioni di euro. In questo caso troviamo gli americani di Ibm, in compagnia dei francesi di Sopra Group e della multinazionale della consulenza Ernst & Young.
E visto che sono riusciti a spuntare un bella fetta di torta tutti i principali gruppi della consulenza e dei servizi Ict, nel novero non poteva mancare Kpmg, presente nel raggruppamento con Exprivia e Sintel Italia.
Alla cuccagna del superbando Inps del 2013, tra l’altro, hanno partecipato anche società di estrazione editoriale. Può sembrare un po’ strano, me è proprio così. Basta guardare alla storia del lotto 1, assegnato alla fine per 35,6 milioni di euro. Al suo interno spunta Innovare 24 spa, che da qualche mese ha cambiato ragione sociale in 24 Ore Software e che altro non è se non la società informatica del Sole 24 ore, e quindi in ultima analisi del sistema Confindustria. Chiudono la composizione del lotto 1 Engineering spa e Inmatica spa. Insomma, solo per partecipare a questo bando la controllata del Sole24 ore ha preferito tuffarsi nel'informatica, e creare una divisione apposita, vedi come si scoprono le proprie passioni.
Insomma vediamo tante grandi società, multinazionali e aziende di consulenza quotate in borsa, non esattamente la municipalizzata in mano al cognato del consigliere comunale. E queste mega aziende le ritroviamo nuovamente al banchetto dell'INPS, infattoi nel 2016 poi ci sarà un altro bando dell'INPS, stavolta con un valore stimato molto più succoso, di ben 359,9 milioni di euro:
Leonardo, ex Finmeccanica, sarà nuovamente protagonista del bando del 2016, con i lotti 3 e 4, che comprendono la gestione di tutte le altre prestazioni dell’Inps (come sussidi, assegni di maternità, indennità), insieme ad Ibm, la società di revisione contabile e consulenza Ernst & Young e Sistemi informatici srl.
Il gruppo di consulenza e revisione Kpmg, ritorna anche nel bando del 2016, con le società informatiche Exprivia, Wemake e Inmatica, e vince per 26 milioni di euro il lotto 5 (valore sulla carta: 41 milioni). A loro spetta tenere in piedi le reti dell’istituto: quindi integrazione dei dati, gestione del personale e fiscale, potenziamento dei servizi antifrode nonché, si legge nel capitolato, “l’evoluzione dell’infrastruttura di sicurezza e protezione dei dati”.
In questa voce dovrebbe rientrare il rispetto per l'INPS delle direttive europee sulla GDPR, che si preoccupano del rispetto della riservatezza e della privacy utente, la stessa GDPR per cui adesso l'INPS adesso rischia una multa di 20 milioni di euro. E adesso chi la pagherà la maxi-multa, l'INPS o l'eccellenza della consulenza Kpmg, che ha già dichiarato di non aver lavorato direttamente sul sito in sé?
Eh già perché solitamente, come chiunque lavori nel campo vi portà confermare, le maxi-società che vincono appalti non lavorano mai sulle commesse, al massimo si preoccupano di "Business Intelligence", ovvero licenziare personale per evitare che un ente abbia delle maestranze competenti e sia ancora più dipendente dalla consulenza esterna, ma andranno semplicemente a subappaltarle a compagnie più piccole, le quali a loro volta andranno a subappaltare a terzi a prezzi ancora inferiori, fino a rivendere lo stesso lavoro ad una frazione del prezzo.
Il meccanismo per le grandi multinazionali è ben oliato: nell'emettere un bando si mettono una serie di prerequisiti che sono irragiungibili e ovviamente superlfui, come ad esempio avere qualsiasi certificazioni possibile (es il bando richiede certificazione CEH, anche solo un dipendente ha la CEH, quindi automaticamente l'azienda è certificata, anche se poi tizio non lavorerà al bando), o avere un centinaio di dipendenti laureati in ingegneria informatica o lavorare da 50 anni nel campo.
Ovviamente questi requisiti sono realistici solo per le mega-corporazioni, e dato che sono palesemente superflui, vengono poi sbolognati a compagnie più piccole che quei requisiti semplicemente non li hanno. Solitamente i bandi includono delle clausole per impedire il secondo o terzo subappalto, ma questo è facilmente aggirabile quando le corporazioni decidono di chiedere a loro volta consulenze esterne, o assumono personale da agenzie di ricollocamento, che solitamente a livello legale risultano come cooperative, con contratti occasionali o a prestazione, che fanno però il lavoro di un consulente esterno.
Quindi, alla fine della catena alimentare, dopo il terzo o quarto subappalto, ci si ritrova con del personale che non ha mai lavorato a quel progetto in particolare, che dovrà reimparare come funziona tutta la bestia senza mai averla toccata, e che probabilmente sarà assunto a tempo determinato da una cooperativa o magari come libero professionista, che se dell'ammontare dell'appalto originale se ne ritrova un millesimo è già fortunato, e non essendo assunto sa già che a breve un'altra persona dovrà lavorare sul suo hackrocchio (RIP :'( insegna agli angeli a smarmellare )
Questo meccanismo malato non è una peculiarità italiana, ma anzi è una regola perfettamente razionale nella logica capitalista, che se da un lato vede nell'ottimizzazione dei costi e dei tempi il pretesto per impoverire e precarizzare il lavoro, dall'altro accumula le risorse in degli oligopoli inamovibili, che non potranno mai subire una vera concorrenza dato che definiscono le regole del gioco. A questo scopo potremmo citare altri data breach nel pubblico che sono stati ben più gravi del caso INPS in Italia, come per Equifax, l'agenzia delle entrate statunitense, o nel 2018 del NHS, il sistema sanitario inglese, ma anche no perché...
Come si diceva prima infatti, è palese che il codice oltre ad essere scritto con i piedi è anche frutto del lavoro di una dozzina di persone che si sono susseguite nel tempo e non si sono mai parlate. Capite che è ben diverso farsi curare dallo stesso medico o ritrovarsene uno diverso ogni giorno. Il meccanismo è ben oliato anche per funzionare per mantenere la cricca dell'intermediazione, dove ovviamente se nessuno ha colpe queste al massimo verranno riversato sull'ultimno povero cristo.
Ascolta il podcast dell'intera puntata o scegli qua sotto l'approfondimento che preferisci da condividere con chi vuoi!
Ormoni al silicio al tempo di pandemia. Approfondimento su come mandare i sessaggini dalla quarantena con gli amati consigli di Zia Valentine e Dj Sbrok.
Zoom, un applicazione per video-conferenze che sta facendo molto parlare di se in questo periodo. Parliamo delle ombre che stanno rovinando la corsa alla ribalta di questo nuovo unicorno della Silicon Valley.
Ma citiamo molte alternative tra cui il pad per la scrittura collaborativa su cisti.org e video-conferenze su autistici.org. Ma la prossima settimana avremo una novità made with ♥ nell'hacklab underscore.
Dopo anni torniamo a parlare di hackingteam e delle spoglie che rimangono dell'azienda di malware milanesi. Una storia di lotta tra miserabili.
Nome in codice: Piñera conchetumare
L'esercito cileno viene colpito da una serie di fughe di notizie che ne mostrano i crimini.
La prima il 09 settembre 2019:
E l'ultima proprio in questi giorni:
Abbiamo mandato un contributo della nostra trasmissione sorella le dita nella presa su radio onda rossa.
Partendo da una statistica presentata dalla regione Lombardia che tende a dimostrare l'ancora eccessiva mobilità della popolazione nonostante i decreti, facciamo quattro conti per vedere quanto le conclusioni tratte siano veramente supportate dai dati statistici, e in generale quanta validità abbiano quei dati rispetto alla domanda posta. Il nostro risultato permette sostanzialmente di giungere alla conclusione.
Intervista ad il collettivo Circe registrata dall'hacklab unit di Milano. Parliamo di didattica al tempo di covid19 e l'accelerazione in corso nei processi educativi. Consigliamo di ascoltare la puntata integrale di bitume.
Qua alcuni link utili per continuare ad approfondire il tema:
Approfondimento Chelsea Manning
In seguito ad un tentato suicidio è arrivato l'ordine di scarcerazione per Chelsea Manning
Parliamo di Uber. Un applicazine che nasce nel 2010 che permette di richiedere ad un altro utente di venirti a prendere dietro pagamento. Parleremo di come Uber sia riuscita a creare un buco finanziario di miliardi di dollari sostenuta da una prodigiosa propaganda basata su finzione, confusione e produzione di articoli accademici che nessuno si è premurato di rileggere.
Perchè uber, una compagnia che ha perso oltre venti miliardi di dollari da quando ha incominciato ad operare nel 2010 e che non mostra alcun segno di poter generare profitto viene ancora vista come una compagnia di successo ed in crescita? Perchè c'è la percezione che uber abbia portato notevoli miglioramenti al sistema di trasporto urbano ed un generale miglioramento della qualità del servizio per i passeggeri quando ha fallito ad avviare un modello di azienda funzionante e cercando di prevaricare in pezzi del mercato attraverso una politica semi-monopolistica?
Uber paradossalmente non è in grando di mantenere dei veicoli in modo più efficiente o meno costose dei servizi di taxi che ha portato al fallimento. Tutto il siccesso e la popolarità di uber può essere spiegata da miliardi in investimenti predatori in strumenti di ottimizzazione del servizio.
Non c'è alcuna prova inidimendente che l'innovazione tecnolgia sventolata da uber (ammesso e non concesso che sia vera) abbiamo mai avuto un vero impatto materiale nell'organizzazione del mercato. Uber un azienda che ha prodotto un livello di innovazione comparabile con quello del mio gatto.
Il vantaggio economico di uber nel mercato non deriva da qualche sofisticato algoritmo di ottimizzazione, ma dalla constante capacità dell'azienda di tagliare la "quota" riservata agli autisti. Dal 2016 parliamo di una contrazinoe del 40%. I tagli hanno portato gli stipendi sotto il livello minimo in molti territori dove l'applicazione ha operato. Questo ha permesso di trasferire circa tre miliardi dai lavorari al capitale.
Ma come ha fatto uber a convincere (ehm fragare) i finanziatori? Scimiottando quello che le GAFAM fanno da sempre. È andata in giro a vantarsi del suo monopolio.
Amazon, Google e Facebook hanno lasciato agli startuppari di domani un copione da seguire per chi vuole raggiungere la valutazione a nove cifre del capitale. Queste aziende prima hanno basato le loro fondamenta su prodotti che potremmo definire legittimi e portatori di una certa quantità di innovazione che potremmo definire "genuina". Google effettivamente ha fatto un motore di ricerca, Facebook un social network, Amazon i suoi server. A quello punto hanno dimostrato che questi prodotti erano in grado di reggere sul mercato, insomma fare soldi. Da questa posizione poi si sono divertiti a costruire monopoli aquisendo tutti i possibili competitor.
Uber non è semplicemnete un altra bolla tech che beneficia di capitale a buon mercato e la percezione diffusa che la "tecnologia disruptive" è in grado di risolvere i problemi del mondo. La sua strategia si è basata su tre tasselli che nessuno aveva mai messo in gioco in questo modo.
Il primo vantaggio strategico è stato quello di saltare a piè pari la difficolta di dover costruire un prodotto che funzionasse. Colonna portante del paradigma dell'unicorno. Sono partiti direttamente dai 13 migliardi messi sul tavolo dai mitici investitori. 2300 volte la prima IPO richiesta da Amazon.
Il secondo tassello è stato quello della "crescita a tutti i costi". Giornalisti, avvocati, politici si sono fatti dettare l'agenda dai PR di uber.
Il terzo è stato quello di guidare lo sviluppo dell'azienda come un processo politico, usando tecniche importate dal mondo dei partiti. Gli investitori di uber sapevano che gli sarebbe servito il potere politico per accellerare la crescita e mantenere le loro promesse.
Amazon, Google e Facebook prima di avere il bisogno e la capacità di fare lobby hanno atteso anni. Uber è stata la prima startup in cui questa attività è stata in testa alla lista delle priorità dal giorno uno. Tanto da assumere un ex considegliere del presidente (David Plouffe) o un confidente del Primo Ministro Britannico (Rachel Whetstone) come dirigenti delle relazioni pubbliche dell'azienda.
Questa strategia in tre parti ha sostenuto Uber in dieci anni di perdite da capogiro che avrebbero facilmente distrutto qualisiasi altra startup. La curiosità finale è che uber non è mai arrivata ad avere quella posizione di monopolio nel mercato da poter attuare veramente le politiche delle sue sorelle maggiori.
La narrative di uber è stata clamorosamente sbagliata dall'inizio, ma per fortuna c'è qualcuno che è sempre stato al suo fianco. Senza il ruolo dei media che hanno sistematicamente ignorato ogni prova di buon senso che gli cascava sui piedi per il nostro unicorno sarebbe stato difficile spiccare il volo.
Infatti sta nella costruzione di un impareggiabile e caleidoscopica narrativa il metro con cui misuriamo il valore delle startup. Vediamo qualche esempio sperando che possa stimolare l'appetito prima di pranzo.
Uber è cresciuta percchè gli utenti hanno liberamente scelto i suoi servizi in mercati aperti e competitivi. Ignorate i grossi sussi che hanno completemente distorto i prezzi. La potenza tecnologica di Uber può gestire ogni incombenza in qualsiasi mercato ovunque. Peccato che in cina abbia fatto un buco nell'acqua al primo tentativo. I problemi dei servizi di taxi esistenti sono stati creati dai politici cattivi, gli stessi che hanno provato ad impedire alla uber buona di creare posto di lavoro. Ma porcoddio. La legge non può essere applicata ad Uber perchè Uber è nuovo. nuova ride-super-sharing-industry. Ignoriamo il fatto che i taxi e Uber condividano la stessa identica struttura, scopi, etc. Uber è tech, super-tech. Ogni perdita diventerà un vantaggio finchè non riuscirà a distruggere i proprietari di auto ed il trasporto pubblico. Ignoriamo i costi, le perdite e i fallimenti. Per il resto tutto regolare. Le leggi sul lavoro no possono proteggere i lavoratori di Uber perchè perchè è una compagnia di sviluppo software, non una di trasporti.
Il genio del suo programma di comunicazione è stato prorio quello di distrarre dalla sua incapacità di reggersi sulle proprie gambe e convincere le persone che tutti i problemi del mercato dei taxi è stato generato dalle leggi. La combinazione della tecnologia super pettinata di uber e la sua superiorità alle leggi invece erano gli ingredienti per superare questi limiti.
Ma la storia di Uber rimane un piano aziendale da anni 90 portato avanti da un gruppo di libertari corporativi guidati da Charles and David Kock. Il loro programma continua a spingere ad eliminare ogni tipo di standard pubblico di sicurezza per i trasporti.
L'abilità di uber negli ultimi dieci anni di manenere la sua immagine di successo di azienda innovativa si è basata su tecniche di propaganda.
Il problema è stato che Uber ha supportota ricerche accademiche che seguivano standard per essere indipendenti o finanziate dalle università, ma che in realtà spingevano la causa della startup californiana. Uber ha beneficiato enormemente non solo dagli articoli di giornale, ma anche dalle versioni semplificate di articoli accademici, blog e think tanks.
Editori di prestigiosi giornali economici non sono stati in grado di valutare in modo critico le proposte di articoli sul modello azienda di Uber. Ma ogni tipo di review o risposte agli articoli originali sarebbe stata impossibile dato che i dati necessari per svilupparli erano e sono ancora di proprietà esclusiva di Uber.
Un esempio potrebbe essere l'articolo di Cramer e Krueger del 2015 dal titoli "Cambiamenti distruttivi nel business dei taxi: Il caso di Uber". Pubblicato inizialmente dal National Bureau o Economic Research e poi dall'American Economic Review.
Il paper ha dato credibilità al millantato vantaggio economico di Uber (38% nel mondo, 66% in alcune città). Il paper si è basato principalmente sullo scontro Uber vs Taxi utilizzando misure incompatibili tra loro come il totale di ore lavoro. Infatti i guidatori d taxi hanno grandi incentivi a guidare tutto il giorno per dover coprire i costi del mezzo, la benzina, assicurazione, etc. I guidatori di Uber hanno grossi incentivi a guidare poco nei picchi di richiesta e non accendere l'applicazione a meno di essere immediatamente pronti a guidare. Il paper continua senza presentare mai un dato.
Ma il paper che mi è piaciuto di più si chiama "I guidatori di Uber guadagnano più dei guidatori di taxi essendo più flessibili". Capolavoro. Per incominciare notiamo come uno dei due autori al tempo della scrittura dell'articolo era formalmente un dipendente di Uber, l'altro un consulente. All'interno troviamo dati sul guadagno annuo dei guidatori che si sono dimostrati interamente costruiti a tavolino dagli autori.
Ora passiamo a "Uber aumenta il benessere dei clienti" dove arrivano i big data. Sorvoliamo su come uno studio condotto sulle quattro città più ricche degli stati uniti possa essere rappresentativo per il mondo. Questo paper non ha misurato il benessere degli utenti, ma una piccola contrazione del prezzo in una forbice di pochi mesi.
"Il valore del lavoro flessibile: prove dai lavoratori di Uber" è stata la risposta di Uber alle crescenti accuse di sfruttamento dei lavoratori e delle difficili condizioni di stress a cui gli autisti sono stati sottoposti. Un potente grimaldello di propaganda che ha permesso ad Uber di tacciare i suoi detrattori di fare discorsi contro gli interessi dei lavoratori.
Il paper parla di come il modello operativo di Uber non impone alcun tipo di limitazione ai lavoratori. Sarebbe vero se non si ignorasse completamente le politiche che forzano gli autisti a comprare veicoli sempre più costosi per ottenere più corse dall'algoritmo, algoritmo che provvede ad eliminare gli autisti dalla piattaforma qualora si osassero di rifiutare una corsa.
Questi paper sono solo un esempio di come i giornalisti hanno felicemente digerito tutto la propaganda della startup californiana facendosi megavono per i loro investitori.
Puntata densa e monografica sul nesso tra lavoro nella ricerca e malessere. Grazie al prezioso contributo di Angelo Piga e Aniello «Nello» Lampo autori di "Stare male nell'accademia" attraversiamo le contraddizioni di un segmento del capitalismo cognitivo. Incominciamo con alcuni dati sulla situazione italiana ed internazionale sul mondo accademico per poi spostarci tra le pieghe dei malesseri e finte soluzioni di una professione radicalmente precarizzata, gamificata e prestazionale. Qualche link di approfondimento usato per la preparazione della puntata.
1) storie di agenti russi che sii attaccano ai cavi sottomarini che fanno funzionare internet
2) DDL 2394 - la grande ipocrisia della magistratura e del diritto di spionaggio verso chiunque sia ritenuto sospettabile
Tutto è iniziato col decreto legislativo 216/2017 (in piena era Renzi-Gentiloni). E oggi ci fermiamo a questa origine, per parlare nelle successive puntate dei suoi sviluppi. Qui si è cominciato a parlare di intercettazioni ad ampio raggio, di ‘captatori informatici’ (senza dire chiaramente che cosa la legge intenda usando questo termine) e a stabilire che possono essere sempre usati per tutti i reati di associazione a delinquere e per attività terroristica; viceversa, per gli altri reati previsti dall’art.266 del Codice di Procedura penale, l’uso dei trojan e delle microspie nell’abitazione privata dell’indagato è autorizzata solo se vi sono fondati motivi che l’attività criminosa si svolga lì e l’autorizzazione ha un tempo determinato. Fermiamoci un attimo per contemplare l’ipocrisia di Stato. Il legislatore sapeva o non sapeva nel 2017 che tutti i giovani procuratori hanno ormai imparato, come tecnica investigativa da applicare contro un cittadino di cui si sospetta qualcosa, ad aprire un fascicolo contro ignoti? Dopo di che, la stessa persona può essere intercettata anche se non iscritta al registro degli indagati, perché può essere ritenuto che la sua utenza possa essere intercettata utilmente per l’accertamento di reati di cui si ha notizia ma non si conosce il responsabile. Successivamente, lo stesso magistrato può indagare lo stesso cittadino (dopo averlo intercettato per mesi in attesa del reato) per associazione a delinquere, e per sei mesi non mandargli alcun avviso di garanzia. Ma se anche poi indaga per un periodo più lungo e non lo avvisa, quale è la sanzione? Nessuna.
3) Internet of things Candle
una candela che si accende tramite un app, cosa mai potrebbe andare storto ?
3) CryptoStory - Come CIA e servizi segreti tedeschi hanno spiato alleati e avversari vendendo macchine antispionaggio
”It was the intelligence coup of the century,” CIA report concludes. “Foreign governments were paying good money to the U.S. and West Germany for the privilege of having their most secret communications read by at least two (and possibly as many as five or six) foreign countries.”
La nostra vita online spesso assomiglia alla vita che abbiamo offline. Negli ultimi 10 anni una spinta totale ci circonda e ci fa credere che l'unico modo di esistere che abbiamo online sia quelle di chiamarci per il nostro nome e cognome reale, ma questa realta' e' vera solo per chi ci crede. Esistono nei mondi non troppo sotterranei del hacking e del attivismo un sacco di strumenti per gestire l'identita' e l'anonimato ed in questa puntata andremo a scoprirne alcuni per poi lasciare la curiosita' a chi vuole di cercare gli strumenti migliori per ognuno, ma prima cerchiamo di decostruire la nostra identita' cerchiamo di vedere che cosa e' successo negli ultimi 30 anni di internet con un po' di storia e prenderemo pezzi di libri che ci possano raccontare che cosa significava poter cambiare identita' ogni volta che volevamo.
un estratto dal libro di Edward Snowden che rappresenta abbastanza bene l'immaginario nerd nella gestione delle identità
In un forum ho rivelato la mia età, ma non il mio nome, quello mai. Una delle cose più belle di queste piattaforme era che non ero tenuto a svelare la mia identità. Potevo essere chiunque. L’anonimato, tramite l’uso di pseudonimi, garantiva l’equilibrio nei rapporti, correggendo eventuali discrepanze. Potevo nascondermi dietro qualsiasi nome virtuale, o nym, come veniva chiamato, diventando in un attimo la versione più alta e adulta di me stesso. Potevo assumere tantissime identità. Ne approfittavo per fare le domande che reputavo più ingenue, ogni volta usando un nome diverso. Le mie abilità informatiche miglioravano così velocemente, che invece di essere fiero dei miei progressi, mi vergognavo della mia precedente ignoranza e cercavo di prenderne le distanze. Avrei voluto dissociare le mie identità. E criticare la stupidità di [del mio alias precedente] squ33ker, quando aveva fatto quella domanda sulla compatibilità del chipset, così tanto tempo fa (in realtà era stato solo il mercoledì precedente). Ovviamente anche in questo contesto così culturalmente libero e collaborativo esisteva il senso di competizione, e accadeva anche che qualcuno – di solito maschio, eterosessuale e sovreccitato – si alterasse per motivi futili. Ma in assenza di nomi veri, le persone che dicevano di odiarti non erano persone vere. Non sapevano niente di te, al di fuori di ciò di cui discutevi e di come ne discutevi. Se venivi coinvolto in qualche lite, bastava cambiare identità, e così avresti potuto addirittura inserirti nella discussione, dando contro al vecchio te stesso come se fosse stato un estraneo. Era un sollievo inimmaginabile. Negli anni Novanta, però, Internet sarebbe caduta vittima della più grande ingiustizia della storia digitale: il tentativo, da parte della politica e delle aziende, di legare nel modo più stretto possibile l’identità virtuale degli utenti con quella reale. Un tempo qualsiasi ragazzino poteva dire su Internet la cosa più stupida senza doverne rendere conto in futuro. In apparenza potrebbe non sembrare il contesto più sano dove crescere, ma in realtà questo è l’unico contesto in cui ciò sia davvero possibile. Il fatto che Internet, in origine, permettesse di dissociarsi da se stessi, incoraggiava me e quelli della mia generazione a cambiare le nostre opinioni, anche quelle che avevamo sostenuto con più convinzione, invece di continuare a difenderle quando venivano messe in discussione. La possibilità di reinventarsi ci permetteva di non chiuderci sulle nostre posizioni per paura di arrecare danni alla reputazione. Gli errori venivano puniti e immediatamente corretti, e questo permetteva a tutta la comunità di avanzare. Per me, e per altri, era questa la libertà. Immaginate di potervi svegliare ogni mattina e di poter scegliere un nome nuovo e una faccia nuova. Immaginate di poter scegliere una nuova voce e nuove parole con cui parlare, come se il «pulsante di Internet» vi permettesse di resettare la vostra vita. Nel nuovo millennio, Internet ha assunto scopi molto differenti: incentiva l’attaccamento al ricordo, sostiene l’importanza di un’identità coerente e promuove il conformismo ideologico. Ma allora, almeno per un certo periodo, ci proteggeva, facendoci dimenticare le nostre trasgressioni e perdonando i nostri peccati.
Gendersec Zen - Manuale della gestione delle identità e molto altro
Se notate dei buchi nell'audio lo sappiamo e mannaggiamo forte.
Puntata completa
Google Maps Hacks Performance
http://www.simonweckert.com/googlemapshacks.html
Google continua a fare grandi cappelle
https://twitter.com/jonoberheide/status/1224525738268905477
https://www.theverge.com/2020/2/4/21122044/google-photos-privacy-breach-takeout-data-video-strangers
Greenwald accuse stile Assange pero' in Brasile
Il direttore del Intercept Greenwald, che a suo tempo aiuto' Edward Snowden
nel 2013 con l'importante leak fatto all'NSA, e' stato accusato ed e' sotto
processo a causa di una serie di leak avvenuti in Brasile che coinvolgono
il presidente Bolsonaro e il ministero della giustizia Moro.
https://www.valigiablu.it/brasile-bolsonaro-attacco-giornalisti/
Nella prima parte della puntata abbiamo parlato di PoC||GTFO:
https://www.alchemistowl.org/pocorgtfo/
qui invece il pdf dell'NSA
https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF
Dal minuto `48 circa parliamo invece di Mailing list
How we lost the great emu war grande storia coperta da wikipedia.
Approfondimento data-driven porn
A partire da un articolo di Gustavo Turnar su LogicMag.
Racconto di una ricerca di contro-spionaggio indipendente egiziano. Diretta dal CCCC.
=> monopattini-vandalizzati-e-rubati-la- micro-mobilita-in-sharing-si-trasforma-in-un-incubo
I monopattini non convincono neanche un po' una gestione un po' troppo facile per il comune di torino, una narrativa ecologista che nasconde un consumismo ed una profilazione smart. Insomma questi monopattini non ci conviscono, sembrano accessori per la mobilita' ma si trasformano in spazzatura cittadina si poteva prevedere ? Certo, ma e' stato piu' facile fare l'accordo commerciale
12345, 123456, password, 1312, qwerty, test1, iloveyou, abc123, qwertyuiop le password che palle, le password che passione!
Se usate la prima password che vi viene in mente allora sapete gia' che questa password la potrebbe indivinare anche qualcun'altro.. Ecco la lista delle migliori e peggiori password del 2019!
Ecco alcune raccomandazioni per aumentare la sicurezza:
Intervista a CIRCE per la presentazione del libro Internet Mon Amour
Parliamo di warez, che cosa sono i Warez e come e' partito tutto questo?
Warez e' il software piratato. La scena warez ha cominciato a emergere nel 1970, nata dai predecessori di cracking software e gruppi di ingegneria inversa. Il loro lavoro era reso disponibile sui sistemi privati di bacheca (BBS).
Cosa vuol dire BBS?
I primi BBS si trovavano negli Stati Uniti, ma simili cominciarono a comparire in Canada, Regno Unito, Australia ed Europa continentale. All'epoca, l'installazione di una macchina in grado di distribuire dati non era banale e richiedeva una certa capacità tecnica. La ragione per cui veniva fatto di solito era per sfida tecnica. I BBS in genere ospitavano diversi megabyte di materiale. Le migliori schede avevano più linee telefoniche e fino a cento megabyte di spazio di archiviazione, che era molto costoso al tempo. Le release erano per lo più giochi. Man mano che il mondo dello sviluppo software si evolveva per contrastare la distribuzione di materiale "piratato" e che il software e l'hardware necessari per la distribuzione diventavano prontamente disponibili a chiunque. La Scena si è adattata ai cambiamenti e si è trasformata da una semplice distribuzione a un effettivo cracking delle protezioni e di reverse engineering non commerciale.
Cosa intendi per Reverse Engineering?
Poichè molti gruppi di persone volevano partecipare è emersa l'esigenza di promuoversi. Il che ha spinto l'evoluzione della Scena, che si è specializzata nella creazione di arti grafiche associate ai singoli gruppi (crack intro).
I gruppi promuovono le loro abilità con software sempre più sofisticato e avanzato, aggiungendo le proprie intro e più tardi anche aggiungendo la propria musica (si crea la scena demo). Quindi appunto si va alla vera e propria modifica del gioco per creare un opera d'arte. Un evoluzione dal semplice "sbloccare" al carpirne ogni singola parte e modificarla a piacimento utilizzando tutte le potenzialita' della macchina.
La scena Demo ha poi iniziato a separarsi dalla "scena warez" nel corso degli anni '90 ed è ora considerata come una sottocultura completamente diversa. Con l'avvento di internet i Cracker iniziarono ad organizzarsi all'interno di "Bande" segrete formate online. Nella seconda metà degli anni novanta, una delle fonti d'informazione più rispettate in materia di Ingegneria Inversa (Reverse) era il sito web Fravia^1^.
Parliamo delle prime crack e delle prime protezioni, perche' e come sono state sconfitte o bypassate e chi erano questi cracker?
Le prime protezioni anticopia sono state applicate da: AppleII, Atari800 e Commodore64. Nel tempo ovviamente le tipologie di protezione anticopia si sono fatte man mano più complesse. La maggior parte dei primi cracker software spesso formavano gruppi che gareggiavano l'uno contro l'altro nel cracking e la diffusione di software. La rottura di un nuovo sistema di protezione anticopia il più rapidamente possibile era considerata come un'opportunità per dimostrare la propria superiorità tecnica. E lo e' ancora, Inoltre tutto questo non lo si fa per una questione economica.
I cracker erano (e sono) programmatori che "sconfiggono" la protezione anticopia sul software come hobby, per aggiungere il loro alias alla schermata del titolo, e poi distribuire il "cracking" prodotto alla rete di warez BBS o siti Internet specializzati nella distribuzione di copie non autorizzate (es: torrent, ftp, emule,..)
I gruppi di cracker degli anni '80 iniziarono a pubblicizzare loro stessi e le loro abilità aggiungendo schermi animati noti come crack intros nei programmi software che bucavano. Una volta che la competizione tecnica si era estesa dalle sfide del cracking alle sfide della creazione di intros visivamente stupefacenti, le basi per una nuova sottocultura conosciuta come scena demo erano state stabilite.
La maggior parte dei gruppi di cracking continuano questo lavoro non per guadagnare soldi ma per curiosita', per accrescere il rispetto del gruppo e per sfidare le softwaree house che producono nuovi software sempre piu' protetti.
Agli inizi I software crackati venivano pubblicati sulla rete tramite archivi di distribuzione FTP, mentre oggi e' possibile scaricarli via torrent o tramite siti di reverse specializzati.
Ok, ma chi c'e' dietro oggi?
La scena oggi è formata da piccoli gruppi di persone qualificate, che informalmente competono per avere i migliori cracker, metodi di cracking, e reverse engineering.
Per esempio esiste la High Cracking University (+HCU), che è stata fondata da Old Red Cracker (Stan Kelly-Bootle), un musicista-accademico-informatico inglese, considerato un genio della reverse engineering e una figura leggendaria in Reverse Code Engineering(RCE), per aver fatto progredire la ricerca nel RCE. OldRed aveva anche insegnato e scritto diversi testi sull'argomento, infatti questi testi sono ora considerati dei classici per chi studia appunto il reverse engineering. Al giorno d'oggi la maggior parte dei laureati di +HCU sono quasi tutti su Linux e pochi sono rimasti come craccatori di Windows. Le informazioni presso l'università sono state riscoperte da una nuova generazione di ricercatori e operatori di RCE che hanno avviato nuovi progetti di ricerca nel settore. Restano inoltre indovinelli creati da OldRed nel '97 e non ancora risolti che appaiono nascosti nella rete disponibili per chi si appassiona al cracking software^2^
Come funzionava in pratica il sw cracking ?
Durante gli anni '80 e '90, i videogiochi venduti su cassette audio e floppy disk erano talvolta protetti con un metodo esterno che richiedeva all'utente di avere il pacchetto originale, il manualo o una parte di esso. La protezione anticopia veniva attivata non solo durante l'installazione, ma ogni volta che il gioco veniva eseguito. es
Ma il tempo passa e anche le corporation imparano a proteggersi.. Come si sono evolute le protezioni delle copie nel tempo?
Quando la Sega Dreamcast è stata rilasciata nel 1998, è uscita con un nuovo formato di disco, chiamato GD-ROM. Utilizzando un lettore CD modificato, si può accedere alla funzionalità del gioco. L'utilizzo di uno speciale CD, con la modifica, consente di leggere un gioco attraverso un CD-ROM utilizzando il Boot del CDRom per poi caricare il gioco piratato bypassando la protezione.
Le console di nuova generazione usano dischi Blu-ray. Oltre alla protezione offerta dalle console stesse, le specifiche del formato Bluray consentono di ottenere un marchio (BD-Mark) che non può essere duplicato senza l'accesso da amministratore di sistema. Il formato BD-ROM fornisce una notevole capacità (fino a 100 GB per disco con potenziale revisione per fornire di più), maggiore disponibilità di banda dei consumatori combinata con l'aumento delle dimensioni dei giochi distribuiti attraverso i canali online (avvicinandosi a 100 gigabyte per alcuni titoli) sta rendendo la distribuzione di software crackato difficile. Per evitare che le console stesse vengano hackerate e usate come mezzo per sconfiggere queste protezioni (come è successo con la WII e in parte con la PlayStation 3), le console contemporanee come Xbox o PS4, usano strumenti hardware di fiducia (firmati con una chiave) che autenticano l'hardware interno e bloccano qualsiasi software precedente.
In conclusione: crack, crackers e craccare che significa al giorno d'oggi ?
Se parliamo di cracking, parliamo della modifica del codice binario di un'applicazione per causare o impedire una parte specifica nell'esecuzione del programma. Un esempio specifico di questa tecnica è una crack che rimuove la scadenza del periodo di prova di un'applicazione o saltare il passaggio laddove richiede una chiave.
Le crack sono di solito programmi che alterano l'eseguibile del programma e a volte le librerie come le .dll o .so.
Al giorno d'oggi uno dei metodi utilizzati e' quello di utilizzare programmi specifici per scannerizzare il programma usato per proteggere la copia. Dopo aver scoperto il software utilizzato per proteggere l'applicazione un programma specifico può essere utilizzato per rimuovere la protezione anticopia dal software sul CD o DVD (detto anche effettuare il crack). In altri casi piu' fortunati è possibile "decompilare" un programma per ottenere il codice sorgente, come ad esempio se volessimo craccare le app della GTT o del bike sharing, ma questa e' un altra storia...
::: {.footnote}
::: {#fn:1} Francesco Vianello (30 agosto 1952 -- 3 maggio 2009), meglio conosciuto con il suo soprannome Fravia (a volte +Fravia o Fravia+), è stato un noto ingegnere del software inverso e hacker. Noto per il suo archivio web di reverse engineering. È noto anche per il suo lavoro sulla steganografia. Ha insegnato su argomenti quali l'estrazione di dati, l'anonimato, l'inversione pubblicitaria e l'ad-busting. NB: il subvertising non e' stato inventato da Bansky ma da Fravia! https://en.wikipedia.org/wiki/Fravia ↩ :::
::: {#fn:2} http://www.home.aone.net.au/~byzantium/orc.html ↩ ::: :::
Ultimo appuntamento per il ciclo PULP - La polpa dei libri. alla Blackout House.
E tu di che tecnologia ti fai? Umani e non umani, storia di una relazione un radiodramma dal libro:
Internet, Mon Amour
cronache prima del crollo di ieri (di Agnese Trocchi)
Mercoledì 18 Dicembre, h 21 alla Blackout House in via Cecchi 21/a
Un libro frutto degli incontri e delle presentazioni di C.I.R.C.E alla ricerca di un rapporto con le macchine non mediato dalle tecnologie del dominio. Racconti di ordinario (ab)uso tecnologico, raccolti in una cornice di fantascienza speculativa. Commentati e ordinati in cinque giornate: fuoricasa, relazioni, sex, truffe e una conclusiva ricreazione. Occorrente per partecipare: voglia di mettersi in gioco.
L'aniterrorismo aiuterà la Federazione Italiana Calcio a combattere il razzismo con un radar sonoro. GRANDE GIORNALISMO
Lo stesso personaggio che provò a vendere i dati di tor2web all'INTERPOL è stato arrestato per aver provato a spiegare la blockchain ai Nord Coreani.
Cogliendo il suggerimento della redazione informativa abbiamo fatto qualche accenno alla web-tax e critica alle varie proposte di regolamentazione delle big-tech.
L'undici Settembre del 1973 a Santiago il palazzo de La Moneda viene bombardato dall'aviazione cilena, nel mentre il presidente Salvador Allende rimane asserragliato nel primo piano del palazzo, da cui manda via radio il suo ultimo discorso alla Nazione, interrotto solo dai bombardieri e successivamente, dai militari guidati da Pinochet che segneranno la fine del cosiddetto "esperimento Cileno", del primo governo socialista e di chiara ispirazione Marxista formatosi vincendo le elezioni, senza passare per la lotta armata.
Nel primo piano del palazzo, vicino l'ufficio presidenziale i militari entrano in una stanza dalla forma esagonale, a ridosso dell'entrata si trova un cucinino, nelle altre cinque pareti sono presenti schermi di varia natura, al centro sono disposte circolarmente sette sedie in vetroresina, ognuna con una pulsantiera al fianco, che rimandano alla scenografia di Star Trek. Nella parete centrale è presente un vero e proprio monitor di un mainframe, un IBM 360/50, che fa susseguire una sfilza indecifrabile di numeri, mentre ai lati sono presenti vari schermi che presentano funzioni, grafici a flusso in evoluzioni. I militari pensarono di essere improvvisamente proiettati sul set di un film di fantascienza, e senza sapere come comportarsi, iniziano a punzecchiare i monitor con le baionette dei fucili, senza avere chiare di cosa si trattasse.
Questo segna la fine di Cybersyn, rinominato dal Guardian l'Internet socialista di Allende, in particolare la visione di una rete che avrebbe permesso di coordinare gli sforzi delle varie Cooperative, di orchestrare la produzione delle singole fabbriche senza avere un apparato burocratico verticale in stile sovietico e di soddisfarne la produzione senza un mercato interno in senso capitalista. E di Cybersyn andremo a parlare...
Il progetto, chiamato Cybersyn in inglese e Proyecto Synco in Spagnolo, era un ambizioso, molto ambizioso, tentativo di mettere in connessione l'economia cilena. Descritto dal Guardian come l'Internet socialista di Allende, non senza una ragione, era sicuramente avanti anni luce nel proprio periodo sia per la difficoltà tecnica, sia per l'acume critico posto nella progettazione, infatti come vedremo ogni dettaglio, dal design della stanza decisionale di cui parlavamo prima ecc. Aveva un preciso significato politico e filosofico. Anche in casi più a noi contigui, come le varie sventure di Internyet, nello sviluppo di una qualsiasi tecnologia raramente ne viene considerato il contenuto tecnopolitico e le implicazioni sociali, se non in senso utilitaristico dalla classe dominante.
Rimasto fuori dalle grandi narrative per decenni, al 40esimo anniversario del colpo organizzato da Pinochet ci fu un ritorno di interesse verso il progetto da parte dei media mainstream con il New Yorker, grazie anche alla pubblicazione del libro "Cybernetic Revolutionaries" della storica Eden Medina. Il progetto è interessante sia perché ricalca il progetto contemporaneo degli Stati Uniti: ARPANET, sia perché è affascinante vedere come sarebbe potuta nascere un infrastuttura informatica nel "Global South". L'argomento ha avuto un revival successivo quando è stato ripreso da Srnicek e Williams in "Pretendi il futuro" come esempio di avanguardia tecnica utilizzata da una forza rivoluzionaria.
La cosa interessante quindi è considerare Cybersyn come strumento politico, con lo scopo specifico di aiutare a pianificare un'economia decentralizzata. Considerando quindi anche i vincoli della Guerra Fredda, la nostra storia si svolge tra il Luglio 71 e il Settembre 73, con il governo Allende messo sotto pressione sia dall'interno che dall'esterno, cerchiamo di capire se Cybersyn possa veramente rappresentare quella terza via tra libero mercato e pianificazione centralizzata (URSS)
In 1970, the newly elected Popular Unity coalition government of Salvador Allende found itself the coordinator of a messy jumble of factories, mines and other workplaces that in some places had long been state-run, in others were being freshly nationalized, while some were under worker occupation, and others still remained under the control of their managers or owners. The previous centrist administration of Christian Democrat Eduardo Frei had already partially nationalized the copper mines, the producer of the country’s largest export. Frei’s government had also developed a massive public house-building program and significantly expanded public education, all with substantial assistance from the United States. Washington was fretful that if it did not pay for social reforms, it would witness social revolution within the hemisphere that it viewed as its own. Thus, substantial sections of Chile’s relatively small economy were already in the public sector when the socialists took over, stretching the bureaucracy’s management capability to its limit. A more efficient strategy of coordination was required.
Il 29enne Ferdinando Flores, capo della CORFO (Chilean Production Development Corporation), responsabile della gestione e coordinamento tra stato Cileno e le compagnie statalizzate, rimase affascinato dagli scritti di Stafford beer, studioso del neonato campo della cibernetica e consulente di ricerca operativa per varie corporazioni, campo della matematica che aveva interessato anche lo stesso Flores.
È interessante notare, e forse dopo ci fermeremo un attimino in più, come in particolare ai tempi della WWII divenne centrale una formulazione matematica di vari problemi riguardanti l'allocazione ottimale delle risorse, avendo ovviamente dei vincoli. Della cosidetta programmazione Lineare furono due i "fondatori": l'olandese-americano T. C. Koopmans e il sovietico Leonid Kantorovich, successimante in URSS la programmazione lineare divenne centrale nei piani quinquennali ed in generale nella pianificazione centralizzata. È interessante notare come questi metodi siano poi centrali nella distrbuzione logistica delle grandi corporazioni della vendita al dettaglio, oltre a tante altre similitudini interessanti tra multinazionali ed URSS sono raccolte nel libro "The People's Republic of Walmart", che fondamentalmente sostiene che corporazioni come Amazon e Walmart non siano altro che delle economie centralizzatre di scala che sono riuscite nell'obiettivo dell'Unione Sovietica, con tutti le controindicazioni che conosciamo, ma forse avremo modo di approfondirlo successivamente.
Nell'intervista di Medina a Flores questo riporta come fosse catturato dalla coerenza filosofica dei sue scritti sul "management cybernetics" potesse essere ben reciclata nella visione del socialismo democratico antiburocratico di Allende, permettendo ai lavoratori di partecipare alla gestione della produzione...
Il termine "cibernetica", specialmente affiancato da "management", a noi oggi ci suona ridicolo, riporta a quelle buzzwords commerciali (anche se è stato ampiamente surclassato da quantum) e mantiene un'aura che ci riporta ad i nostri meravigliosi tecno-utopismi ingenui, o anzi a delle distopie di serie B che si preferisca. Ma in fondo il campo della "cibernetica" nei primi anni '50 studiava come diversi sistemi- biologici, meccanici, sociali - gestivano dinamicamente le comunicazioni, decisione e azione. Il primo libro di Beer, CYbernetics and Management, uscito nel 1959, non faceva nemmeno riferimento ai computer, anzi approfondiva in maniera maniacale il funzionamento del sistema nervoso perifico tra varie specie biologiche, non dobbiamo quindi pensare ad una specie di scienza della gestione algoritmica, o a una teoria del taylorismo digitale.
Il campo della cibernetica iniziò a vedere la luce a cavallo della WWII, quando Norbert Wiener iniziò a studiare sistemi antiaerei, in particolare un sistema di feedback che permettesse all'utente umano di aggiustare il tiro in modo automatico. Fu rivelatoria l'utilità di progettare macchine con sistemi di controllo lineare, "se faccio questo otterò quest'altro".
Riportiamo un pezzo su Wiener: As Richard Barbrook recounts in his 2007 history of the dawn of the computer age, Imaginary Futures, despite the military engineering origins of the field, Wiener would go on to be radicalized by the Cold War and the arms race, not only declaring that scientists had a responsibility to refuse to participate in military research, but asserting the need for a socialist interpretation of cybernetics. “Large corporations depended upon a specialist caste of bureaucrats to run their organisations,” Barbrook notes. “They ran the managerial ‘Panopticon’ which ensured that employees obeyed the orders imposed from above. They supervised the financing, manufacture, marketing and distribution of the corporation’s products.” Wiener, and later Beer, on the other hand, conceived of cybernetics as a mechanism of domination avoidance: a major challenge that the managers of any sufficiently complex system face, according to Beer, is that such systems are “indescribable in detail.”
Dal canto suo Beer non credeva nella definzione comune di controllo come dominio, visto come oppressivo e autoritario, anzi è anche fin troppo ingenuo considerare ogni meccanismo sociale, biologico, econimico ecc. come un sistema di feedback lineare, dove l'agente controllato è semplicemente posto sotto stretta coercizione. Invece i suoi modelli spostavano lo sgiardo dal controllo del mondo esterno a cercare di identificare le condizioni di equilibrio tra i sottosistemi e di avere dei meccanismi di feedback che ne aiutassero a raggiungere la stabilità. Per lui un sistema può essere identificato da due dipoli (Deterministico/Probabilistico) e (Semplice/Complesso). Un sistema di comunicazione interno può quindi facilitare l'auto-organizzazione delle componenti di un sistema, in particolare un sistema di comunicazione ridondante, orizzontale e multi-nodo (decentralizzato)...
Allende era attratto dall'idea di una direzione razionale dell'industria, e sotto la raccomandazione di Flores, Beer venne assunto come consigliere. Il suo lavoro sarebbe stato implementare una rete di comunicazione in tempo reale, connessa da fabbrica a fabbrica, fino alla CORFO (simile al MISE), in grado di comunicare sia verticalmente che orizzontalmente e eprmettendo quindi di avere una risposta veloce dai vari nodi del sistema in tempi brevi. I dati raccolti sarebbero poi stati analizzati da un mainframe che avrebbe prodotto delle proiezioni statistiche sul possibile comportamento economico (es materie prime necessarie, qta prodotte ec.) In aggiunta il sistema avrebbe implementato una simulazione informatica dell'intera economia cilena, sistema soprannominato CHECO. Sfortunamente alla prima visita a Santiago, Beer dovette confrontarsi con la dura realtà: il Cile possedeva solo quattro mainframe IBM 360/50 acquistati nel '65, durante la presidenza di Montalva, di proprietà National Computer Corporation (ECOM), che ovviamente erano già usati da altri dipartimenti. A Beer venne affidato un computer, che insomma su quattro non è così male, e il suo primo compito fu di ingegnarsi per costruire una rete informatica, disseminata per tutto il Cile, composta da un solo computer!
Ma ovviamente ciò che conta è costruire una rete, non le singole macchine presenti ai nodi. Come soluzione, Beer decise di usare le telescriventi, o telex, come possiamo fondalmente vedere come delle macchine da scrivere collegate alla rete telefonica. Beer pensò che come prototipo sarebbe bastato collegare questi figliocci del telegrafo, al tempo in Cile più diffusi dei telefoni, al mainframe IBM lasciato a Santiago, che avrebbe continuato a fare da cervellone. L'idea di Beer era creare un sistema di feedback che collegasse i quadri di fabbrica e la CORFO: un gestore avrebbe mandato le informazioni sullo stato della produzione attraverso le telex alla National Computer Corporation. Lì un operatore avrebbe riportato questi dati in delle schede performate che inserite nel mainframe, che confrontando l'andamento con gli storici a dispodizioni, avrebbe cercato delle anomalie attraverso un software statistico. Se fossero trovate delle anomalie queste sarebbero state notificato indietro alla fabbrica e alla CORFO. Quest'ultima avrebbe aspettato del tempo per intervenire, dando quindi del margine di autonomia all'azienda, mettendo quindi anche il governo in condizione il governo di adattarsi alle varie difficoltà e necessità a mano che affioravano. In questo sistema di feedback circolare Beer vedeva sia un'alternativa più morbida alla burocrazia sovietica, sia un disincentivo a falsificare le effettive figure produttive come avveniva continuamente in URSS.
Vediamo come questo sistema non sia esente da critiche: innanzitutto bisogna considerare che il deficit strutturale portava comunque delle relazioni di potere implicite: il fatto che esistesse una singola unità di calcolo renedeva la rete dipendente dalla National Computer Corporation (ECOM) e dalla CORFO. Oltretutto essendo solitamente la telex ad uso di una singola figura dirigenziale nella fabbrica, questa non solo non avrebbe dato alcun beneficio al singolo lavoratore, ma anzi avrebbe reso ancora netta la condizione di alienazione della forza lavoro, rendendola succube oltre che dei quadri dirigenziali anche delle direttive del ministero. Questa visione va ridimensionata, dato che una parte della linfa del movimento nato in Cile nella coalizione di Unità Popolare di Allende era composto da movimenti sindacali e cooperative autogestite. Oltretutto bisogna considerare come la rete per funzionare chiedesse un'enorme quantità di lavoro umano, e a ben leggere non rassomigliava ad una specie di "piena automazione", anzi per l'appunto i dati che venivano macinati dal software andavano prima inseriti in delle schede perforate, poi oltre il monitor del mainframe la "decision room" era ricca di grafici che si susseguivano, costituiti da cartonati pre-disegnati che rassomigliavano dei flow chart ecc. Insomma era comunque il 71, la NASA usava ancora "calcolatori umani" almeno fino al '69
Lo stesso Allende, gli va riconosciuto, appena divenne familiare con il funzionamento di Cybersyn, spinse Beer ad espandere le sue potenzialità "decentralizzanti, partecipative ed anti-burocratiche". Il desiderio di Allende per Projecto Synco che non fosse un'imitazione tecnocratica della pianificazione economica simili-sovietica, ma anzi uno strumento emancipatorio in mano ai lavoratori fino alla catena di montaggio per prendere parte ai processi decisionali. Il suo entusiasmo impressionò Beer che lo estese oltre le aziende nazionalizzate.
Per spendere ancora due parole sulla situazione cilena, ancor prima della elezione della coalizione di Unità Popolare, gli USA spesero milioni nella propaganda contro la sinitra ed in support dei Democristiani. A seguito della nazionalizzazione dell'industria del rame, supportata anche dai Democristiani, gli USA non vedendo un indennizzo tagliarono le linee di credito, le multinazionali a cui apparteveano le miniere cercano di bloccarne l'export. I padroni delle fabbriche e delle terre si rivolsero ai tribunali cercando di bloccare le riforme, la destra chiese apertamente ai militari di prendere il controllo, opzione poi supportata dalla CIA. Mentre un sostanziale aumento dei salari riuscì a diminuire la disoccupazione e portò una crescita del reddito nazionale del 8%, questo embargo de facto mise in difficoltà l'economia cilena e limitò la disponibilità di beni di consumo. La condizione politica andò a radicalizzarsi, e questo portò delle notevoli difficoltà al gruppo di Beer. I pochi ricercatori esperti in ricerca operativa dovettero studiare le peculiarità di ogni singola azienda per comprendere quali indicatori il software avrebbe dovuto traciare e quali no. Nonostante ciò il modello di CHECO iniziò anche a tenere in considerazione fattori macroeconomici per dettare la simulazione dell'economia cilena, come gli investimenti e l'inflazione. Il team ad un certo punto si reso conto anche della difficoltà nell'ottenere uno storico affidabile di informazioni, i dati nell'industria mineraria tenevano traccia solo degli ultimi due anni, nell'agricoltura erano pressoché inesistenti, in molte industrie gli ingegneri erano resti a collaborare, vista anche una fedeltà politica all'ancien régime. Alla fine CHECO per simulare l'economia cilena sfruttava solo i dati sull'inflazione, lo scambio di valuta estera e il reddito nazionale, oltre ad alcuni modelli semplifcati specifici di alcuni settori.
Nel libro di Medina viene sottolineata più volte la propensione di molti ingegneri a continuare a rispondere alla precedente gerarchia nella fabbrica, anche se questa era stata nazionalizzata, ad esempio riferendo le informazioni prima alla direzione, poi a manager o quadri di medio livello, e successivamente ai responsabili della produzione. Questo ovviamente è stato un enorme ostacolo all'obiettivo, espresso sia da Beer che da Allende, di rendere il sistema quanto possibile partecipativo, decentralizzato e anti-burocratico, il ruolo dei lavoratori nel processo decisionale diventava ovviamente trascurabile. Oltretutto dal libro di Medina notiamo che proprio da una fascia di lavoratori altamente specializzati, appunto ingegneri e direttori della produzione, venne un'enorme resistenza durante il processo di modellazione delle fabbriche, ma di crumiraggio in generale, quando era necessario per la CORFO conoscere a quali metriche affidarsi, questo andava anche di passo con il fatto che Beer fosse concentrato sulla ricerca operativa, materia assente dai corsi universitari in Cile per cui quindi la formazione già scarseggiava.
Queste difficoltà comunque non impedirono a Cybersyn di dimostrare il suo potenziale, permettendo, anche nella sua forma embrionale,a gruppi di lavoratori e cooperativi di auto-organizzare la produzione e distribuzione durante lo sciopero dei camionisiti del 15 Ottobre 1972, rilanciato dai settori conservatori dell'industria e fiancheggiato dalla CIA, che avrebbe altrimenti messo in ginocchio l'economia cilena e quindi il governo.
Durante lo scioepro Cybersyn riuscì appunto a dimostrare il suo potenziale. La rete permetteva al governo di sapere dovere la scarsità di un bene si accentuava, dove si trovassero gli autotrasportari che non partecipavano al boicottaggio, e in questo modo redigere la distribuzione per venire in contro alle necessità. L'approccio non era verticale, dettato dai ministri seduti a La Moneda, ma anzi i settori delle aziende nazionalizzate e delle cooperative si organizzarono nei “cordónes industriales”, in modo da poter coordinare mutualmente lo scambio di materie prime e carburante.
Breve nota sui cordones: The autonomous operation of these cordónes mirrored forms of spontaneous worker and community self-direction that appear to pop up regularly during times of revolutionary upheaval, or otherwise at times of crisis or natural disaster, whether we call them “councils,” “comités d’entreprises” (France), “soviets” (Russia), “szovjeteket” (Hungary) or “shorai” (Iran). Liberal commentator Rebecca Solnit describes in her social history of the extraordinary communities that emerge at such extreme moments, A Paradise Built in Hell, how, far from the chaotic, Hobbesian war of all against all of elite imagination, it is calm, determined organization that on the whole prevails. She repeatedly discovered how remarks by those attempting to survive through earthquakes, great fires, epidemics, floods and even terrorist attacks that despite the horrors experienced, reflect how truly alive, full of common purpose and even joyful they felt. It is no wonder that a rich, long-lived stream of libertarian socialist thought, running through the writings of the likes of Rosa Luxemburg, Anton Pannekoek, and Paul Mattick emphasizes such organization, such “councils,” as the foundation of the free society they wish to build. The great challenge is the scaling-up of such democratic, market-less organization. This is the distilled version of the economic calculation debate: relatively flat hierarchies seem perfectly capable of democratically coordinating production and distribution for a limited number of goods and services, for a small number of people and over a limited geography. But how could the myriad products needed by a modern, national (or even global) economy—with its complex web of crisscrossing supply chains, thousands of enterprises and millions of inhabitants (billions, if we consider the global case)—be produced without vast, metastasizing and inefficient bureaucracies? How are the interests of the local production node integrated harmoniously with the interests of society as a whole? What may be in the interest of a local enterprise may not be in the interest of the country. What happened in Chile in October of 1972 may not be the definitive answer to these questions, but it hints at some possibilities.
Il 15 Ottobre, Flores si convise che avrebbero dovuto sfruttare ciò che avevano imparato dallo sciopero per definire la struttura definitiva di Cybersyn. Il comando centrale restava inserito nel palazzo presidenziale, connesso attraverso le telex a numerosi centri operativi specializzati nei diversi settori. Il governo avrebbe ricevuto ogni minuto un aggiornamento dalle varie zone del paese, rispondendo alle richieste e mandando ordini. La rete non doveva rimanere centralizzata, ma anzi permettere la connessione tra i partecipanti, quando quindi un'azienda avrebbe avuto bisogno di materiale o carburante la risposta sarebbe stata girata a chi nelle vicinanze ne aveva a disposizione. Senza eliminare quindi la gerachia verticale, la rete avrebbe connesso il governo con le organizzazioni orizzontali presenti nel paese.
Medina scrive: “The network offered a communications infrastructure to link the revolution from above, led by Allende, to the revolution from below, led by Chilean workers and members of grassroots organizations, and helped coordinate the activities of both in a time of crisis.” She argues that Cybersyn simply faded into the background, “as infrastructure often does.”Il sistema non avrebbe quindi ordinato ai lavoratori cosa fare, ma avrebbe permesso alle singole realtà radicali di gestire i propri bisogni.
La strategia di Flores ad ogni modo funzionò, le riserve di cibo si mantennero a circa il 70% del normale, la distribuzione di materie prime continuò normalmente fino al 95% del normale e di carburante al 90% per le attività necessarie. I report erano basati su dati raccolti nei tre giorni precedenti, 15-17 Ottobre, mentre secondo Madina i report precedenti del CORFO richiedevano 6 mesi per essere elaborati. Per la fine del mese lo sciopero era quasi concluso, senza essero riuscito a bloccare l'economia cilena. In un intervista Beer riporta che un ministro gli riferì che senza Cybersyn l'economia cilena sarebbe collassata il 17 Ottobre.
The result inspired Beer to envision still-wider applications of cybernetics to support worker participation. This former international business consultant had moved in an almost anarcho-syndicalist direction (anarcho-syndicalism is the political philosophy arguing for a government-less society coordinated directly by workers through their trade unions): “The basic answer of cybernetics to the question of how the system should be organised is that it ought to organise itself.” Science and technology could be tools used by workers to help democratically coordinate society, from the bottom up, leaping over the centralization/decentralization dichotomy. Instead of having engineers and operations researchers craft the models of factories, programmers would be under the direction of workers, embedding their deep knowledge of production processes into the software. Instead of the Soviet model of sending large quantities of data to a central command point, the network would distribute, vertically and horizontally, only that amount of information that was needed for decision making. For Beer, Medina writes, Cybersyn offered “a new form of decentralised, adaptive control that respected individual freedom without sacrificing the collective good.”
Dalle montagne del sud est cibernetico, una guida DIY per rubare alle banche. Torna Phineas Fisher o hackback, l'hacktivista responsabile dell'attacco ad hacking team l'azienda milanese che si occupa di sicurezza offensiva e vende trojan di stato a governi di tutto il mondo, anche il nostro. Del leak di un paio di anni fa eravamo riusciti a rimettere in piedi l'infrastruttura software alla base di galileo aka remote control system di cui abbiamo scritto un approfondito documento sul nostro sito.
Intervista a Gus del Tor Project!
Tre giorni di incontri e dibattiti (con tanti contenuti) per esplorare insieme l'ecosistema digitale.
Proveremo, insieme, ad andare a fondo su temi come la sicurezza, la privacy e l'ecologia. Spesso ci sembrano parole vuote e prive di significato dato che vengono quotidianamente abusate perché accattivanti e alla moda.
Non ci vogliamo accontentare di riempirci soltanto la bocca con queste parole, ma vogliamo capirle: comprendere cosa si portano dietro e quali implicazioni hanno per noi; indagare la relazione tra questi concetti, le nostre vite, quello che studiamo e che ci piace. Ci fanno orrore le macchine chiuse, per questo non vogliamo dare solo delle risposte, ma discuterne assieme e confrontarci per aprirle e vedere come funzionano!
by Gustavo Gus 19/11 h16-18 - aula D
Scopriamo Tor, uno strumento per poter navigare in modo sicuro ed anonimo, usato tutti i giorni per usare la rete in sicurezza combattendo il tracciamento e la censura. Ne Parleremo con il leader del community team del Tor Project.
by Hacklab Underscore Torino 20/11 h16-18 - aula B
Vi portiamo a spasso per un giretto dietro le quinte della società del controllo, provando con mano vie di fuga digitali e tecniche di autodifesa.
Non forniremo soluzioni facili o magiche, non siamo venditori di pentole, toccherà accendere il cervello, respirare, sbagliare, darsi il tempo di capire, portarsi i compiti a casa.
Daremo un'infarinatura su queste tematiche a nostro avviso sempre più importanti nella nostra società, dove gli ingredienti saranno paranoia quanto basta e uno spazio conviviale dove poter riprendere consapevolezza degli strumenti digitali, cercando di usarli evitando di fare male a noi stessi e ai nostri simili.
by Le Dita nella Presa da Radio Onda Rossa h16-17.30 21/11 - aula B
Si dice che la digitalizzazione inquina meno della carta. Sara' vero? Tiriamo fuori il nostro approccio hacker (cioè curioso e irrispettoso delle verità calate dall'alto) e andiamo a vedere quanto c'e' di vero in questo luogo comune. Usiamo la metodologia della Life Cycle Analysis, quindi consideriamo gli oggetti tecnologici in maniera integrata con la società in tutte le loro fasi: da dove viene la materia prima per fare i telefoni? Chi li produce? e quando non funzionano più che fine fanno? E se volessimo fare un dispositivo più sostenibile, come potremmo fare?
Il dibattito parte da una serie di trasmissioni di approfondimento andate in onda su Radio OndaRossa nell'ultimo anno.
by StakkaStakka da Radio Black Out 21/11 h18.30-19 - aula B
Grandi sorprese e ricchi premi!
Abbiamo parlato un po' del nostro sistema amnesico preferito. Tails!
Nei prossimi mesi andremo in giro nei peggiori posti di torino e dintorni a fare un po' di chiacchiere sui progetti che stiamo portando avanti, sui ragionamenti che ci stiamo facendo nell'ultimo periodo e soprattutto per raccogliere feedback, critiche e suggerimenti.
Domenica 27 Ottobre saremo a L.A. Miccia di Asti dalle 17 in poi parleremo di social network e presenteremo cisti.org
Per il compleanno del Barocchio tra una birretta e un'altra faremo una chiacchiera meno strutturata e piu' aperta a chiarire dubbi e domande.
Siete tutti invitati ai festeggiamenti per la riapertura dei laboratori del Gabrio, con la new entry Pole Dance Ribelle!
Vogliamo farvi conoscere i collettivi nati in questi 6+ anni di occupazione di via Millio, condividendo con voi il frutto delle nostre gioie e fatiche, con esposizioni, attività aperte e dimostrazioni pratiche.
E questa invece la prepariamo per bene quindi non potete mancare il 17 Novembre dalle 17.30 al Gabrio!
Il 18 dicembre saremo invece a radio blackout per un imperdibile radiospettacolo per presentare "Internet, mon amour" scritto da Agnese Trocchi di circe
Per questa puntata niente posta del cuore dell'internet, abbiamo parlato un po' di Torino citta' del futuro e poi dal minuto 11 circa, una bella intervista con Agnese e Karlessi di Circe che ci parlano di Internet mon amour, un libro di "cronache prima del crollo di ieri".
Dal minuto 58 circa invece rimandiamo una preparatissima puntata da le dita nella presa, (tramissione sorella maggiore di stakkastakka in onda su radio onda rossa a roma) riguardo "all'analisi della comunicazione su Facebook. Non per parlare di temi (pur interessanti) come privacy, controllo, profilazione, ma per valutare le possibilità che Facebook (non) offre a chi volesse utilizzarlo per fare una comunicazione politica."
Tre fermati per aver condiviso quotidiani su telegram e whatsapp
HELPDESK A/I è tornato per notificare problemi, chiedere aiuto ed effettuare richieste
Esistono dei programmi che leggono i feed.
Se hai Android, ti consigliamo Flym o Feeder.
Per iPhone/iPad puoi usare Feed4U
Per il computer fisso/portatile consigliamo Feedbro, da installare all'interno di Firefox o di Chrome e compatibile con tutti i principali sistemi operativi, andando a visitare un sito che non contiene l'iconcina arancione con i tre archetti c'e' un comodo tasto "trova feed in questo sito".
se non volete tutti i podcast di tutte le trasmissioni potete filtrare solo quelle delle trasmissioni che vi interessano, ad esempio:
insomma avete capito :)
se ci volete mandare i vostri feed preferiti non esitate :)
hackmeeting (feed di varie realta' del giro hackmeeting):
XM24 resta nel cuore dell'underscore ebbasta.
Dopo lo sgombero annunciato di XM24 da parte del comune di Bologna. Lo storico centro sociale xm24 e' stato smantellato e con lui gli spazi, l'hacklabbo i bagni costruiti per l'hackmeeting, la ciclofficina, il cinema e il bar.
Quello che non sono riusciti a smantellare e' la forza e la determinazione delle persone che a Bologna continueranno a organizzarsi insieme e a gridare forte contro il nulla che avanza.
Tutta la nostra solidarieta' alle compagne ed i compagni di xm24!
Purtroppo gli ultimi minuti della puntata non sono stati registrati a causa di un surriscaldamento dei nostri turbo-sistemi!
Baco di uatsap e diretta con l'autore di "Cosa c'è nel listino prezzi della Procura di Milano per le intercettazioni"
Questa storia incomincia quando come hacklab veniamo invitati a librincontro per presentare il nostro progetto cisti.org. Ovviamente siamo molto felici di raccontare il lavoro degli ultimi mesi in una tre giorni ricca di presentazioni da condividere con amic* e compagn*.
Una settimana fa, a latere di una riunione di librincontro, nasce la possibilità di ospitare l'editore Nautilus nel nostro programma stakkastakka sulle libere frequenze di radio blackout. Sembriamo i più indicati ad ospitare questa intervista considerando i temi della nostra trasmissione ed il libro di Nautilus "Critica al transumanesimo".
Non ci facciamo molte domande, anzi nessuna, fissiamo un'intervista per lunedì nel nostro programma. Ci fidiamo, ci fidiamo con leggerezza ed ingenuità della bontà della presentazione dato che era già inserita nel programma ufficiale di librincontro.
Ci scambiamo qualche email con Claudio (l'ospite ed editore di Nautilus) per concordare i tempi e solo domenica riceviamo l'indice del libro. Non nascondiamo di non esserci mai molto interessati ai discorsi sul transumanesimo, l'unica chiave di lettura che ci ha coinvolto sul tema è una "critica al transumanesimo" di stampo anticapitalista, una critica al transumanesimo come forza economica ed egemonica che prova a legittimare il dominio dei grandi monopolisti della Silicon Valley sulla nostra società, finanziando master universitari e lobby politiche.
Sicuramente il nostro ospite era a conoscenza dei temi spinosi sollevati dalle persone all'ascolto, certamente piu' sgamate di noi sul tema, domande a cui ha preferito non rispondere e a cui noi abbiamo dato poco seguito, su questo dobbiamo fare autocritica.
A causa della nostra leggerezza nel preparare l'intervista, non potevamo immaginare le idee sostenute da chi questo libro l'ha scritto. Cosi' nel pomeriggio arrivano le prime segnalazioni e critiche, allora ci mettiamo a cercare e arriviamo sul sito di "urlo della terra". Quello che leggiamo, a partire dall'indice, ci fa accapponare la pelle:
"Ecologismo e transumanismo connessioni contro natura, dove trans-xeno-femminismo, queer e antispecismo incontrano la tecnoscienza, Il cyborg: una metafora che si incarna, un dispositivo di potere e la fine di ogni liberazione, Vaccini: armi di distruzione di massa.
Andando avanti nella lettura le cose peggiorano e vogliamo fare alcune considerazioni.
Ci assumiamo la nostra responsabilità nell'essere stati cosi' ingenui e poco informati nel preparare questa intervista e ci scusiamo con tutte le persone, cyborg e programmi che si sono sentiti offesi.
Come spesso sottolineiamo, la tecnologia non e' neutra ma rispecchia le idee, i percorsi e la visione del mondo di chi la produce, la ricerca, la finanzia, e nel contesto del capitalismo, del razzismo e del patriarcato la tecnologia spesso significa sorveglianza, sfruttamento e coercizione. Ma per noi la tecnologia e' anche uno strumento di liberazione, ed e' per questo che suggeriamo di usare i server autogestiti, di utilizzare software libero, per questo ci sbattiamo per creare tecnologie alternative alle piattaforme del capitalismo con progetti come cisti.org, per questo partecipiamo ogni anno alla costruzione di hackmeeting.
La riappropriazione dei saperi, delle tecniche e degli strumenti a beneficio delle liberta' personali e collettive e' uno dei punti chiave del nostro agire.
Per essere chiari e per rispondere meglio alle domande ricevute in trasmissione, consideriamo ovviamente la possibilita' di abortire e la possibilita' di effettuare una transizione di genere come ottimi esempi di tecniche di autodeterminazione ed emancipazione personale.
Ci auguriamo che quanto scritto sopra chiarisca la nostra posizione, ed è alla luce di questo che abbiamo deciso (non senza difficolta') di annullare la nostra presentazione a librincontro programmata alle 16:00 di sabato.
underscore hacklab / stakkastakka
Abbiamo parlato con l'autore di "Critica al transumanesimo – Nautilus" che sarà presentato a librincontro.
Diretta con gli amici di eigenlab di Pisa per parlare della loro esperienza e del crowdfounding per un bellissimo progetto per la loro autosufficienza energetica.
Nell'ultimo hackmeeting ospitato a Firenze nel 2011 i Maya annunciavano la fine dei tempi. Nonostante l'umanità appaia lavorare alacremente in questo senso, per ora siamo in stand by: persistiamo con ironia nell'inferno dei viventi. I tempi non somo troppo felici, nè facili, ma non per questo abbiamo perso la voglia di giocare e smontare il mondo. Grosse nubi di ignoranza e velleità autoritarie producono una pioggia acida che corrode la società tutta. Serve un ombrello robusto, per questo ci prepariamo ad un nuovo hackmeeting:
30/31 maggio, 1/2 giugno a Firenze, presso il csa nEXt Emerson.
Dobbiamo fare la nostra parte, e giocare dalla parte giusta.
Se una visione critica della tecnologia è sempre stata necessaria, oggi vorremmo mettere l'accento sul metodo che negli anni abbiamo proposto come linea guida del nostro agire: l'autogestione.
A un modello sociale edificato sulla paura e l'emergenza, sul profitto elevato a ago della bilancia dell'umane vicende e incantesimo di guarigione per qualsiasi male, vorremmo opporre il nostro modo di stare al mondo condividendo beni e saperi. Non vorremmo parlarne nei termini di una vaga idea o generica linea guida o aspirazione, ma in qualità di pragmatica capacità organizzativa basata sulla solidarietà e la messa in comune di conoscenze, metodi e mezzi. Crediamo fortissimamente nella contaminazione delle discipline: dall'informatica alla fisica, dalla meccanica alla filosofia, dall'agricoltura alla matematica, dalla logica all'arte, dall'architettura all'antropologia, e continuate voi con gli abbinamenti che preferite.
Siamo persone curiose in ogni campo, e riconosciamo la necessità di intrecciare le esperienze per indagare la complessità del reale, senza arroganti semplificazioni di comodo.
Per farsi un'idea degli argomenti trattati ad hackit puoi leggere i programmi degli anni passati su https://www.hackmeeting.org e chi siamo e altre info.
Se condividi il nostro approccio, e vuoi partecipare a questo gioco che dura 4 giorni, ma più probabilmente tutta la vita, ti chiediamo di impegnarti un poco per produrre dei contenuti: più la comunità contribuisce, più hackit sarà interessante.
Allestiremo tre sale, più un quarto spazio jolly, per discussioni improvvisate o per seminari che sforano sull'orario previsto. Non ci sono rigide indicazioni riguardo alla durata degli interventi, tieni però presente che sebbene il tempo sia una dimensione dell'anima, la fisiologia umana a ricondurlo a una certa finitezza del medesimo, inoltre incastrare una chiaccherata di 31 minuti e 14 secondi in una griglia oraria è molto più difficile rispetto ad una di 1 o 2 ore.
Per orientarsi possiamo offrire qualche indicazione basata sulla più che ventennale esperienza di hackit.
Se l'intervento è più una suggestione o non te la senti di parlare per troppo tempo, sono previsti alcuni momenti dedicati ai "ten minutes talks". Di solito si tengono a fine giornata, nella sala più capiente e qualcuno si occuperà di segnalare lo sforamento eccessivo dei dieci minuti. Puoi segnarti direttamente in loco durante hackit, oppure iscriverti alla lista
hackmeeting(at)inventati.org
e mandare una mail con subject
[TEN] titolo
nel messaggio una breve spiegazione
Se invece intendi proporre un intervento più lungo
manda una mail con subjet
[TALK] titolo
e le seguenti informazioni nel messaggio:
La griglia degli orari viene creata, comunicando via via i cambiamenti in lista cercando di rispettare le preferenze in termini di orari/giorni.
Durante hackit verrà delineato un percorso di base, quindi non intimidirti: divulgativo o tecnoSciamanicoDiIncomprensibileArgomentoDiOscuraMagiaNeraIntriso, se fatto con passione e impegno tutto può avere un senso e essere utile per qualcun'altro.
Se non hai un seminario da proporre, ma ti piacerebbe sentire parlare di qualche argomento in particolare, può seguire gli stessi passaggi indicati per la proposta dei talk, ma usare come subjet
[TALK RICHIESTA] titolo
e una breve spiegazione della richiesta
Vi scriviamo per informarvi della raccolta fondi che eigenLab ha da poco lanciato. Come probabilmente saprete, da quasi un anno l'amministrazione centrale dell'Università di Pisa ha spento l'interruttore che fornisce energia elettrica al nostro laboratorio nel Polo Fibonacci, dopo anni di convivenza fertile in quel luogo. Molte (anche se non tutte) le attività che il collettivo porta avanti hanno subito un brusco arresto: ai link in calce potete leggere i comunicati che abbiamo scritto per raccontare tutta la vicenda [1-3]. La nostra intenzione è quella di continuare a vivere quel posto, perché riteniamo fondamentale mantenere aperti spazi di scambio e autoformazione in una università sempre più chiusa alle esperienze devianti. Per questo motivo vogliamo installare dei pannelli solari sul tetto del nostro casottino che ci permettano di usare almeno un computer e di illuminare il posto di sera: per realizzare ciò ci serve l'aiuto di tutt coloro che possano contribuire per permetterci di raggiungere il nostro obiettivo. Questa https://eigenlab.org/pannellisolari/ è la pagina relativa alla campagna raccolta fondi con informazioni su come effettuare una donazione, e se ovviamente un aiuto in tal senso è molto gradito, saremmo altrettanto content se decideste di diffondere la chiamata alle vostre conoscenze.
Vi ringraziamo per tutto l'aiuto che darete, Ci vediamo nelle lotte! I ragazzi e le ragazze di eigenLab.
[1] https://eigenlab.org/2018/06/verranno-al-contrattacco-con-elmi-ed-armi-nuove/
[2] https://eigenlab.org/2018/07/che-lignoranza-fa-paura-ed-il-silenzio-e-uguale-a-morte/
[3] https://eigenlab.org/2018/08/eppur-si-muove/
Abbiamo parlato di phishing a partire da questa guida di security without borders.
Usciamo dai laboratori dell'hacklab _TO ed entriamo nel camper per lo straordinario tour di presentazioni di alcuni dei progetti che ci hanno fatto faticare in questi ultimi mesi!
Tutti questi incontri e tutti (i numerosi) che verranno sono warm-up in vista dello splendido hackmeeting che quest'anno si terrà a Firenze presso il Next Emerson dal 30 Maggio al 2 Giugno!
Siateci!
Abbiamo parlato del malware exodus con chi ha realizzato l'analisi tecnica.
Oggi nasce cisti.org!
Uno spazio digitale liberato.
Un server scapestrato e autogestito.
Anticapitalista, antifascista, antirazzista e antisessista.
Nei laboratori dell'hacklab underscore abbiamo pensato di chiamarlo cosi' perche' crediamo sia importante prendersi cura innanzitutto delle comunita' affini sul territorio e noi di questa grande famiglia -con tutti i suoi scazzi e le sue divergenze- ci sentiamo sicuramente parte.
Cisti è un "contenitore" di strumenti radicali per scrivere, comunicare e condividere. Radicale perchè vuole essere uno spazio autogestito che mette al centro la sicurezza ed il benessere delle identità che lo vivono.
Nei prossimi mesi faremo degli eventi per presentare cisti.org in giro così da discuterne apertamente insieme. Questo 6 aprile saremo al CELS per presentare cisti in valle, nel mentre iniziamo gia' a parlarne a grandi linee cosi' da poterne dare un'idea e cominciare a raccogliere critiche e suggerimenti.
Il pad e' uno strumento che noi usiamo spesso e crediamo possa essere utile a molte persone. Contiene servizi per gestire collaborativamente testi, progetti, consensi e altro. Il pad ha molte funzionalita', che potete sperimentare liberamente, ci soffermiamo solo sul fatto che tutto quello scritto sul pad è cifrato ed impossibile da leggere o modificare per chiunque non abbia il link. Questo significa che nessuno puo' accedere ai vostri testi senza il vostro consenso (nemmeno noi).
Gancio nasce da carta canta, ci è sembrata una gran bella idea e abbiamo pensato che un posto che raccogliesse gli eventi fosse fondamentale. Ne abbiamo parlato questo lunedi' 18 marzo su stakkastakka, la trasmissione che curiamo su radioblackout. Vi hanno cancellato l'evento su facebook? "potete scrivere sull'agendona la polentata a canicatti' di sabato alle ventuordici?" "diofa ma ancora nessuno ha mandato le date a carta canta?", avete organizzato due concerti hardcore nella stessa serata? "cosa faccio stasera?" gancio risponde a queste e altre domande. Lo stiamo scrivendo noi da zero e lo adotteranno probabilmente altre citta' (i bolognesi di bida.im gia' lo vogliono, i romani lo bramano, i milanesi e i fiorentini li convinciamo facile :P). Insomma lo stiamo pensando facilmente adottabile/adattabile da altre comunita', che ci sembra sia un bisogno non solo torinese (e' software libero!). L'abbiamo scritto in poche notti, quindi, soprattutto nel primo periodo, se qualcosa non funziona e' normale. Scrivetecelo o aiutateci a risolverlo.
Mastodon e' un social network. Sappiamo che per molti e' una brutta parola, anche per molti di noi che sui social network commerciali non ci sono mai stati. I movimenti (e in generale le persone) hanno pero' bisogno di comunicare e fondare la nostra comunicazione su piattaforme orientate esclusivamente al profitto, al controllo e alla collaborazione con le forze di polizia non e' una scelta lungimirante. Nella ricerca di strumenti validi verso altre direzioni, abbiamo trovato mastodon. Mastodon non ha azionisti, e' della comunita', non e' controllato da nessuno centralmente, e' federato, non e' facile da censurare, non ti chiede i documenti ne' la tua vera identita'. Mastodon nasce circa tre anni fa con una prima forte spinta dalla comunita' LGBT alla ricerca di uno spazio digitale dove potersi esprimere serenamente. Ora i nodi che fanno parte della rete mastodon sono tanti, più di 6mila con circa due milioni di utenti. Spiegare mastodon in due righe non e' immediato, altrimenti non dovremmo alzare il culo per venire in giro a raccontarlo. Potete trovare qua alcune delle riflessioni che ci hanno accompagnato in questo percorso. Potete anche guardare un breve video esplicativo qua video.
piccolo glossario per fuorisede:
Lo puoi utilizzare come vuoi, tipo "fai cisti che ti fai male" oppure "fai cisti al palo mentre fai retro" anche se in realtà il termine viene utilizzato piu che altro in contesti "drogheggianti"...tipo "fate cisti se arriva qualcuno..." infatti la frase per intero è "CISTI MADAMA (la polizia, i carabinieri....) CI HA VISTI!" da https://www.bruttastoria.it/dictionary/cisti.html
Famoso anche il servizio di radio blackout "cisti viaggiare informati" per segnalare posti di blocco, controllori e in generale presenze sgradite sul territorio
Se vieni a Torino e dici: "ehi, ci diamo un gancio alle 8?" nessuno si presenterà con i guantoni per fare a mazzate. ... è un'espressione tipica del torinese, darsi un gancio vuol dire beccarsi alle ore X in un posto Y
A: dov'e' il gancio per andare al corteo domani?
B: non so ma domani non posso venire, ho gia' un gancio per caricare la
distro.
liberamente adattato da
https://forum.wordreference.com/threads/avere-un-gancio.2356288/
Abbiamo fatto una diretta con gli amici di bida.im parlando della loro istanza. Ma era tutta una scusa per lanciare la nostra istanza su mastodon.cisti.org! Iscrivetevi in nuovo nodo del fediverso!
Per ulteriori informazioni sull'associazione di mutuo soccorso si può fare riferimento al loro sito.
Nell'approfondimento di questa puntata abbiamo spiegato alcuni dei consigli riportati nel nostro comunicato in solidarietà all'Asilo Occupato.
Non succedeva da anni che l'hacklab rimanesse chiuso il mercoledi' sera, ma il vento di internet ci ha portato una notizia talmente brutta che oggi non stiamo al pc, usciamo per strada: hanno sgomberato l'asilo e hanno arrestato 6 persone.
Da allora e' passata una densa settimana, tra strade piene di divise di
ogni colore, ma anche piene di nuove compagnie.
Le emozioni sono tante e l'unico istinto è quello di unirci a questo
grande abbraccio di solidarietà che si stringe attorno all'Asilo, un
luogo che, contrariamente a quanto dipinto dai pennivendoli de La
Busiarda -e non solo- negli ultimi venticinque anni, è stata una delle
poche realtà torinesi ad opporsi con coraggio ad un mondo di muri,
macerie, sfruttamento e solitudine.
Ci sentiamo quindi di espiremere solidarieta', vicinanza e complicita'
con chi lotta contro lo sgombero dell'Asilo!
Ma insieme alla solidarietà vogliamo mettere le nostre conoscenze a disposizione di chi, in questi giorni, sta mettendo in gioco la propria libertà e creatività per una lotta che ha ormai superato la questione specifica dello sgombero dell'Asilo.
Ci sembra utile quindi dare alcune dritte su come usare al meglio gli strumenti tecnologici a nostra disposizione, cercando di limitare i danni a noi e a chi ci sta intorno.
Queste scelte richiedono impegno, tempo e confronto per argomentare come mai consigliamo questo o quello strumento, per questo stiamo preparando delle giornate a tema dove affronteremo insieme questi temi, nel frattempo considerateli come consigli ragionati.
Lascia il telefono lontano da dove chiacchieri, possibilmente lascialo ACCESO a casa.
L'ondata di repressione che ci ha travolti per le strade della città si ripercuote anche sui social media: oggi è stato oscurato il profilo facebook di Macerie, che si è preoccupata, insieme ad altri collettivi, di aggregare informazioni, testimonianze e immagini dello sgombero e delle manifestazioni di solidarietà che ne sono seguite.
Che per Facebook, come per altre piattaforme corporative, informare e organizzare la protesta sia una colpa è cosa nota, visto anche con che facilità collaborano con le forze della repressione. Sarebbe come aspettarsi di poter avere liberta' di parola su La Busiarda
Come hacklab underscore vogliamo dare un contributo in questa direzione, sentiamo l’esigenza di creare spazi sociali “liberati”, anche nel digitale, dove le persone possano sentirsi accolte e libere dalla pressione della società della performance, creando strumenti per far interagire comunità di sangue e carne, in grado di produrre alternative (anche) alle piattaforme del capitalismo.
Quindi noi ci stiamo organizzando in questa direzione e col medesimo intento di aiutare le comunità ad organizzarsi nel territorio, stiamo anche progettando un calendario di movimento condiviso, un qualcosa tra l'agendona di radio blackout e la bellissima carta canta, ne scriveremo quanto prima.
Nel mentre vi consigliamo delle letture di autodifesa digitale che possano aiutare ad approfondire questi argomenti.
Per sapere come mettere in sicurezza i nostri dispositivi e le nostre comunicazioni vi consigliamo le seguenti letture:
Per una lettura piu' vicina alla questione perquisizioni e sequestri ci sentiamo di consigliare il libricino "Stop Al Panico" (a cui abbiamo collaborato come comunità hackmeeting alla parte digitale) e Vlad (vedemecum per gli abusi in divisa) http://www.abusivlad.it
Se avete domande, potete inviarcele via mail all'indirizzo: underscore@autistici.org inoltre tutti i lunedì dalle 13 alle 15, potete interagire con noi durante la trasmissione stakkastakka sulle libere frequenze di radio blackout.
Proveremo a rispondere ad ogni dubbio tecnologico (e non) al meglio delle nostre capacità.
stay safe, fate cisti
tutti liberi, tutte libere!
Anonimato III, ripartiamo dal beneamato Ross.
Approfondimento sulla computazione
In nome della trasparenza ed honestà mettiamo qua direttamente gli appunti che erano stati scritti per questa puntata. Non è assolutamente un modo per evitarci del lavoro ;)
FATE UNA INTRO!!!! NON SI SA DI COSA STATE PARLANDO!
Spieghiamo perché ci interessiamo di computazione, in particolare riportiamo le differenze più interessanti, abbondando di spiegoni: sistemi lineari- complessi - caotici, problemi computabili - intrattabili, modelli discreti - continui
La discussione su cui partiva, tipo Modellizzare un fenomeno continuo in un gruppo discreto, citando gli esempi che riporta sulla meteorologia, eq di Navier Stokes ecc.
un interessante contributo all'investigazione dei sistemi complessi è stato dato da steven wolfram, fisico e creatore di Mathematica, che agli inizi degli anni 2000 pubblica "a new kind of science", un malloppone che parte dagli automi cellulari per arrivare a decretare la nascita di una nuova scienza, la "computazione sperimentale". Questo libro ha richiesto circa dieci anni per essere scritto, è lungo 846 pagine con 349 pagine di note. La prima frase è già indicativa dello stile, da molti reputato arrogante, del libro. "Tre secoli fa la scienza è stata trasformata dalla nuova, drammatica idea che le regole basate su equazioni matematiche potevano essere usate per descrivere il mondo naturale" riferendosi a Newton. Questo riferimento piuttosto imbarazzante definisce il palcoscenico: Wolfram mette il suo opus magnum sullo stesso piano del più grande lavoro nella scienza. Sostiene di aver fatto una scoperta importante che apre la strada al progresso in varie aree della scienza, dove quella che lui chiama "matematica tradizionale" non è riuscita a portare progressi significativi.
Il papero già citato mi intriga https://journals.plos.org/ploscompbiol/article?id=10.1371/journal.pcbi.1005268
Possiamo anche uscire on qualcosina di più recente tipo sugli oracoli, intesi come funzioni non computabili e troverebbero un corrispettivo nella mech quantistica nell'operatore di misura. Seguono pipponi vari sulle teorie di penrose : http://nautil.us/issue/47/consciousness/roger-penrose-on-why-consciousness-does-not-compute
Computazione non convenzionale: i computer tradizionali sono calcolatori basati sull'architettura di Von Neumann, resi possibili dall'invenzione del transistor e dal ridimensionamento della legge di Moore. Ci sono ricercatori che tentano di implementare estensioni di questa architettura, architetture alternative ad essa, ma anche architetture che non fanno uso di silicio. Qualche esempio:
biocomputer: Un biocomputer consiste in un percorso o una serie di percorsi metabolici che coinvolgono materiali biologici progettati per comportarsi in un certo modo in base alle condizioni (input) del sistema. Il percorso risultante delle reazioni che si verificano costituisce un output, che si basa sulla progettazione ingegneristica del biocomputer e può essere interpretato come una forma di analisi computazionale. Tre tipi di biocomputer distinguibili includono computer biochimici, computer biomeccanici e computer bioelettronici. I computer biochimici utilizzano l'immensa varietà di cicli di feedback che sono caratteristici delle reazioni chimiche biologiche al fine di ottenere funzionalità computazionale. I cicli di feedback nei sistemi biologici assumono molte forme e molti fattori diversi possono fornire un feedback sia positivo che negativo ad un particolare processo biochimico, causando rispettivamente un aumento della produzione chimica o una diminuzione della produzione chimica. I computer biomeccanici sono simili ai computer biochimici in quanto entrambi eseguono un'operazione specifica che può essere interpretata come un calcolo funzionale basato su condizioni iniziali specifiche che fungono da input. Differiscono, tuttavia, in ciò che serve esattamente come segnale di uscita. Nei computer biochimici, la presenza o la concentrazione di determinati prodotti chimici funge da segnale di uscita. Nei computer biomeccanici, tuttavia, la forma meccanica di una specifica molecola o di una serie di molecole in un insieme di condizioni iniziali funge da output. I biocomputer possono anche essere costruiti per eseguire il calcolo elettronico. Anche in questo caso, come i computer biomeccanici e biochimici, i calcoli vengono eseguiti interpretando uno specifico output basato su un insieme iniziale di condizioni che fungono da input. Nei computer bioelettronici, l'uscita misurata è la natura della conduttività elettrica osservata nel computer bioelettronico.
Un radioascoltatore ci ha richiesto una guida semplice di introduzione alle reti neurali. Nel fuori onda abbiamo chiesto al nostro super esperto di fuffa e ha partorito questo.
Nuova rubrica di stakkastakka in cui presentiamo un cazzillo, aggeggio, affare... Insomma un coso!
Questa settimana abbiamo parlato di redshift. Uno strumento che vi permette di tenere al sicuro le due palle umide che avete attaccate alla scatola cranica.
Se volete approfondire l'argomento ecco un ottimo punto di partenza
Abbiamo parlato di metadati, quelle informazioni che caratterizzano le vostre comunicazioni e descrivono con chi avete parlato.
Rifletteteci: a volte non è necessario sapere cosa avete detto, ma basta anche solo sapere con chi avete parlato.
Super approfondimento sulla sicurezza dei telefonini!
Siete tutti invitati ai festeggiamenti per la riapertura dei laboratori del Gabrio!
Vogliamo farvi conoscere i collettivi nati in questi 5 anni di occupazione di via Millio, condividendo con voi il frutto delle nostre gioie e fatiche, con esposizioni, attività aperte e dimostrazioni pratiche.
Vi aspettiamo al secondo piano con il bar e un buffet offerto dai vari collettivi, il tutto condito con Dj set a cura di Black Dynamite Trio, e dalle 17.30 concerti con Vandisky, Yuma e Muddy Mama Davis.
Collettivo Orto Gila arti grafiche Gabrio school of music Hacklab Cinespritz Microclinica
Dentro e fuori dalle stanze del nostro bellissimo hacklab metteremo a disposizione le nostre menti migliori per chiacchere e divertimento.
Cosa sono? Delle piccole presentazioni di dieci minuti su un argomento a scelta. Tutti potranno segnarsi e prendere uno spazio per raccontare un progetto su cui stanno lavorando o un idea o quello che vi pare. Abbiamo già qualche asso nella manica!
Avremo una presentazione su mastodon e social network che potrebbe durare un po' più di dieci minuti.
Lunedì 19 Novembre alle ore 21.00~ presso il CSOA Gabrio in via Millio 42.
Se non potete essere presenti con noi alla serata sintonizzatevi su #stakkastakka sulle libere frequenze di radio blackout tra le 13.00 e le 15.00 per una diretta con i redattori.
La storia dell’hacking come lo conosciamo oggi ha origine negli anni ottanta e nei fenomeni controculturali che li attraversarono: di questa esperienza abbiamo tentato in questo numero di offrire una delle prime forme di narrazione corale disponibili nel contesto italiano (e non).
Partiti con l’intenzione di affrontare la storia dell’hacking in una prospettiva globale, è diventata per noi dominante l’idea di affrontare la nascita e l’evoluzione dell’hacktivism, cioè del nesso delle pratiche hacker con l’attivismo e la militanza politica. Questo perché abbiamo preferito concentrarci su un percorso profondamente politico e peculiare del contesto italiano: nonostante la consapevolezza della non neutralità della tecnica, i movimenti italiani infatti riflettono da almeno tre decenni sull’uso sociale delle tecnologie digitali, dimostrando un particolare interesse per i nuovi media e per il loro uso ai fini di una comunicazione e una (contro)informazione libere e indipendenti. Nella costruzione del numero abbiamo seguito le reti dei protagonisti dell’hacking italiano e ci siamo avvicinati a coloro che, prima di noi, si erano interessati di queste storie. La linea di demarcazione tra gli uni e gli altri si è rivelata labile: per questo ci è impossibile distinguere con certezza quanto ci sia di emico (proveniente dall’interno) e quanto di etico (frutto di interpretazione) in questo numero.
Abbiamo parlato tanto di password, di quanto non siamo bravi a sceglierne di buone, di leak, di monitor.firefox.com e del perche' bisogna usare dei password manager intervistando un mantainer di keepassxc.
Abbiamo cominciato a trasmettere sulle mitiche libere frequenze di radio
blackout con una trasmissione di critica
delle nuove tecnologie e approfondimenti digitali, si chiama stakkastakka.
Per ora tutti i lunedì dalle 13 alle 15 sui 105.25fm (ovviamente solo
torino e dintorni) o in streaming sempre qui
Durante le trasmissioni potete interagire con noi in tempo reale, ci trovate su IRC nel canale #stakkastakka del server
di autistici (qui trovate come
fare).
Ci uniamo quindi alla combricola acaroradiofonica che vede tra le sue fila:
e quindi stay tuned, qui trovate i podcast
this scripts is long, confused and full of notes, links and questions, if you have the coffee on, it is better to stop it. This work was hard and we hope you like it.
We are talking about malware, offensive security and the attempt to legalize this institutional malware.
As we like to touch with our hands the stuff about what we talk about, we got one of this "malware" and we start do create a documentation about the setup of this. For everybody who wants to get hands dirty with us.
Then we get infected voluntarily using a device with his malware in order to study it closer, understanding how it works and which bugs may have.
Last, as many and many people are trying to create some rule and law about this very dangerous stuff we need strong guarantees in order to not accused of some false data gathered from our devices1, we have tried to generate some fake proof in order to understand how reliable are this gov-malware.
The conclusion we got is that there is no way to be sure technically that the evidence are real
We documented all the steps in a detail post, here instead, we want to analyze the ongoing proposal to legalize this malwares.
the concrete threat about the abuse of this very powerful tool move us to bring some lights on this foggy situation.
We are not law maker, but seems the malware in italy are already regulated. The crime is well now for hacker like us, 615-ter C.P. aka "Abusive Access into a System device" which shows also a specific part if the crime is done by an official.
But, the fact this tools are daily used from the police as investigation tool and nobody is showing any problem about that, is the demonstration about how a law is a perfect repressive tools, but is not working very well as justice and social tool. Which Police station will investigate about their own investigation tools ?
What we are trying to do for the future is to try to avoid that our (and yours) devices will spy us. Then, We would like spread some good security pratice in order to avoid to get infected from this and other trojans: we will surely need help because we know that won't be not exactly easy.
how do you explain the use of a tank ? We just need to talk about terrorism, about pedoporn? We just need to talk shit about some politician? Or maybe act against some big national operation ? We feel absolutely NOT protected from the italian law to regulate malware written and showed by "Civici Innovatori" (law:Quintarelli) which show a lot of issues; we just stopped a second reading tecnical operative law proposal2 how to rule and limit this and we discover they are trying to create similitudes with the malware functionality and the some regulated police pratice, like: tag after someone, intercept location data or real confiscation of the data into a device.
Trying to create similitudes between classic pratice and malware features it's absurd from every point of view and for every kind of justice act you may consider:
compare a confiscation to a remote file acquisition of a device is ridiculous. During a confiscation there's the presence of the person investigated which can verify what is happening, can request the presence of a lawyer and at the end should receive a list of the confiscated material. We can't imagine how this can be possible during a remote confiscation using a malware.
a real confiscation aim to cut off the availability of a specific tool, like a gun. The malware doesn't cut off this availability, because is not made for this.
Compare the GPS tracking of a real tagging is ridiculous. Get the digital data and easy to be analyzed from invasive algorithm is not comparable to a real shadowing, the quality of the data is completely another level.
But most of all there's a quantitative question about costs: do a shadowing from the police desk to 1000 people doesn't have the same cost to do it for real, it's clear that if yesterday doing a shadowing was a matter of time and money, but now, with a malware all you need is just to focus clic and press a button. The consequences of this is quite obvious. Just trying to imagine that this two operations are the same is quite ridiculous.
Then we start from the idea that a device is owned by the person investigated, but this is not always true. For example all the "public" device, the internet point, the libraries, the university. Reading the email from an internet point tapped where a person under surveillance used the pc before of us, bring us a risk because the pc is bugged (so is an infected pc) our email will go to the police. Even if we with a used device, our email will be delivered to the police.
Then there is a temporal problem. With a classical mobile interception, the SMS are grabbed starting from a specific day and the interception has a time limit for legal reason. The trojan is another story, it can read the data with no time limit, sending all the conversation on the device from the beginning of it's history, because it is all saved there.
During a shadowing there's the guarantee (except to hire a lookalike) that the position is the effective location of the investigated person. But the device may not travel with the person, it can be stolen or forgotten in a taxi. So basically the device owned by the person is not the person.
To believe as we read in the document, that the installation of a malware doesn't lower the security level where is installed is ridiculous, the base idea of the malware is exactly to let open some vulnerability in order to use it and doing so keep insecure the device of everybody in order to infect them.
To certify the impossibility to alterate the evidence seems impossible to obtain and later we prove it in two different way. But there's more. How is possible to certify the producer is not compromised? How is possible to verify that behind the massive architecture there's not a backdoor for someone else being able to use it? No, there's no way to verify it.
Lastly, seems a paradox for us that the government want to use digital weapons bought from a shadow market and very less transparent as the zero-day market
during our experiment we notice that the input of this 'objects' are considered trusted (not modified by the user), which is clearly erroneous. What may happen if a skype username is AAAA' DROP ALL TABLES--? and if it's length is 10million chars? And what if instead of an image we put something different and the malware breaks ? (yes it broke very badly). How the law will consider this social behaviour? self-defense? evidence occultation?
For us this 'objects' can't be regulated. For us there's a danger hidden into the secret action of the government over the citizen and this danger is way more unsafe than any other threats, fullstop.
We want to know all, not just the stats about how many malware are sold or exported (as recently requested by Hermes to the italian government), but we want to know specifically how exactly are used these new surveillance technique, like IMSI-Catcher or Government Malware and how many of them are used
If someone want to tell us, fell free to write us an email:
Underscore _TO* Hacklab // underscore chiocciola autistici.org
Key fingerprint = 5DAC 477D 5441 B7A1 5ACB F680 BBEB 4DD3 9AC6 CCA9
gpg2 --recv-keys 0x9AC6CCA9
questo scritto è lungo, confuso e denso di appunti, link e domande, se avete il caffè sul fuoco,
toglietelo. è stato un lavoro sudato, speriamo vi piaccia.
parliamo di captatori informatici, sicurezza offensiva e il tentativo di normare questi trojan di stato.
siccome ci piace toccare con mano gli oggetti dei nostri ragionamenti, ci siamo procurati uno di questi "captatori informatici" e ne abbiamo documentato il setup completo per chi volesse sporcarsi le mani con noi (grazie al lab61 per averci messo la pulce nell'orecchio).
successivamente abbiamo infettato volontariamente un dispositivo con il malware per vederne il funzionamento da vicino, quali funzionalità presenta e quali difetti.
in ultimo, dal momento che nel tentativo di normare questi pericolosi strumenti leggiamo della "necessità di forti garanzie per essere inattacabile sul piano della veridicità dei dati acquisiti", abbiamo provato a generare delle prove non valide per capire quanto sono affidabili questi malware (non contenti l'abbiamo fatto in due modi diversi).
la conclusione a cui siamo arrivati è che no, non esiste modo di garantire tecnicamente che le prove raccolte siano veritiere.
abbiamo anche fatto un'analisi tecnica della proposta di legge sottolineandone le criticità qui.
(legenda: le parti a sfondo bianco come questa sono per tutti i lettori, quelle a sfondo nero sono più tecniche e interessanti per qualcuno, noiose per qualcun altro, vi assicuriamo che saltarle non pregiudicherà la lettura).
installare galileo
un piccolo disclaimer: vi potete fare male, noi non abbiamo mai fatto uscire nessuna delle installazioni su internet liberamente, suggeriamo di fare lo stesso.
siamo partiti da questo link, un tutorial per il setup, modificando alcuni passaggi. in particolare abbiamo eliminato vari check della licenza per cui non è più necessario cambiare la data del sistema (molto scomodo su una macchina virtuale) ed è ora quindi possibile abilitare tutte le funzionalità.il setup minimo necessita almeno di 4 macchine:
- un master (windows 7, almeno 4Gb di ram)
- un collector (windows 7, almeno 1Gb di ram)
- un anonymizer (suggerito centos solo cli, anche solo 300mb di ram, io ho usato un container con alpine via runc)
- un target (fate voi, una debian, un android, un mac)
se volete strafare, servirá anche una macchina che faccia da network tactical injector, cioè l'oggetto usato per infettare le vittime attraverso attacchi wifi.
le prime due voci le abbiamo installate in macchine virtuali su un portatile con 8Gb di ram usando virtualbox, ma se avete delle macchine da sacrificare è uguale.
per iniziare guardiamo uno schema di come funziona l'architettura:
ora decidiamo gli ip statici per ogni macchina:
master: 192.168.56.2
collector: 192.168.56.3
anonymizer: 192.168.56.4master
- installo Windows 7 su una VM e imposto come ip dell'interfaccia
192.168.56.2- installo rcs-setup-2015032102.exe
- installo rcs-exploits-2015032101.exe
- seleziono Master Node
- in CN metto
192.168.56.2: questo ip verra' usato anche come CN del certificato https, potevo anche usare un nome ma poi toccava editare/etc/hostsdi windows- metto la password con cui controllerò tutto:
RCSMaster1- metto la licenza e a questo punto parte l'installazione.
- quando vedo "Remove previous master node files" sostituisco questo file in C:\RCS\bin\
- siccome ad ogni avvio ricontrolla la licenza, finita l'installazione devo sostituire anche questo file in C:\RCS\DB\lib\
- ora installo anche Adobe Air e la console
- a questo punto riavvio la macchina o i servizi e apro la console
- inserisco la loro CA come trusted dentro l'albero delle root CA
- inserisco le credenziali, vado dentro
monitore passo ad installare il collectorcollector
- come sopra ma scelgo Collector invece di Master Node
- imposto l'ip come scelto in precedenza per il collector, quindi
192.168.56.3- il common name del master richiesto sará quindi
192.168.56.2- torno sul master
master #2
- dentro
Systemdella console dovrebbe a questo punto comparire un collector- faccio un nuovo anonymizer a cui assegno come ip
192.168.56.4collego l'anonymizer al collettore
creo il pacchetto per l'anonymizer premendo
Download installeranonymizer
- preparo una macchina per installare l'anonymizer (consigliano una centos)
- io ho usato un container (runc) a cui ho dato come ip
192.168.56.4- prendo lo .zip creato sopra e installo l'anonymizer (bbproxy, lo mette dentro /opt)
- quando tutto funziona, in
Systemdella console vediamo questo:a questo punto siamo pronti per studiare, ecco i manuali di riferimento:
dopo aver installato e letto i manuali d'uso di RCS, abbiamo voluto provare effettivamente cosa è in grado di fare questo captatore informatico.
abbiamo quindi volontariamente infettato una nostra macchina linux e testato il funzionamento del tutto.
per prima cosa apriamo un'indagine (Operations->New Operation) a cui aggiungiamo un indagato sul cui ipotetico computer d'ufficio vogliamo installare un agente:
ora con una facile interfaccia punta e clicca possiamo selezionare le funzionalità del trojan da attivare
se invece vogliamo una configurazione particolare, come ad esempio limitare l'uso della batteria dell'agente possiamo utilizzare la modalità avanzata:
qui sopra un esempio di come è possibile attivare determinati moduli solamente quando il dispositivo è in carica.
per completezza ecco l'elenco dei possibili eventi, delle possibili azioni e di tutti i moduli.
se volete studiare tutte le funzionalità, rimandiamo alla documentazione ufficiale.
ovviamente non tutte le funzionalità sono compatibili con tutti i sistemi operativi, per avere una lista delle compatibilità vi rimandiamo anche in questo caso alla documentazione ufficiale e a quella non ufficiale.
quando la configurazione ci soddisfa, procediamo con la creazione del vero e proprio agente
premendo in alto a sinistra su Build.
ora manca solo di scegliere come infettare la vittima:
i vettori di infezione sono tanti, anche in questo caso la documentazione ufficiale ci viene in aiuto. la scelta del vettore da usare dipende in gran parte dalla vicinanza del dispositivo da infettare:
avendo accesso fisico al dispositivo (ad esempio in aereoporto, durante un controllo o una perquisizione) è possibile installare il malware via:
se è possibile avvicinare la vittima (facendo ad esempio un appostamento fuori dall'abitazione) è possibile introdursi nella sua rete wireless o emularla attraverso una serie di attacchi usando quello che viene chiamato il Tactical Network Injector.
noi purtroppo non abbiamo la possibilità di provare direttamente da un ISP l'installazione del Network Injector e avendo accesso fisico al dispositivo del fittizio indagato, ci infettiamo volontariamente con un Silent Installer per linux.
l'infezione
pubblichiamo l'agente venuto fuori dalla build per chi volesse sporcarsi le mani, SE NON SAPETE COSA STATE FACENDO, NON FATELO, SUL SERIO
NON SCARICARMI SE NON DEVI.zip
ovviamente non ci sarebbe bisogno di fare reverse engineering visto che abbiamo i sorgenti, ma siccome se non vediamo non crediamo, lo faremo ugualmente, non prima di vederlo in azione però. se avete linux e avete paura di essere infetti da un paio d'anni e non potete aspettare, date un'occhio dentro
~/.config/autostart/.*,/var/crash/.report*e/var/tmp/.report*ma non sperate di trovare qualcosa perchè nelle licenze italiane le funzionalità per infettare linux non sono state comprate.
ps. abbiamo ascoltato il traffico con wireshark ma sembra che non cerchi di andare altrove.
attendiamo 5 minuti che l'agente raccolga i dati e ce li invii ed ecco i primi risultati in una comoda dashboard:
vediamo ora una carrellata delle possibilità, possiamo navigare il file system della vittima
possiamo inserire file, eseguirli e ovviamente scaricarli
possiamo inviare comandi e riceverne i risultati
e poi ovviamente guardare tutte le prove, quindi screenshoot (con supporto OCR)
un simpatico keylogger e tutti gli eventi del mouse
le foto dalla webcam con la frequenza scelta
la lista dei siti visitati
le password salvate da firefox e chrome
ovviamente con la possibilità di filtrare il materiale con filtri di tutto rispetto
ci fermiamo qui anche se ci sarebbero tanti altri moduli da provare, i messaggi, i contatti, i wallet bitcoin, l'infezione di un'android, il network tactical injector, gli exploits....
ok, l'abbiamo installato e provato per poterlo analizzare meglio
e farci la seguente domanda: ma quanto sono sicuri questi captatori informatici?
sono veramente dei generatori di prove affidabili e veritiere come si vorrebbe sostenere?
come raccolgono le prove? proviamo ad immaginare come potremmo fare noi, prendendo a titolo di esempio i contatti skype:
i contatti skype sono presenti nel computer dentro un file
contentente una base dati.
questa base dati non è protetta
in nessun modo, ed è direttamente accessibile da chiunque,
sia da Skype che da un qualsiasi altro programma e ovviamente
anche dai captatori informatici, che vanno a cercare dentro
quella base dati la lista dei contatti e la nostra messaggistica.
dove si trova di preciso? la base dati di skype su linux si trova dentro ~/.Skype/<profiloutente>/main.db
proviamo allora a creare da noi questa base dati senza neanche avere skype installato sul computer e inserire dei contatti fittizi al suo interno. funzionerà?
falsi contatti
la base dati in questione è un sqlite, il cui schema è reperibile pubblicamente. creiamo quindi dentro la macchina della vittima una directory per ospitare il nostro finto profilo skype al cui interno inseriamo il nostro db sqlite compatibile con lo schema skype:
mkdir -p ~/.Skype/fakeprofile/ sqlite3 ~/.Skype/fakeprofile/main.db # creo i db 'Accounts' e 'Contacts' # https://github.com/suurjaak/Skyperious/blob/master/skyperious/skypedata.py#L128 # creo un account INSERT INTO Accounts (skypename, fullname, is_permanent) VALUES ('account falso', 'account falso', 1); # inserisco dei contatti a piacimento INSERT INTO Contacts (skypename, displayname, birthday, is_permanent) VALUES("contatto falso", "contatto falso",0,1); .quit
a questo punto attendiamo che il captatore raccolga le nuove prove e ....
per i siti visitati attraverso chrome/firefox e altri browser vale lo stesso discorso, perchè questi vengono salvati all'interno di una base dati simile a quella usata da skype.
anche per il microfono, la webcam, gli screenshoot del monitor e in generale per ogni tipo di dato acquisito, non solo è difficile se non impossibile dire con certezza se i dati carpiti all'insaputa dell'utente siano veritieri o meno, ma è anche relativamente semplice falsificare questi dati da parte di terzi (pensiamo ad un'applicazione su android ad esempio).
è possibile evitarlo? no.
ma quanto sono sicuri questi captatori informatici? nel proseguire il nostro studio sull'argomento, vogliamo sottolineare una questione secondo noi importante. non divulgare le falle di sicurezza dei nostri dispositivi per avere la possibilità di poterli infettare mantiene inevitabilmente meno sicuri i dispositivi di tutti, compresi quelli di chi i captatori informatici li utilizza.
abbiamo visto come sia possibile falsificare le prove prima che vengano raccolte, cerchiamo ora di capire come funziona l'invio dei dati raccolti in RCS e vediamo se è possibile inviare delle prove create ad-hoc.
reverse engeenering
ed eccoci alla parte più interessante del nostro studio (nonchè la più divertente). la descrizione del reverse engeenering che segue è molto piu' lineare di come si è svolta nella realtà, abbiamo saltato le parti noiose e ripetitive (openssl l'abbiamo ricompilato almeno 6 volte) e cercato inoltre di rendere i ragionamenti sequenziali, quando nella realtà tante scelte sono state fatte intuitivamente. siamo inoltre convinti che si poteva ottenere lo stesso risultato in altri N modi e che quello da noi usato è sicuramente molto grezzo.
innanzitutto, ipotizziamo di avere solo il binario, il malware. dobbiamo capire cosa fa e come si comporta. creiamo quindi un ambiente di studio, un container che lo isoli in un posto sicuro dove non puo' fare danni e in cui è possibile studiarne il comportamento.
noi abbiamo usato runc usando come rootfs una debian dentro una directory montata con loggedfs per controllare tutti i suoi movimenti sul file system (file creati, letti, etc...).
vediamo subito che si installa dentro/var/crash/.report*/whoopsie-reporte cerchiamo di capire di che file si tratta con un:$ file whoopsie-report whoopsie-report: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, stripped`è un piccolo file statico di 77kb, un po' troppo piccolo per essere veramente statico, lo avviamo con
strace ./whoopsie-reporte notiamo infatti che cerca di aprire parecchie librerie di sistema, tra cui:
- /lib/x86_64-linux-gnu/libpthread.so.0
- /lib/x86_64-linux-gnu/libc.so.6
- /usr/lib/x86_64-linux-gnu/libcurl-gnutls.so.4
- /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0
- /usr/lib/x86_64-linux-gnu/libX11.so.6
e qui gia' ci sarebbe spazio per divertirsi: libX11 viene sicuramente utilizzata per fare gli screenshot dello schermo, sarebbe possibile ricompilarla per fare in modo che per alcuni programmi dei metodi tornino cose inaspettate.
ad un certo punto notiamo che vengono creati dei files dentro
/var/crash/.report*/.tmp*, sono presumibilmente le prove raccolte, anche perchè ciclicamente si moltiplicano.all'interno solo dati binari, controlliamo se sono solamente compressi, ma non ci sembra, saranno cifrati? ma come? per una cosa del genere a noi verrebbe da utilizzare le librerie standard, quindi
openssl, ma come possiamo esserne sicuri? in effetti il malware accede alibssl.
perdiamo un po' di tempo provando congdbma stufi di seguire tutti i thread, ci viene in mente di ricompilare libssl inserendo del debug che ci mostri come vengono cifrati i dati.per ricompilare un pacchetto debian seguiamo questa guida, ci armiamo di pazienza e scarichiamo il tutto.
cercando come si cifra con openssl vediamo che ci sono parecchie chiamate differenti, quindi proviamo conltrace(con strace si vedono le syscall, con ltrace le libcall) a vedere se possiamo capire quale chiamata viene usata:$ ltrace ./whoopsie-report Couldn't find .dynsym or .dynstr in "/proc/30234/exe"questo e' parecchio strano ma smanettando un po' troviamo con
stringsla seguente stringa dentro il malware:$ strings ./whoopsie-report $Info: This file is packed with the UPX executable packer http://upx.sf.net $leggiamo che upx è un packer che comprime binari, installiamo quindi
upx-ucle proviamo unupx-ucl -d whoopsie-reportper fare il processo inverso e decomprimere il binario:File size Ratio Format Name -------------------- ------ ----------- ----------- 261044 <- 77972 29.87% linux/ElfAMD whoopsie-reportora abbiamo il binario "in chiaro" e riprovando con ltrace (qui siamo passati dentro una macchina virtuale con VirtualBox perchè dentro runc si bloccava per qualche motivo) otteniamo le chiamate usate dal malware, in particolare nel nostro interesse ricadono le seguenti:
dlsym(0x122f4c0, "EVP_get_cipherbyname")dlsym(0x122f4c0, "BIO_set_cipher")a questo punto cerchiamo quei metodi nei sorgenti di libssl e troviamo la prima chiamata in
crypto/evp/names.clinea 112 a cui aggiungiamo questo debug che scrive il cifrario usato dentro un fileconst EVP_CIPHER *EVP_get_cipherbyname(const char *name) { const EVP_CIPHER *cp; // DEBUG: scrivo il cifrario utilizzato dentro un file FILE *f; f = fopen("/tmp/debug_ciphername", "w"); // <- qui trovo il cifrario fprintf(f, "%s", name); fclose(f); cp = (const EVP_CIPHER *)OBJ_NAME_get(name, OBJ_NAME_TYPE_CIPHER_METH); return (cp); }e la seconda chiamata in
crypto/evp/bio_enc.ce anche qui aggiungiamo del debug:void BIO_set_cipher(BIO *b, const EVP_CIPHER *c, const unsigned char *k, const unsigned char *i, int e) { BIO_ENC_CTX *ctx; // DEBUG: scrivo i parametri del cifrario su file FILE *f; f = fopen("/tmp/debug_cipher", "a+"); fprintf(f, "\n----\n"); fprintf(f, "block_size: %d, key_len: %d, iv_len: %d\nkey: ", c->block_size, c->key_len, c->iv_len); for(int co=0; co<c->key_len; co++) { fprintf(f, "%02X",k[co]); } fprintf(f,"\n\niv: "); for(int co=0; co<c->iv_len; co++) { fprintf(f, "%02X", i[co]); } fprintf(f,"\n\n"); fclose(f); ....ricompiliamo le librerie, installiamo e rilanciamo il malware. dentro
/tmptroviamo ora il cifrario usato dal malware e la chiave:$ cat /tmp/debug_ciphername aes-128-cbc $ cat /tmp/debug_cipher ---- block_size: 16, key_len: 16, iv_len: 16 key: 692CC9D0DC834E4663EF389470E445B4 iv: 00000000000000000000000000000000(= a questo punto proviamo a decifrare i file salvati su disco dal malware, lo scopo è ovviamente tentare di scriverne noi uno ad-hoc, con la chiave a disposizione dovrebbe essere facile, invece perdiamo un sacco di tempo a capire come mai non riusciamo a decifrare la prima parte del file. pensavamo fosse legato al vettore di inizializzazione e invece nel file c'e' un header di qualche tipo, ovvero il blocco cifrato non comincia all'inizio (questo però ovviamente openssl non lo dice). il punto è che la lunghezza del testo cifrato ogni tanto non è un multiplo del BLOCK_SIZE del cifrario a blocchi usato, il che significa che c'è qualcosa che non dovrebbe esserci. abbiamo provato prima manualmente ad eliminare un po' di bytes prima di tentare il decrypt ed effettivamente ha funzionato:
#!/usr/bin/python from Crypto.Cipher import AES import sys key = "692cc9d0dc834e4663ef389470e445b4" IV = "00000000000000000000000000000000" encrypted = open(sys.argv[1]).read() x = 16 - len(encrypted)%16 if len(encrypted)%16 else 0 x += 16*int(sys.argv[2]) encrypted = encrypted[x:] aes = AES.new(key.decode('hex'), AES.MODE_CBC, IV.decode('hex')) print aes.decrypt(encrypted) $ chmod +x test.py $ ./test.py .tmp-1491179387-220638-SJBo7P 10 > image.jpgil file in questione (il .tmp-149..) è stato selezionato perchè dalle dimensioni poteva sembrare un'immagine, inoltre decifrandolo inizialmente c'erano stringhe che riconducevano al formato JPG (ma non trovavamo il magic byte DD F8!). quel 10 invece indica che prima dell'inizio dell'immagine all'interno del file salvato su disco, ci sono ben 160 bytes di header. il prossimo passo è cercare di scrivere noi l'immagine dentro uno dei file, quindi apriamo con
gimpl'immagine estratta in precedenza (quindi con il vero screenshot) in modo da mantenerne le proprietà (colori, dimensioni, ecc.) e sostituirla dentro il file di cui sopra.#!/usr/bin/python from Crypto.Cipher import AES import sys key = "692cc9d0dc834e4663ef389470e445b4" IV = "00000000000000000000000000000000" original_header = open(sys.argv[1]).read()[:168] new_image = open('.tmp-1491179387-220638-SJBo7P','w') # mantengo l'header come era prima senza indagare oltre new_image.write(original_header) fake_image = open(sys.argv[2]).read() # padding x = 16 - len(fake_image)%16 if len(fake_image)%16 else 0 fake_image += x*"\0" # cifro l'immagine fake e la scrivo sul nuovo file aes = AES.new(key.decode('hex'), AES.MODE_CBC, IV.decode('hex')) new_image.write(aes.encrypt(fake_image)) new_image.close()
ora basta solo aspettare e....
Underscore _TO* Hacklab // underscore chiocciola autistici.org
Key fingerprint = 5DAC 477D 5441 B7A1 5ACB F680 BBEB 4DD3 9AC6 CCA9
gpg2 --recv-keys 0x9AC6CCA9
https://autistici.org/underscore
questo scritto è lungo, confuso e denso di appunti, link e domande, se avete il caffè sul fuoco, toglietelo. è stato un lavoro sudato, speriamo vi piaccia.
parliamo di captatori informatici, sicurezza offensiva e il tentativo di normare questi trojan di stato.
siccome ci piace toccare con mano gli oggetti dei nostri ragionamenti, ci siamo procurati uno di questi "captatori informatici" e ne abbiamo documentato il setup per chi volesse sporcarsi le mani con noi.
successivamente abbiamo volontariamente infettato un dispositivo con il malware per vederne il funzionamento da vicino, quali funzionalità presenta e quali difetti.
in ultimo, dal momento che nel tentativo di normare questi pericolosi strumenti leggiamo della "necessità di forti garanzie per essere inattacabile sul piano della veridicità dei dati acquisiti", abbiamo provato a generare delle prove non valide per capire quanto sono affidabili questi captatori.
la conclusione a cui siamo giunti è che non esiste modo di garantire tecnicamente che le prove raccolte siano veritiere.
abbiamo documentato tutto in questo dettagliato post, qui invece ci proponiamo di fare un'analisi alle proposte di normare questi captatori informatici.
la concreta minaccia dell'abuso di questo potente strumento ci muove a far luce su questa fumosa questione.
non siamo giuristi ma ci sembra che i captatori informatici siano già normati, il reato lo conosciamo bene noi acari, il 615-ter c.p. "accesso abusivo ad un sistema informatico" che presenta anche un comma specifico se il reato è commesso da un pubblico ufficiale. il fatto che questi strumenti siano, però, quotidianamente usati dalle forze di polizia come strumento di indagine e che nessuno stia storcendo il naso per questo, è la dimostrazione di come la legge sia un'ottimo strumento repressivo ma non funzioni un granchè come strumento di giustizia sociale. quale procura potrebbe indagare sui suoi stessi strumenti di indagine?
quello che ci proponiamo di fare per il futuro è cercare di evitare che i nostri (e i vostri) dispositivi ci spiino. vogliamo inoltre diffondere delle buone pratiche di sicurezza per evitare di farsi infettare da questi e altri trojan: avremo sicuramente bisogno di aiuto perchè sappiamo che non sarà affatto semplice.
come si giustifica l'uso di un carro armato? basta parlare di terrorismo, di pedofilia? è sufficiente parlare male di un parlamentare? o magari opporsi alla costruzione di una grande opera? non ci sentiamo per niente tutelati dal decreto di legge presentato dai civici e innovatori (ddl quintarelli) dalla quale emergono moltissime criticità; ci siamo soffermati sulla "disciplinare tecnico operativa"
la tesi di fondo del documento è quella di fare un paragone tra le funzionalità del captatore e le corrispondenti azioni di polizia giudiziaria già attualmente normate, per esempio paragonando pedinamento reale e intercettazione dati di posizionamento, o sequestro reale con acquisizione file da dispositivo.
l'equiparazione tra le modalità classiche e quelle implementate dal captatore ci sembra assurdo da ogni punto di vista e per qualunque tipologia di azione giudiziaria considerata:
paragonare un sequestro all'acquisizione remota di file sul dispositivo è ridicolo. durante un sequestro c'è la presenza dell'indagato che può verificare quello che accade, può richiedere la presenza di un legale e gli viene rilasciata una lista del materiale sequestrato. non riusciamo ad immaginarci come questo sia possibile tramite un sequestro da remoto tramite captatore.
il sequestro reale è teso a togliere la disponibilità di un oggetto, una pistola ad esempio. il captatore non toglie la disponibilità dell'oggetto del sequestro, perchè non è quello il suo scopo.
paragonare il tracciamento gps ad un pedinamento è ridicolo. avere i dati digitalizzati e facilmente analizzabili da algoritmi invasivi non è paragonabile ad un pedinamento, la qualità del dato è proprio di un altro livello.
ma soprattutto c'è una questione quantitativa e di costi: fare un pedinamento dalle scrivanie della questura verso 1000 persone non ha lo stesso costo che farlo per davvero, è evidente che se fino a ieri pedinare gli indagati richiedeva un certo dispiegamento di forze e denaro, con l'utilizzo di un captatore il tutto si riduce a premere qualche tasto su un'interfaccia punta e clicca. la conseguenza di questo è abbastanza ovvia. immaginare l'equivalenza delle due situazioni è ridicolo.
si parte poi dal presupposto che un dispositivo sia di un indagato, mentre non è sempre vero. prendiamo come esempio tutti i dispositivi "pubblici", gli internet point, le biblioteche, le università. leggendo le mail da un internet point usato da un indagato prima di noi (e quindi su un computer infetto) le stesse finirebbero in questura. comprando un dispositivo usato, le nostre mail finirebbero in questura.
c'è inoltre un problema temporale. all'avvio di un'intercettazione telefonica classica, gli sms intercettati partono appunto da un giorno e l'intercettazione ha poi un limite di tempo per ovvi motivi. il trojan invece può leggere i dati senza limiti temporali, inviando tutte le conversazioni avvenute sul tuo dispositivo dall'inizio dei tempi (perchè sono tutte salvate lì).
durante un pedinamento c'è la garanzia (a meno di assumere un sosia?) che la posizione sia quella effettiva dell'indagato. il dispositivo invece potrebbe non viaggiare con l'indagato, potrebbe essere stato rubato o potrebbe essere stato lasciato sul sedile di un taxi. insomma il dispositivo dell'indagato non è l'indagato.
credere, come si legge nel documento, che l'installazione di un captatore non abbassi il livello di sicurezza dei dispositivi su cui è installato è ridicolo, l'idea del captatore si basa proprio sul fatto di lasciare aperte delle falle di sicurezza e quindi di mantenere appositamente insicuri i dispositivi di tutti, per avere la possibilità di poterli infettare.
certificare la non modificabilità delle prove acquisite ci sembra impossibile da ottenere e l'abbiamo provato in due modi diversi. inoltre come è possibile certificare che il produttore non sia stato compromesso? come è possibile certificare che nella imponente architettura non ci sia una backdoor? no, non è possibile farlo.
e ancora, ci sembra paradossale che lo stato utilizzi armi digitali acquistate su un mercato opaco e poco trasparente come quello degli zero day.
durante gli esperimenti abbiamo notato che gli input di questi oggetti vengono considerati trusted (cioè non modificabili dall'utente), cosa ovviamente non vera. cosa succede se un contatto skype si chiama AAAA' DROP ALL TABLES--? e se è lungo 10mila caratteri? e se al posto di un'immagine mettiamo qualcosa di altro e il captatore si rompe? (si, si rompe male). come la legge vedrebbe un comportamento simile? legittima difesa? occultamento di prove?
per noi questi oggetti non sono normabili. per noi c'è un pericolo insito nell'azione segreta
di una parte dell'apparato dello stato sul cittadino e questo pericolo sovrasta ogni altro
pericolo.
punto.
vogliamo sapere non solo le statistiche di esportazione di questi strumenti (come richiesto di recente dal centro hermes al ministero dello sviluppo economico), ma soprattutto come e quanto vengono utilizzate in italia oggi queste tecnologie di sorveglianza, che si chiamino imsi catcher o trojan di stato. se qualcuno vuole comunicarcelo, ci scriva una mail.
Underscore _TO* Hacklab // underscore chiocciola autistici.org
Key fingerprint = 5DAC 477D 5441 B7A1 5ACB F680 BBEB 4DD3 9AC6 CCA9
gpg2 --recv-keys 0x9AC6CCA9
Vi invitiamo questo sabato 25 febbraio dalle 16 al Salone Polivalente di Bussoleno per un evento preparatorio ad Hackmeeting 0x14 (che ricordiamo quest'anno si terrá qui vicino in Val Susa, in particolare a Venaus, dal 15 al 18 giugno).
Ci sará il collettivo Ippolita che parlerá di social network e tecnologie del dominio, a seguire un avvocato fará una panoramica sull'utilizzo dei captatori informatici, mentre noi come _TO hacklab mostreremo nella pratica l'utilizzo di un captatore informatico.
A seguire domande, chiacchiere e condivisione di idee in preparazione di Hackmeeting.
Vi aspettiamo
Il 21 Gennaio dalle 16 saremo al Gabrio (via Millio 42) per il warmup di Hackmeeting 0x14 (che quest'anno si terrà in Val Susa) e faremo due chiacchiere su hackmeeting e trojan di stato con il collettivo tracciabi.li.
Volevamo un hacklab più aperto, ma non in questo senso.
Durante la perquisizione al CSOA Gabrio di ieri le divise blu hanno deciso di accanirsi anche contro _TO*hacklab, tentando di forzare la porta blindata per poi distruggere il muro a fianco, entrare e constatare che quello spazio era un'officina per computer come effettivamente poteva sembrare dalla breccia nella finestra.
Per giustificare l'impegno speso nel distruggere questo muro è stata staccata la spina all'armadio hub/gateway; come conseguenza un alimentatore si è sentito male ed è stato soccorso nelle ore successive, quando tutto è tornato operativo.
Ci fa sorridere la miseria di queste indagini e di questi piccoli personaggi ancora a cavalcare un modello proibizionista che nessuno più intende perseguire perché ampiamente fallimentare, decidendo di colpire una delle poche esperienze di autoproduzione nello stesso giorno in cui un magistrato di rilevo occupa le prime pagine dei quotidiani schierandosi a favore della legalizzazione.
Siamo solidali con i due compagni colpiti dalla repressione, continueremo ad essere complici del CSOA Gabrio nell'antiproibizionismo come nelle diverse lotte.
_TO*hacklab
Altre informazioni:
Android ArchLinux Anime Basket Breaking Cinema DannyTheBBoy Darkspirit Debian Dungeons&Dragons FreeBSD Gadgets HipHop IRC Kodi Linoleum LordSkylark MIUI Odroid outoforder Raspberry remorhaz.underto.mil Snapbacks Vegetarian Xiaomi ZSH
Stiamo ricostruendo l'hacklab (e il sito, e tutto quanto). Se vuoi darci una mano ci trovi al primo piano del CSOA Gabrio, in Via F. Millio 42 a Torino. Non c'è (ancora) un orario stabilito, la cosa migliore è contattarci con una mail a underscore[at]autistici[dot]org . A presto!
