============================================================================== =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- --------------------[ previous ]---[ index ]---[ next ]--------------------- -----------------------------[ HACKMEETiNG 99 ]------------------------------- -------------------------------[ FerryByte ]---------------------------------- [Chiedo scusa per la pubblicazione di questo articolo sullo speciale estivo, ma purtroppo al momento in cui era stato ricevuto il numero sei di Butchered from Inside era gia' uscito in forma definitiva... almeno questo articolo prendetelo seriamente come merita. Nd\sPIRIT\] Gran bel hackit (http://wwww.ecn.org/hackit99) anche quest'anno ! Rispetto a quello dell'anno scorso - giusto per accontonare velocemente l'antipatico capitolo dei paragoni - forse piu' frequentato nel reparto smanettone e meno articolato per il resto La rete locale (e il gateway con internet) e' stato coccolata in maniera eccellente dai mitici macchnisti di ecn e dintorni e la contemporanea presenza di alcune centinaia di macchine in rete autoinstallatesi magari con l'aiuto del vicin* e' gia' di per se' un gran bel risultato non solo come dimostrazione di partecipazione all'evento ma anche come ennesima riprova che l'autorganizzazione funziona anche in campo telematico ! :-) Radio Cybernet http://www.kyuzz.org/radiocybernet "condotta" magistralmente da asbesto (con il suo mostro a raffreddamento ad acqua!), voyager & C. meritava di per se' un 2 M di connettivita' ma comunque tutto e' funzionato a meraviglia partendo da una 64 K , anche se ip malconfigurati, cavi ed elettricita' che si staccavano davano il loro bel contributo a stimolare creativita' ed inventiva dei macchinisti e dei partecipanti tutti alla Rete Fin dalle 9.00 di venerdi' una frotta di smanetton* confluiva nel centro sociale Bulk (dapprima un attimino sorpreso verso l'evento ma poi sempre piu' coninvolto direttamente anche in quelli aspetti meno familiari per il collettivo di occupant* del Bulk): semplicemente splendide le persone del Bulk che hanno sostenuto prima e durante l'hackit anche in diversi ingrati compiti di turni pulizia - cucine ecc. fin'anche a mettere a disposizione ai partecipanti all'hackit il mitico ostello autogestito Metropolix che per pulizia, organizzazione, ospitalita' ed estetica non ha niente da invidiare a qualsiasi altro hotel a 5 stelle Come infoshop il banchetto della shake, quello del Bulk e quello di Isole nella Rete in cui confluivano materiali di varie situazioni come Infoxoa, Neural, Nodo50, Molotov ecc. offrivano una raccolta di materiale cartaceo e digitale abbastanzo raro da trovare normalmente. Le mitiche spillette di Isole nella Rete distribuite con passione da una crew capitanata dal mitico William Maddler sono state propinate con svariati escamotages a quasi tutt* le/i partecipant* all'hackit, i piu' reticenti si convincevano leggendo il cartello prima delle scale di uscita che cosi' recitava "una spilla a mille lire per sostenere il server di isole nella rete... e se non la compri che iddio ti illumini le scale ma spenga la luce a meta' rampa..." ;-( La musica, autoprodotta, sperimentale e in forma di sound system e' stata la colonna sonora dell'hackit99 mentre un fantastico monumento su 4 ruote all'mp3 costitutito da una cinquecento gialla (nel mezzo del campeggio nel giardino) con pc senza hd che comandava un lettore cd-rom per mp3 ci ricordava come l'etica hacker di mettere le mani su qualcosa puo' anche voler dire mettere le mani su una cinquecento gialla per inventare qualcosa di nuovo ! ;-) Al piano terra un compagno illustrava per chi ancora ne fosse stato all'oscuro le fantastiche possibilita' offerte dal programma di grafica per linux denominato GIMP mentre di fronte una banda di pazzi offriva la possibilita' di interagire con giochi elettronici di vecchio e nuovo tipo I seminari piu' propriamente di formazione sono stati forse in numero un po' minore rispetto all'altr'anno ma comunque i corsi di telematica di base, sul pgp, scanner radio, ed anche uno molto impegnativo su i protocolli hanno riscosso un successo ben al di sopra di qualsiasi aspettativa. Abbiamo finalmente avuto l'onore di vedere la faccia di Carlo Gubitosa che ha presentato il suo libro molto interessante sull'Italian Crackdown Uvlsi durante il seminario sul free software ha giustamente sottolineato la necessita' di insistere contro l'ipotesi ue di brevettare software (per + info e mobilitaznioni: www.freepatents.org no-patents.prosa.it swpat.ffis.org www.gnu.org) La scena internazionale e' stata delineata a tratti grazie ad una nutrita presenza spagnola (nodo50, sindominio.net ecc.) ed alla mitica presenza di un simpaticissimo membro del CCC Alcune ipotesi di far finalmente partire il progetto di Agenzia dei diritti alla comunicazione nello scenario di fine millennio sono stati illustrati in un apposito seminario compreso l'invito ad iscriversi alla mailing-list specifica agenzia@ecn.org e la possibilita' di interagire con un progetto ottenuto dal Comune di Roma dall'area di Avana BBS di Roma Durante l'assemblea finale a parte i saluti di turno si concordava fra le persone presenti l'opportunita' di fare l'hackit00 a Roma e l'hackit01 a Catania Per ultimo lascio la descrizione del seminario sul netstrike da me promosso durante il quale sono venute fuori alcune critiche a questo tipo di mobilitazione. In soldoni, alcune persone facevano notare che per "tirare giu' un sito" non e' sufficiente un corteo telematico ed allora promuovere una cosa per poi doverne fattivamente portarne avanti un'altra suona ipocrita, poco produttivo e irrispettoso di quelle persone che poi anche per ingenuita' si mettono a fare tipi di attacchi diversi da quelli previsti dalla filosofia originaria del netstrike mettendosi quindi a repentaglio di azioni repressive. Spero non me ne vogliate se per chiarezza allego a questo messaggio in fondo il contributo originario per questo dibattito e dopodiche' mi sento di poter controbattere a queste critiche anche dopo averci dormito (poco;-) un po' sopra che: 1) Chiedere di scaricare con teleport o wget un sito oppure di fare ricerche impegnative su un motore di ricerca presente sopra o qualsiasi altra procedura similare che non puo' essere distinta fra l'intenzione di fare un netstrike e quella di visitare un sito non possa essere pericoloso per nessun* 2) L'effetto di un netstrike non si misura solo se si riesce a buttare giu' una macchina ma oltre che alle ricadute sui mass-media come dimostrazione politica di massa di esprimere un messagio o protestare per qualcosa (non tutti i cortei si prefiggono di distruggere le strade dove passano eppure vengono effettuati e considerati utili da molti) 3) Quando succede qualcosa di grave come p.e. la recente guerra dei balcani forse non ci dovremmo preoccupare troppo di rischiare qualcosa per chi magari sta pagando un caro prezzo in termine di morti, distruzioni e ingiustizie varie Forse ho dimenticato qualcosa e me ne scuso, i sorrisi di tutt* coloro con cui ho condiviso quest'evento di sicuro non me ne scordero' mai ! :-) HACKIT99 Venerdi' 18 giugno 1999 Con room I ore 18-20 CSA BULK (MI) Incontro/dibattito sul netstrike contributo al dibattito "Netstrike ovvero il corteo elettronico: nuovi scenari per antichi conflitti; aspetti tecnici, giuridici e politici di una dibattuta forma di hacktivism" (seppellite il mio cuore ad Aviano) a cura di Ferry Byte di sTRANOnETWORK Premessa Sono fermamente convinto che il netstrike sia un'ennesima creatura collettiva della rete e che come tale meriti di essere discussa collettivamente a questo hackmeeting scambiandosi opinioni, suggerimenti e consigli fra le persone interessate. Cosa e' un netstrike? Netstrike o piu' propriamente corteo telematico e' una pratica di mobilitazione in Rete che consiste nell'invitare una massa considerevole di utenti possessori di accessi Internet e browsers a 'puntare' i propri modem verso uno specifico URL ad una precisa ora e ripetutamente in maniera tale da "occupare" un sito web fino a renderlo inutilizzabile almeno per l'ora della mobilitazione. Un'occupazione di 'banda' simile ad un corteo fisico che occupa una strada fino a renderla inaccessible ad altre/i. Una massa di utenti che si collegano la stessa ora tutte/i insieme su un determinato sito (url) e riescono con collegamenti di massa a mandare in tilt il sito stesso quanto meno per il periodo di "mobilitazione". Avete presente un corteo o un sit-in? Tante persone sfilano lungo una strada o sostano davanti a qualcosa impedendo con i loro stessi corpi il traffico di qualsiasi altra cosa o persona nello stesso tratto urbano. Qualcosa di simile in ambito virtuale... Perche' fare un netstrike X un uso sociale della Rete X cambiare lo stato di cose presenti X bloccare con un'azione di massa servizi finanziari in Rete qualora si renda necessario ed utile salvaguardare e promuovere interessi diversi da quelli rappresentati dalle merci in Rete X esprimere in maniera forte un messaggio del popolo della Rete Alcune esperienze di netstrike Partorito dalle menti di due compagni di sTRANOnETWORK (Tassio-Tozzi) e applicato con poco successo la prima volta contro gli esperimenti nucleari francesi si e' affinato nel tempo riscuotendo alternativamente successi e indifferenze vari/e. E' stato infatti riproposto per lo piu' da sTRANOnETWORK ma anche da altre associazioni italiane e straniere per le piu' disparate istanze (liberta' di Mumja e Silvia Baraldini, sostegno alla lotta zapatista, contro la vivisezione, ecc.). Particolare successo ha vuto quello promosso dall'Anonymous Digital Coalition che ha visto bloccare alcuni siti finanziari messicani in sostegno alla lotta zapatista: veramente emozionante il clima che si respirava dentro il canale irc di coordinamento (irc e e-mail sono forse le principali vie di propaganda per questo tipo di mobilitazione) quando via via veniva verificato in tempo reale il crollo della funzionalita' dei siti da bloccare in nome del diritto alla sopravvivenza e all'autodeterminazione degli indios del chiapas. Va sinceramente detto che non sempre ha funzionato come quando alcuni americani e nord-europei si sono scontrati con la capacita' di risposta dei tecnici del pentagono verso la particolare tecnica proposta in quell'occasione che si basava su java oppure quando pur funzionando tecnicamente (CPA di Firenze vs. Coop e Comune di Firenze contro lo sgombero del csa) non e' stato preso nella dovuta attenzione da mass media e opinione pubblica e quindi alcuni dei suoi effetti positivi sono stati detonati dall'indifferenza. L'ultimo che ha avuto almeno parzialmente successo quello contro la guerra dei balcani. Alcuni consigli per partecipare ad un Netstrike * RELOAD continuamente sul link interessato * Aprire quanti piu' browser possibili e da ognuno caricare le pagine interessate * NON impostare proxies per il browser * Settare a 0 le memorie cache del browser * Nel msg di convocazione del netstrike da inviare ad organizzazioni, personaggi e media (anche in inglese) specificare i rispettivi orari di partecipazione per ogni singolo paese partecipante e richiedere la ridifussione dello stesso msg in ogni maniera possibile * Scrivere procedure con qualsiasi linguaggio (scripts in perls, html con frames + refresh ecc.) che consentano ri-caricamenti automatici delle pagine da intasare * Utilizzare programmi come teleport e wget che permettono lo scaricamento di piu' pagine del sito da bloccare * Coordinarsi tramite ml e in tempo reale tramite irc * Disabilitare java, javascript e active x dal proprio browser in maniera da evitare che la navigazione lato client (di chi sta effettuando il netstrike appunto) non diventi complessa e lenta * Se esiste un motore di ricerca interno sul sito da bloccare o una risorsa simile utilizzarla ripetutamente e nella maniera piu' impegnativa possibile * Se e' possibile fare un download di grosse dimensioni effettuarlo ripetutamente Inconvenienti per la propria privacy Per la natura stessa della Rete intrinsecamente gerarchica e tracciante e' difficile proporre una ricetta per partecipare ad un netstrike con l'assoluta tranquillita', di non essere tracciati comunque e' bene ricordare di: * disabilitare active x, java e javascript nonche' cookies dal proprio broser * Utilizzare anonymous remailer se si deve spedire messaggi di posta elettronica durante o prima (per l'organizzazione) il netstrike e comunque tenere ben presente i meccanismi di tutela offerti dai vari sistemi di crittografia a chiave pubblica * Utilizzare anonymizer di vario tipo per effettuare una navigazione il piu' possibile anonima * Partecipare al netstrike da un cybercaffe', da un'aula universitaria o da un altro posto pubblico Quando un netstrike riesce? Sicuramente un netstrike funziona quando riesce nel suo intento tecnico - bloccare un sito - ma anche nel caso che non riesca al cento per cento ma che raccolga attenzione da mass media e opinione pubblica sulla causa che lo ha innescato. Quali sono le tecniche da considerare fedeli al suo spirito di origine? Le tecniche da considerare "conformi" al suo spirito di origine sono quelle per cui non ci puo' essere prova e capacita' di distinzione durante il nestrike fra chi sta scaricando un sito per consultarlo e chi per bloccarlo. Va comunque detto che non e' assolutamente mia intenzione fare una lista delle cose buone e cattive che si possono fare durante un netstrike e che spero ci saranno sempre piu' spesso occasioni per discutere sull'ennesima interpretazione tecnica di un netstrike ;-) Aspetti giuridici Dal punto di vista giuridico infatti se e' vero che e' facile tagliare la testa al toro ricordando appunto che non ci puo' essere capacita' di distinzione durante il nestrike fra chi sta scaricando un sito per consultarlo e chi per bloccarlo e' pur vero che bisogna fermamente respingere i denigratori di questa pratica il cui unico intento e' quello di sottrarre il terreno del cyberspazio dall'elenco degli obiettivi e mezzi di un frastagliato e sempre piu' necessario movimento - o hacktivism in questo caso - per il cambiamento dello stato di cose esistenti. E' doveroso inoltre far notare che in un momento storico in cui migliaia di esseri umani sono morti per via di una guerra totalmente illegittima come quella dei Balcani è grottesco e osceno accapigliarsi sulla legittimita' o meno di un netstrike. ferry di sn NOTE Molte note fanno riferimento per lo piu' a links mutabili nel tempo. Per una consultazione dinamica e aggiornata degli argomenti qui trattati si consiglia di consultare periodicamente post_aXion MUTANTE frammenti e trame di autonomia digitale http://strano.net/mutante www.ecn.org/mutante A proposito di browser sconsiglio l'uso di Internet explorer perche' meno e piu' difficilmente settabile a proprio piacimento Le homepages di questi due programmi sono rispettivamente www.tenmax.com/pro.html e http://sunsite.auc.dk/wget/index.html) Si nasce e si muore IP in Internet e che, a parte alcune rare eccezioni, il nostro IP, in forma alfabetica o alfanumerica è sempre presente nelle nostre attività di rete il che vuol dire che rimane estremamente facile verificare da dove proviene l'e-mail e da dove transita e se è possibile intercettare e leggere messaggi in chiaro allora crittare i msg (e mascherare le comunicazioni) rimane l'unica forma di difesa reale della privacy Per rendersi conto di come non solo la Rete ma anche telecamere, telefoni cellulari, carte di credito, satelliti spia, banche dati genetiche, sniffers, controlli biometrici sono tutti strumenti ai quali è necessario rapportarsi con coscienza per poter conservare un minimo di privacy consultare http://cello.cs.uiuc.edu/cgi-bin/slamm/ip2name www.rahul.net/falk/whois.html www.ecn.org/crypto www.soci.niu.edu/~cudigest www.europarl.eu.int/dg4/stoa/en/publi/166499/execsum.htm www.counterspyshop.com Applets e controlli ActiveX possono attivare procedure di danneggiamento e acquisizione informazioni. Java utilizza alcuni modelli di sicurezza per impedire alle sue applicazioni di eseguire operazioni illecite a bordo dei computer su cui vengono scaricate. ActiveX lascia ai controlli la massima libertà operativa ma prevede un meccanismo di autenticazione basato sui certificati che ne attestano la provenienza. I cookies sono files presenti sui browsers che possono fornire al server visitato una serie di informazioni quali le pagine visitate recentemente, indirizzo ip dell'elaboratore, nome e tipo del browser e del sistema operativo utilizzato presentando un'interfaccia personalizzata ad x identità che ha svolto y funzioni o che ha z caratteristiche. Per evitare l'azione dei cookies: 1.rimuoverli periodicamente 2.settare le opzioni del browser in maniera da monitorare o inibire i cookies 3.aprire il file cookies e cancellare il suo contenuto, salvare e modificare gli attributi del file permettendone solo la lettura 4.dotarsi di specifico software di prevenzione e controllo. Alcuni links utili: www.intermute.com www.falken.net/webfree http://home.netscape.com/newsref/std/cookie_spec.html www.cookiecentral.com Uno dei sistemi più efficaci per tutelare la propria privacy è quello di usare la posta elettronica in maniera anonima. Gli anonymous remailer inseriscono l'indirizzo del servizio di anonymous remailing al posto dell'indirizzo di rete originale. Perché usare un anonymous remailer? Per partecipare ad una discussione in rete portando un'esperienza personale oppure un contributo di pensiero o informativo senza che tutto ciò sia associato a una identità o traccia telematica cripto e' il primo anonymous remailer italiano che risponde all'indirizzo cripto@ecn.org Creatura molto educata (ad help risponde con tutti i suoi comandi e opzioni) e socievole (è in rete con tutti i suoi software simili nel mondo) è una risorsa utile a chiunque non voglia nascondere i propri sogni ma magari le proprie tracce digitali dagli occhi indiscreti di analizzatori di mercato e controllori sociali Di seguito cosa deve scrivere a cripto@ecn.org nel corpo del msg l'utentea@dominio che vuol scrivere ad un utenteb@dominio in maniera anonima :: Anon-To: utenteb@dominio Testo di prova È importante disabilitare la firma dal programma di posta; considerare l'affidabilità dell'a.r. prescelto; adottare la tecnica "chaining" per usare più a.r. magari avvalendosi di appositi programmi come Private Idaho (www.eskimo.com/~joelm/pi.html); utilizzare appositi client per utilizzare al massimo le funzionalità del tipo mixmaster (www.obscura.com/~loki) Per non ricevere messaggi anonimi scrivere all'operatore che aggiornerà l'apposita lista. Alcuni links utili: www.ecn.org/crypto/crypto ftp://utopia.hacktic.nl/pub/crypto/remailer finger rlist@anon.lcs.mit.edu alt.privacy.anon-server Un sistema a chiave pubblica consiste in un sistema che prevede due tipi di chiavi: una privata (secring.pgp) che serve a decodificare i msg in arrivo ed una pubblica (pubring.pgp) che consente a chiunque di scrivere msg criptati che potranno essere letti solo dalla persona che ha la chiave privata abilitata a leggere i msg prodotti dalla corrispondente chiave pubblica. Un sistema a chiave pubblica permette perciò di potersi scambiare msg anche attraverso sistemi di comunicazioni di tipo pubblico senza aver paura che siano letti in chiaro Per esempio se qualcuno volesse comunicare con "Ferry Byte" ferry.byte@ecn.org in maniera riservata può, utilizzando il pgp, fare riferimento alla seguente chiave pubblica -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6 mQCNAzLKsWQAAAEEAMErb4IviHHjJVlKI+QjAJSMRC/gMXOdZvYwmxAI5243LwoO y+isHBLKq0VktETgWR8VZmCJ/KUrqLNUZt9m7h71k6ZCUZK30orvQGf2h8Zi9XoG xJkJouXJIfwT4R9AVY9CzVFPWqJJK9NKjJW5Akfh3ADDz3Me5xTrsYhbiG/hAAUR tB9GZXJyeSBCeXRlIDxmZXJyeS5ieXRlQGVjbi5vcmc+iQCVAwUQMsqzFBTrsYhb iG/hAQEwqQP/Sdxnckg5KTKObk7SwZoJiPEdC834I8CNqJ7L8U2+8VaxvkWeiNuC vSOmFxmYyr+SSy0jzT8IXxbws5mQyds2bHiw+ijmt3I2u28KAtMZvIqKzv4pPeql ObXL3CL3xiTWRwaXDwoI+DMFi1zN7kwiJmcQvpDRQgYxmaR0Po3U18g= =JYNk -----END PGP PUBLIC KEY BLOCK----- e spedire messaggi riservati con la certezza che siano letti in chiaro solo dal destinatario della relativa chiave pubblica, anche se detti msg sono veicolati da estranei o su canali di comunicazione di tipo pubblico. Per pubblicizzare la propria chiave pubblica è possibile avvalersi dei keyserver. I keyserver (www.ch.pgp.net/pgpnet/wwwkeys.html) sono particolari server dedicati al deposito e al prelievo delle chiavi pubbliche. Sono in rete tra loro, per cui ogni chiave immessa in un server viene diffusa anche sugli altri. Pretty Good Privacy (PGP) è il software di crittografia a chiave pubblica più popolare (it.comp.sicurezza.pgp), la versione 2.6.3i la più consigliata (www.serve.com/nimrod/pgp.html) Il PGP permette anche di infilare una "firma" esclusiva nei tuoi messaggi, che può essere prodotta solo dalla tua chiave segreta consentendo di provare agli altri (possessori del pgp e della tua chiave pubblica) che sei stato tu a scrivere un certo messaggio La versione 2.6.3i di pgp è ricca di svariate altre funzioni come la cancellazione sicura di files con l'opzione -w così come altri crypto-programmi sono molto utili per comunicazioni vocali, steganografia, di gestione, sessioni telnet e ftp, visione di pagine web Alcuni links utili: www.ecn.org/crypto/soft www.ssh.fi/tech/crypto ftp.rivertown.net/pub/win/privacy www.netscape.com/eng/ssl3 Gli anonymizer (o proxy) sono server che permettono agli utenti di transitare da essi per visitare altri siti mascherando l'ip di provenienza. Un anonymizer (o un proxy) ridirige le richieste di pagina per cui il server di destinazione conserva su di sé le informazioni dell'anonymizer (o quelle previste dalla configurazione del proxy). I browser conservano traccia in locale delle navigazioni in svariati files di log (cache, cronologia, internet temp files, GlobalHistory, .hst). Alcuni links utili: www.junkbuster.com www.anonymizer.com www.lpwa.com www.magusnet.com/proxy.html www.research.att.com/projects/crowds/index.html Se qualcun* si vuol dilettare a spulciare fra bugs, nukes, hacks vari e ovviamente per le relativa contromisure non ha che l'imbarazzo della scelta, questa e' solo una base di partenza di links per eventuali navigazioni di approfondimento sul tema: it.comp.sicurezza.cert-it http://www.rootshell.com it.comp.sicurezza.varie http://www.w3.org/Security/Faq/wwwsf7.html it.comp.sicurezza.virus http://www.linuxvalley.com/~lserni/virus_faq.txt http://www.cs.purdue.edu/coast/hotlist http://www.fish.com/~zen/satan/satan.html http://www.cultdeadcow.com/tools http://members.tripod.com/~rebiss/ http://www.hackers-supply.com/code/ http://www.chaostic.com/filez/attackerz/ http://members.tripod.com/~ARTETX/ ftp.win.tue.nl/pub/security/tcp_wrapper ftp.tis.com/pub/firewalls/toolkit ftp.uu.net/networking/ident sierra.stanford.edu /pub/sources/swatch.tar.Z gatekeeper.dec.com /pub/DEC/screend/screend.tar.Z ftp.cs.purdue.edu/pub/spaf/COAST/Tripwire vedi per approfondimento sull'illegittimita' della guerra http://www.ecn.org/crypto/law/guerra.htm Alcuni liks utili per tenersi aggiornat* sulla legislazione italiana ma anche su quella internazionale: http://www.ecn.org/crypto/law http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm ++ Ferry di SN Key fingerprint = A5 F9 A5 D3 35 70 BF 25 25 90 C1 18 ED B8 AC 64 ,::. n-:;:;.' http://strano.net/cyber-rights /_\ `;:.' |~~~| ``' |~~~| |___| --------------------[ previous ]---[ index ]---[ next ]--------------------- =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- ==============================================================================