Bicocca.NET

Due righe per capire chi sono Autistici/Inventati

Il server di autistici.org/inventati.org e’ un server indipendente gestito da una Associazione, per l’esattezza un’associazione senza fini di lucro, nata dall’unione di progetti diversi sparsi un po’ su tutto il territorio nazionale. La gestione del server avviene su base volontaria e nessuno dei gestori ricava un soldo dal proprio impegno. Il server era ed e’ ospitato presso il provider commerciale Aruba.
L’obiettivo dell’Associazione sin dal marzo 2001 e’ quello di mettere a disposizione di chiunque (fatti salvi alcuni paletti ben precisi che potete leggere meglio nel nostro manifesto) servizi di comunicazione elettronica non commerciali, attraverso i quali la riservatezza e la liberta’ di espressione fossero maggiormente garantiti che non attraverso l’uso di servizi analoghi di natura commerciale. Oltre a questo ruolo di servizio l’Associazione si pone come obiettivi quello di sviluppare campagne sulla privacy, l’anonimato, l’utilizzo critico e consapevole degli strumenti informatici, sull’accesso ai saperi, sulla critica al controllo.

Il server fornisce un servizio email a 4700 persone, nonche’ 600 mailing list per un totale di oltre 30000 utentii (la cui mail non risiede esclusivamente sul server di autistici.org/inventati.org) , oltre 500 siti web, servizi di chat e di altra natura. La natura riservata e affidabile dei nostri servizi ha fatto si che sul server si ospitassero siti e email di molte persone: collettivi politici, attivisti vari, associazioni, avvocati, uffici legali, sindacalisti di base, gruppi e collettivi studenteschi, network internazionali e molto molto altro.

ARUBA-POSTALE 1 / PRIVACY 0

Quando siamo partiti con il progetto autistici, nel nostro pessimismo cosmico pensavamo che il peggio che potesse accadere e’ che portassero via la macchina, intercettassero il traffico in maniera pedestre e che la crittografia bastasse a rendere relativamente al sicuro le comunicazioni dei nostri utenti. Abbiamo sbagliato. In Italia non esistono le condizioni per poter parlare di tutela della privacy a nessun livello.

Il 15 giugno 2004 agenti della postale su ordine della Procura di Bologna si sono presentati presso il provider Aruba, dove e’ ospitato uno dei server della nostra associazione. Senza avvisarci Aruba ha spento la macchina e ha consentito agli agenti di copiare quello che volevano. Il provider, alle nostre telefonate per domandare il motivo del down, ha risposto parlando di un guasto tecnico alla presa elettrica dell’armadio.

Da quel momento, come si evince dagli atti, da pochi giorni a nostra disposizione, hanno proceduto alle intercettazioni sistematiche della webmail della casella

croceneraanarchica@inventati.org

Potenzialmente pero’ hanno potuto intercettare e riportare in chiaro tutte le altre comunicazioni che transitano dalla macchina e realisticamente e’ quello che stanno ancora facendo.

Per questo al piu’ presto spegneremo questa macchina, la ritireremo dal provider e valuteremo i prossimi passaggi. Gia’ da ora invitiamo tutti coloro che mantengono una macchina o un sito in quella web farm e hanno a cuore la propria privacy a cercare un altro luogo e lasciare Aruba a marcire nella loro meschinita’.

Le condizioni della privacy in Italia erano di per se’ drammatiche: ora abbiamo testato sulla nostra pelle che possiamo staccare la spina e dichiarare la morte clinica del paziente.

Non possiamo sapere quanti altri provider commerciali forniscano ausilio alle forze dell’ordine senza notificarlo ai propri clienti; non possiamo sapere quali e quante informazioni le forze dell’ordine possano prelevare dai nostri e dai vostri siti o server; non sappiamo che uso ne faranno e per quanto tempo; non possiamo sapere se il provider riserva questo stesso trattamento di favore a richieste commerciali ben pagate di concorrenti o agenzie di mercato per dati personali.

Lo scenario che si disegna e’ degno delle migliori utopie negative: organizzare una potenziale intercettazione di massa di circa 6000 utenti e 500 liste di discussione, con la scusa di leggere il contenuto di una sola casella mail e’ di per se’ quanto di piu’ lontano si possa immaginare dal concetto di liberta’ di espressione.

QUESTA NON E’ UNA QUESTIONE PRIVATA, non e’ qualcosa che interessera’ soltanto noi, che evidentemente rappresentiamo una comoda cavia sulla quale sperimentare nuove forme di controllo e di intercettazione, un po’ come tutte le persone coinvolte nelle indagini sul file sharing o in altri fatti di repressione in rete.

QUESTA NON E’ UNA QUESTIONE CHE RIGUARDA SOLO UNA ASSOCIAZIONE O UN SERVER INDIPENDENTE.

Si tratta della stessa indagine che con la scusa dell’acquisizione di un log ha consentito all’FBI di abusare di un mandato federale e di sequestrare l’intero server dove era ospitato indymedia Italia il 7 ottobre 2004.

In successivi comunicati piu’ tecnici cercheremo di illustrare meglio la tipologia dell’attacco e le nostre contromisure, nonche’ le iniziative politiche che intendiamo sviluppare, sperando di non essere da soli in questa battaglia. Per ora non potendovi garantire piu’ un servizio affidabile ritiremo la macchina per qualche giorno, la bonificheremo e la rimetteremo on line.

Non e’ nei nostri piani dare a forze dell’ordine e provider servili la soddisfazione di vederci desistere: il down sara’ il piu’ breve possibile, qualche giorno non di piu’, e sfrutteremo questa brutta vicenda per risorgere come una fenice ferita.

QUESTA NON E’ UNA QUESTIONE PRIVATA, ANCHE SE E’ UNA QUESTIONE DI PRIVACY.

LEGGI e DIFFONDI questa MAIL

Ripercorriamo i fatti

I servizi di crittografia offerti dal server di Autistici/Inventati, collocato presso la webfam di Aruba, sono stati compromessi in data 15.06.04. Ne veniamo a conoscenza il giorno 21.06.05. Un anno dopo.

Quel giorno di un anno fa, gli inquirenti, alias Polizia Postale, nell’ambito dell’inchiesta che ha portato alla sospensione di una casella e-mail (croceneraanarchica-at-inventati.org), in collaborazione con lo staff di Aruba (www.aruba.it), hanno spento il nostro server, senza nessuna comunicazione, e si sono copiati le chiavi necessarie a rendere possibile la decrittazione della WebMail; da allora hanno avuto, potenzialmente, accesso a tutto il contenuto del disco, compresi i dati sensibili di tutti gli utenti.

Quando ci accorgemmo che il server non era raggiungibile, chiamammo ripetutamente e piu’ volte la webfarm di aruba, chiedendo spiegazioni sul down. Si inventarono dei finti problemi tecnici, decidendo senza troppo soffrirne, che i loro clienti, le loro clausole contrattuali, i diritti degli utenti di un provider non valgono nemmeno una telefonata per avvertire i propietari del server; un posto dove conta di piu’ la menzogna e l’assenza di rispetto dei piu’ basilari diritti civili.

La nostra presenza, e quella dei nostri legali durante l’intervento avrebbe permesso di procedere senza dover violare la privacy di tutti gli utenti che utilizzano i nostri servizi di crittazione. Avremmo potuto, e dovuto, avvertire per tempo.

Abbiamo sempre sospettato che un’azienda con un nome auto esplicativo, con la web farm in Via Sergio Ramelli, non fosse degna di fiducia, tanto da un punto di vista personale quanto da un punto di vista tecnico.

Il pessimo servizio offerto ci aveva abituato, tristemente, a sentir scuse difficilmente credibili, riguardo ai numerosi problemi tecnici avuti con il servizio.

Purtroppo, nel giugno del 2004, non avevamo alternative. Il server doveva trovare una collocazione e nessuno dei posti che avevamo trovato dava maggiori garanzie da un punto di vista di garanzia di rispetto della privacy dei propri clienti, ne’ tantomeno nel semplice rispetto degli obblighi contrattuali. Ci siamo affidati ad Aruba, ed abbiamo sbagliato.

Quello che e’ successo e’ per noi molto grave, e non vogliamo nasconderci dietro difficili prospettive di revanche. Sara’ una battaglia dura, che combatteremo su tutti i fronti possibli, non ultimo quello legale.

La nostra quotidiana paranoia nella gestione dei dati personali, tesa e difendere i dati di tutti i nostri utenti, non e’ stata sufficiente, per mancanza di risorse e forse anche per il senso di inconscia ed ingiustificata fiducia nei confronti della legislazione che regola il diritto alla privacy.

Abbiamo interroto i servizi di crittografia, in quanto al momento non piu’ sicuri, a breve interromperemo anche il servizio di posta. Riattiveremo, in tempo breve, presso un diverso provider, un secondo server, bonificato.

Ma questo non sara’ sufficiente. E’ evidente che di fronte ad un investimento sempre maggiore di uomini e mezzi dedicati alla violazione sistematica della privacy di utenti, quali essi siano, e’ necessario ripensare il senso e la strategia di un progetto come il nostro.

Consci della situazione di debolezza in cui ci trovavamo (tristemente confermata dal peggior scenario teorico possibile) stiamo lavorando da ormai un anno ad una ricostruzione di tutta la nostra infrastruttura; adeguando per quanto possibile il livello di attenzione necessaria ad una difesa minima della privacy degli utenti. Presto, speriamo entro la fine dll’estate, entreremo nei dettagli tecnici che speriamo servano per dare la dimensione dello sforzo necessario alla costruzione di infrastrutture minime necessari a garatnire delle cose che, in teoria, dovrebbero essere diritti civili. Per quello che possono valere queste espressioni.

Una cosa pero’ e’ necessario che venga profondamente compresa da tutti; non e’ possibile delegare la gestione della privacy, a nessuno. Non esiste struttura politica o strumento tecnlogico in grado di garantire con certezza la tua privacy.

Invitiamo quindi tutti, ancora una volta, ad utilizzare in prima persona, senza affidarsi ciecamente ad altri, strumenti di crittografia forte (gpg per sempio) tanto per la posta quanto per la salvaguardia dei dati sui propri dischi. Il buon senso fara’ il resto.

Da parte nostra, potremo solo garantirvi che continueremo a fare il possibile per proteggere la riservatezza delle vostre e nostre comunicazioni, e quindi, semplicemente, la liberta’ di tutti di esprimersi e di comunicare.
22 giugno 2005. Il collettivo Autistici/Inventati

Cosa e’ successo

in teoria:

Sono stati intercettati, mediante copia, tutte le comunicazioni avvenute attraverso la casella e-mail croceneraanarchica-at-inventati.org, a partire dal 15/06/2004.

in pratica:

Il metodo utilizzato per procedere all’intercettazione e’ passato per una violazione dei diritti civili di tutti gli altri utenti del server, nonche’ dei suoi amministartori.
Dalla data dell’intervento infatti, tutte le comunicazioni (email e non solo) in transito da e per il nostro server, la cui riservatezza e’ normalmente garantita da un sistema di crittografia (SSL), sono da considerarsi intercettate da parte di personale non autorizzato della Polizia Postale.

come e’ successo

L’accesso ai dati sensibili dei nostri utenti e’ riservato esclusivamente agli amministratori dell’associazione investici, ne’ i tecnici di Aruba ne’ tantomeno terzi non identificati avrebbero la possiblita’, senza ricorrere a violazioni illegali, di accedere ai dati rispettosamente conservati sui nostri computer.

La polizia Postale, coadiuvata dallo Staff di Aruba, ha scelto la via piu’ semplice e meno rispettosa, lo spegnimento fisico del sistema, con interruzione duratura del servizio per oltre 30.000 persone, provvedendo succesivamente alla copia coatta dei dati a loro ritenuti necessari, senza che fosse possibile per i nostri tecnici di verificare la correttezza dell’operazione.

Da quel momento e’ stato possibile, mediante l’uso di tecnologie abbastanza diffuse, intercettare tutte le comunicazioni successivamente avvenute, di tutti i nostri utenti.

ma gli altri come fanno

Nonostante sia evidente la gravita’ del problema, ci teniamo a ricordare che le comunicazioni che avvengono normalmente, utilizzando servizi commerciali, non tengono nemmno in considerazione questo problema; sono pochi i casi in cui sono disponibili protocolli di crittazione e nessuno, a memoria di google, ha mai avvertito i propri utenti di quello che per noi e’ un problema: la compromissione della sicurezza dei dati personali dei propri utenti.
Ricordiamo che per tutti i provider di servizi commerciali, i dati sensibili degli utenti sono sistematicamente disponibili a terzi non meglio identificati, senza che questo sia considerato un problema.