Re: [Hackmeeting] il dio dei morti, il calamaro gigante e al…

Delete this message

Reply to this message
Author: vecna
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] il dio dei morti, il calamaro gigante e altri problemi
ale wrote:

| (puoi sempre usare un server SMTP che anonimizza il tuo IP quando ti

autentichi,
| ma vabbe' facciamo finta che sia un ostacolo insormontabile).

|
| In realta' questa mail e' un banale esperimento.


quello che sarebbe giusto non e' aspettarsi che il server SMTP
dell'utente iscritto anonimizzi gli header, quanto quello di
inventati.org metta una "storia" differente negli header, rimuovendo
quelli dell'utente e mettendono altri.

con postfix si puo' fare (certo, si parla di rimozione e regexp fisse)

kraken wrote:
| non credo che chiudere una lista di persone di per sè _chiuse_ sia un
| misfatto.
| più che altro un gesto di coerenza, ma potrebbe non essere questo il
| caso, non in assoluto, almeno.

non sarebbe una soluzione, non e' chiudendo la lista a certi domini, o
facendo pure verifiche sull'MX, che ti assicuri che la posta non arrivi
su google/yahoo/msn, a causa degli alias di posta.


| per altro, di quale orizzontalità parli?


orizzontalita' nel senso che non ci sono liste "sopra" a queste, quindi
non c'e' una gerarchia che altrimenti verticalizzerebbe.

| se tale soluzione è una "pulizia" dalle "mailbox cattive" allora
| sarebbe meglio scriverlo sulla pagina pubblica della lista, tipo "qui
| non entri se usi google o salcazzo per questi motivi bla bla bla" e
| magari lo spieghi con tanto di link, PRIMA di accogliere neofiti et
| simila in ml.


la pulizia discussa con lobo non puo' essere una soluzione e voleva
giusto portare in superfice il problema.

secondo me, non si puo' fare nessun tipo di analisi a priori sulle mail
iscritte, per evitare che questa siano:

1) analizzate
2) archiviate e pubblicate via web in posti diversi da ecn.org
3) qualunque altra cosa.

per questo i sistemi di protezione devono essere fatti a monte, cioe'
prima che l'email arrivi a tutti i destinatari.

per questo motivo passavo il link di anubis. anubis e' un proxy MTA,
consente di proxare un'email, e in relazione a quello che c'e' nei
singoli campi header, o nel body, e di cambiarlo.

e' molto configurabile e si potrebbe sviluppare un file di
configurazione abbastanza comprensivo in modo che, un indirizzo
specifico (quello della mailing list) supporti dei comandi extra.

comandi che vengono messi nel subject dall'utente, cosi' da poter
richiedere alla mailing list dei comportamenti diversi (ad esempio,
strippare gli header, nascondere l'indirizzo email, cambiare il nome in
qualcosa di derivato da una password).

si possono prevedere delle azioni che non disturbano il quieto
comunicare della lista, ma rendono difficili operazioni di open source
intelligence fatte sugli archivi della mailing list.

questo si ricollega un po' a quello di cui avevo parlato ad hackit 2007
(edera), ma non ha ancora preso una forma sensata.

| secondo me la comodità di uno strumento è inversamente proporzionale
| al grado di paranoia con il quale lo si utilizza. almeno di norma.


non sono d'accordo,

e' questione di GUI. tor a command line e' molto meno usabile di
firefox+tor button, ma il risultato e' lo stesso.

linux se metti grsec e PAX vuol dire che ti ricompili kernel e configuri
~ dettagli esageramente minuziosi, windows XP SP2 supporta alcune
protezioni in modo automatico e l'exploiting sotto windows diventa
difficile quanto quello sotto linux con pax e grsec.

inoltre il mio obiettivo era l'open source intelligence, cioe' che anni
dopo si possano fare analisi su cose dette in passato. io non so tra 3
anni come sara' la situazione, ma da google non c'e' oblio, quindi c'e'
da pensare prima che le mail arrivino ad anonimizzarle.

naturalmente una soluzione a livello SMTP non protegge da
un'intercettazione, ma si tratta di un contesto di rischio ben diverso:
l'OSI la fa chiunque, da ovunque, per i motivi che ha in mente lui.
un'intercettazione la fanno poche persone, perche' un PM li ha
autorizzati, per motivi per precisi.

| ma
| come nella stragrande maggioranza degli ambiti autogestiti che ho
| vissuto, diciamo che le parole di ciascun componente non hanno sempre
| lo stesso peso.


questa la chiamo autorevolezza, che e' un po' la profilzione che fa
ognuno di noi invecchiando, citanto il bellissimo esempio di bruce schneier:

"se un uomo sporco di sangue con un coltello in mano ci corre dietro in
strada. scappiamo. ecco stiamo facendo della profilzione. magari
sbagliamo, e' semplicemente il macellaio che vuol dirci che abbiamo
dimenticato lo scontrino, ma stiamo facendo profilazione e ci
comportiamo di conseguenza".

stupendo :)

quello che e' diverso, e' che il tuo cervello e' tuo con informazioni
tue, gli archivi sono di boh con informazioni di tutti. sta a noi far in
modo che queste informazioni:

1) non siano accessibili (usando javascript e sapendo che i crawler non
lo interpretano)
2) siano gia' state taroccate prima che arrivino in giro (e il sistema
centralizzato, previsto perche' gestito da gente tecnopoliticamente
motivata te ne da la possibilita')


poi boh, ai posteri la verifica degli archivi :P