IMC ITALIA ::: COMUNICADO URGENTE
Los servicios de criptografía ofrecidos por el servidor de Autistici/Inventati, ubicados en los servicios de hospedaje de Aruba, están comprometidos desde el 15.06.04. Nos enteramos el día 21.06.05. Un año después.
Hace un año los investigadores, alias Polizia Postale [Policía Postal], en el ámbito de la investigación que concluyó con la suspensión de una casilla e-mail (croceneraanarchica-at-inventati.org), en colaboración con el equipo de Aruba, apagaron nuestro servidor, sin ningún tipo de comunicación, y copiaron las claves necesarias para hacer posible la desencriptación del WebMail; desde entonces han tenido, potencialmente, acceso a todo el contenido del disco, incluyendo los datos sensibles de todos los usuarios.
Cuando nos dimos cuenta que el servidor no funcionaba, llamamos varias veces al servicio de alojamiento de Aruba, pidiendo explicaciones acerca de la falta de funcionamiento [down]. Inventaron falsos problemas técnicos, decidiendo unilateralmente que sus clientes, sus cláusulas contractuales, los derechos de los usuarios de un provider no merecen siquiera una llamada telefónica para advertir a los propietarios del server; un lugar donde vale más la mentira y la ausencia de respeto de los más básicos derechos civiles.
Nuestra presencia y la de nuestros abogados durante la intervención, podrían haber logrado el procedimiento de relevamiento de los datos sin violar la privacidad de todos los usuarios que utilizan nuestros servicios de criptografía. Habríamos podido, y debíamos, advertir oportunamente.
Siempre sospechamos que una empresa con un nombre explícito, con el servicio de alojamiento en Via Sergio Ramelli (estimado martir facista, según Paolo Landi del equipo del servicio de alojamiento), no era digna de confianza, tanto de desde el punto de vista personal como desde el punto de vista técnico.
El pésimo servicio ofrecido nos había acostumbrado, tristemente, a escuchar excusas difícilmente creíbles, respecto a numerosos problemas técnicos que teníamos con el servicio.
Lamentablemente, en junio de 2004, no teníamos alternativas. El servidor necesitaba un alojamiento, y ninguno de los lugares que habíamos encontrado brindaba mejores garantías desde el punto de vista de garantía del respeto de la privacidad de sus clientes, ni tampoco para el simple respeto de las obligaciones contractuales. Elegimos Aruba y nos equivocamos.
Lo que sucedió es, para nosotros, muy grave, y no queremos escondernos detrás de improbables perspectivas de revancha. Va a ser una batalla dura, que presentaremos en todos los frentes posibles, incluido el legal.
Nuestra cotidiana paranoia sobre la gestión de los datos personales, dirigida a defender los datos de todos nuestros usuarios, no fue suficiente, por falta de recursos y quizás por un sentido de inconsciencia e injustificada confianza respecto de la legislación que regula el derecho a la privacidad.
Hemos interrumpido los servicios de criptografía, por cuanto en este momento no son seguros, y en breve interrumpiremos también el servicio de correo. A la brevedad reactivaremos, en otro provider, otro servidor "limpio".
Pero esto no será suficiente. Es evidente que frente a una embestida cada vez mayor de hombres y medios dedicados a la violación sistemática de la privacidad de los usuarios, quienes quiera que sean, es necesario repensar el sentido y la estrategia de un proyecto como el nuestro.
Conscientes de la situación de debilidad en la cual nos encontramos (tristemente confirmada por el peor escenario teórico posible) estamos trabajando desde hace un año en una reconstrucción de nuestra infraestructura; adecuando en lo posible el nivel de atención necesario para una defensa básica de la privacidad de los usuarios. Esperamos que pronto, quizás antes del final de este verano, comunicaremos los detalles técnicos que esperamos que sirvan para dar la idea del esfuerzo necesario para la construcción de infraestructuras mínimas necesarias para garantizar las cosas que, en teoría, tendrían que ser derechos civiles. Por cuanto puedan valer estas expresiones.
Hay algo que es necesario que sea profundamente comprendido por todos; no es posible delegar la gestión de la privacidad; a nadie. No existe estructura política o instrumento tecnológico que esté en grado de garantizar con seguridad tu privacidad.
Por lo tanto, invitamos a todos, una vez más, a utilizar por sí mismos, sin confiar ciegamente en otros, instrumentos de criptografía fuerte (gpg por ejemplo) tanto para el correo como para la custodia de los datos en los discos. El sentido común hará el resto.
Por nuestra parte, podremos solamente garantizarles que continuaremos a hacer lo posible para proteger la reserva de vuestras y nuestras comunicaciones, y por lo tanto, simplemente, la libertad de todos a expresarse y comunicarse.
22 de junio de 2005. El colectivo Autistici/Inventati
La mañana del 26 de mayo hemos recibido un fax y diversas llamadas telefónicas de la Digos solicitando la clausura de una dirección de correo albergado en nuestro server. Se trata del mail
croceneraanarchica(at)inventati.org
Al mismo tiempo ha sido solicitado el cierre preventivo (="sequestro") de la página
http://www.filiarmonici.org/crocenera.html
Filarmonici Mirror Web Site on: Squat.net
La solicitud se enmarca en el ámbito de los arrestos y registros sucedidos el mismo día contra diversas personas un poco por toda Italia. Para mayor información podéis consultar
o entre otros:
Hemos sido obligados a borrar el correo, como solicitado en la orden que podéis leer en
http://italy.indymedia.org/news/2005/05/798576.php
Es la primera vez que como servidor autogestionado recibimos una solicitud de este tipo. De hecho no hemos sido obligados a revelar datos relativos al uso de un cierto correo electrónico como en otras ocasiones, sino a borrar la cuenta. En cualquier caso no hubieramos podido revelar información alguna de este tipo, dada la orientación no-log de nuestras máquinas: no mantenemos datos sensibles sobre el uso de los recursos de autistici/inventati y por tanto no tenemos la capacidad de asociar una cuenta de correo o de web a una persona física. De los actos se comprende de todas maneras que el seguimiento de las comunicaciones por parte de los investigadores se refina con el ejercicio. El número de interceptaciones de correo no es controlable e involucra cada vez más a menudo a los grandes proveedores comerciales, en el caso específico hotmail.com. Un proveedor comercial común evidentemente no siente la necesidad de garantizar la reserva de la correspondencia de los propios usuarios. Este dato se ha visto claramente también en el ámbito de la investigación de Cosenza
http://www.autistici.org/pub/newsletter/it/comunicato-arresti-cosenza-20021119.txt
donde parte del material citado había sido conseguido por medio de la intervención sobre cuentas de correo hospedadas por proveedores comerciales. La necesidad/derecho de privacidad y anonimato son unos de los puntos fundamentales de nuestro proyecto y, en nuestra opinión, inseparable de cualquier forma de comunicación. Más allá de este caso específico pensamos que es verdaderamente preocupante la utilización cada vez más desenvuelta que magistratura y cuerpos de policía hacen de interceptaciones, registros y cierres. Hace unos meses, precisamente el 25 de febrero, en algunos titulares periodísticos, y en particular en el "Sole 24 ore", aparecían artículos en los cuales Telecom se lamentaba de no tener suficientes recursos técnicos para satisfacer todas las solicitudes de intervenciones telefónicas de la magistratura. Se trata de un hecho interesante, al límite del ridículo, pero que aclara la dimensión del problema. No somos por tanto solo nosotros, paranoicos de vocación, los que nos damos cuenta de la anomalía. El mercado de las intervenciones está en plena expansión: se habla de 300 millones de euros al año para el 2004 y de alrededor de 140 mil intervenciones sobre móviles solamente para la Telecom y cerca de 120 mil listas de llamadas cedidas a la magistratura. Son datos que no nos hemos inventado, sino que hemos recogido de un especial de "Repubblica", uno de tantos órganos de "información" que está contribuyendo en estos días al linchamiento mediático de los detenidos y de los registros. Se trata de un especial sobre intervenciones telefónicas que se puede consultar on line: Repubblica On-line
Analogamente a cuanto sucede en la "vida real", está cada vez más lejos la idea de una red libre y incensurable. Donde existe quien tiene el poder de hojear nuestras vidas como un libro abierto y lo aprovecha cada vez más; y con cada vez mayor conocimiento de causa, nosotros nos sentimos cada vez menos libres, pero cada vez más decididos a defender y ampliar nuestros espacios de libertad con las uñas y con los dientes. Estas pocas líneas en caliente son las primeras que nos atrevemos a publicar. Para una lectura más amplia de lo sucedido os remitimos al próximo comunicado conjunto con Isole nella rete.
Algunas palabras para entender quienes somos
El servidor de autistici.org/inventati.org es un server independiente adminstrado por una Asociación sin fines de lucro. El servidor estaba y está alojado en el proveedor comercial Aruba.
El objetivo de la Asociación desde marzo de 2001 es el de poner a disposición de todos servicios de comunicación electrónica no comerciales, cuya reserva de privacidad fuera mejor garantizada que a través del uso de servicios análogos de naturaleza comercial. Además de este rol de servicio, la Asociación se pone como objetivos desarrollar campañas sobre la privacidad, sobre los saberes y sobre las tecnologías en general.
El server brinda un servicio e-mail a 4.700 personas, como así también 600 listas de discusión para un total de más de 30.000 usuarios (cuyo e-mail no reside exclusivamente en el servidor de autistici.org/inventati.org), más de 500 sitios web, servicios de chat y otros. La naturaleza reservada y confiable de nuestros servicios ha hecho que se hospeden en el servidor sitios e e-mails de abogados, periodistas, políticos, activistas, asociaciones humanitarias, oficinas legales, sindicalistas, grupos universitarios, redes internacionales y mucho más.
Comunicado urgente Autistici/Inventati
22/06/2005
Cuando comenzamos el proyecto Autistici, con nuestro pesimismo cósmico pensábamos que lo peor que nos podía suceder era que se llevaran la máquina e interceptaran el tránsito de manera burda, pero al mismo tiempo pensabamos que la criptografía era suficiente para garantizar que las comunicaciones de nuestros usuarios tuvieran un mínimo de seguridad. Estabamos equivocados. En Italia no existen condiciones para hablar de tutela de la privacidad a ningún nivel. El 15 de junio del 2004 agentes de la policía postal bajo orden de la Fiscalía de Bolonia se presentaron al provider Aruba, donde está alojado uno de los servers de nuestra asociación. Sin avisarnos Aruba apagó la máquina y permitió a los agentes copiar lo que quisieron. Cuando llamamos preguntando el motivo por el cual el server estaba caido, la respuesta fue que había un problema en la parte eléctrica del rack (estanterías).
Desde ese momento, como se ve en las actas que desde hace pocos días están a nuestra dispocisión, han procedido a interceptar el webmail de la casilla croceneraanarchica@inventati.org. Además, potencialmente han podido interceptar y reconstruir claramente las comunicaciones que pasan por esta máquina, y en realidad es lo que están haciendo ahora todavía.
Por esta razón, en breve lapso apagaremos esta máquina, la sacaremos del provider y evaluaremos cuáles son las próximas cosas para hacer. Desde ya invitamos a todos los que tienen una máquina o un sitio en ese alojamiento web, y consideran importante su propia privacidad a buscar otro sitio y dejar que Aruba que se pudra en su mezquinidad.
Las condiciones de la privacidad en Italia ya eran dramáticas: ahora hemos constatado en nuestra propia piel que se puede desconectar el enchufe y declarar la muerte clínica del paciente.
No podemos saber cuántos proveedores comerciales dan auxilio a las fuerzas del orden sin notificación a sus clientes, no podemos saber cuáles ni cuánta información puedan sacar las fuerzas del orden de nuestros o vuestros servidores o sitios, no sabemos qué puedan hacer con toda esa información ni por cuánto tiempo, no podemos saber si el proveedor actúa de esta misma forma ante pedidos comerciales bien pagados por otros servers, o si también son utilizados por agencias de mercadotecnia para datos personales.
El panorama que se presenta es digno de las peores utopías negativas: organizar una potencial interceptación de masa para alrededor de 6000 usuarios y 500 listas de discusión con la excusa de leer el contenido de sólo una casilla de correo, es algo que está muy lejos del concepto de libertad de expresión.
ESTO NO ES ALGO PRIVADO, no es algo que solamente repercute en nosotros, quienes evidentemente representamos un cómodo experimento para encontrar nuevas formas de control y de interceptacion, más o menos como todas las personas que de alguna forma han sido tocadas por las investigaciones sobre file-sharing u otros hechos de represión en la red.
ESTO NO ES ALGO QUE TOCA SOLO UNA ASOCIACION O UN SERVER INDEPENDIENTE.
Es la misma investigación que, con la excusa de relevar un log, permitió al FBI abusar de una orden federal y secuestrar el server donde estaba alojada Indymedia Italia el 7 de octubre de 2004.
En próximos comunicados intentaremos brindar explicaciones técnicas sobre el tipo de ataque y las contramedidas efectuadas, así como también las respuestas politicas que pensamos llevar adelante, esperando no estar solos en esta batalla.
Por ahora, no pudiendo garantizar un servicio confiable retiraremos la máquina por algunos días, la haremos nuevamente segura y entonces volverá a estar on line. No está en nuestros planes dar a las fuerzas del orden ni a proveedores siervos la satisfacción de vernos desistir: el down será lo más breve posible y utilizaremos esta terrible experiencia para renacer de las cenizas.
ESTO YA NO ES ALGO PRIVADO, AUNQUE SEA UNA CUESTIÓN DE PRIVACIDAD.
autistici.org / inventati.org
qué sucedió
en teoría:Fueron interceptadas, mediante copia, todas las comunicaciones realizadas a través de la casilla e-mail e-mail croceneraanarchica-at-inventati.org, a partir del 15/06/2004.
en la prática:El método utilizado para proceder a la interceptación fue realizado mediante una violación de los derechos civiles de todos los otros usuarios del servidor, así como de sus administradores. Desde la fecha de intervención, de hecho, todas las comunicaciones (e-mail y otras) en tránsito desde y hacia nuestro servidor, cuya privacidad está normalmente garantizada por un sistema de criptografía (SSL), hay que considerarlas como interceptadas por parte de personal no autorizado de la Policía Postal.
cómo pudo suceder
El acceso a los datos sensibles de nuestros usuarios está reservado exclusivamente a los administradores de la asociación, ni los técnicos de Aruba ni tampoco terceros no identificados tendrían la posibilidad, sin recurrir en violaciones legales, acceder a los datos respetuosamente conservados en nuestros ordenadores.
La policía Postal, coadyuvada por el Equipo de Aruba, eligió la vía más simple y menos respetuosa, apagando físicamente el sistema con interrupción duradera del servicio para más de 30.000 personas, y realizando sucesivamente copia coactiva de los datos que ellos consideraron necesarios, sin que fuera posible para nuestros técnicos verificar la corrección de esta operación.
Desde ese momento ha sido posible, mediante el uso de tecnología bastante común, interceptar todas las comunicaciones que sucesivamente fueron realizadas por nuestros usuarios.
pero cómo hacen los demás
A pesar de la evidente gravedad del problema, tenemos que recordar que las comunicaciones que se realizan normalmente, utilizando servicios comerciales, no tienen siquiera en consideración este problema; son pocos los casos en los cuales están disponibles protocolos de encriptación y nadie, según Google, ha advertido nunca a los propios usuarios sobre lo que para nosotros es un problema: el compromiso de la seguridad de los datos personales de los propios usuarios.
Recordamos que para todos los proveedores de servicios comerciales, los datos sensibles de los usuarios están sistemáticamente disponibles para terceros no identificados, sin que esto sea considerado un problema.
0 Comments:
Publicar un comentario
<< Home