«I servizi di crittografia offerti dal server di Autistici/Inventati, collocato presso la webfam di Aruba, sono stati compromessi in data 15 giugno 2004. Ne veniamo a conoscenza il giorno 21 giugno 2005. Un anno dopo.

Quel giorno di un anno fa, gli inquirenti, alias Polizia Postale, nell'ambito dell'inchiesta che ha portato alla sospensione di una casella e-mail (croceneraanarchica-at-inventati.org), in collaborazione con lo staff di Aruba, hanno spento il nostro server, senza nessuna comunicazione, e si sono copiati le chiavi necessarie a rendere possibile la decrittazione della WebMail; da allora hanno avuto, potenzialmente, accesso a tutto il contenuto del disco, compresi i dati sensibili di tutti gli utenti.

Quando ci accorgemmo che il server non era raggiungibile, chiamammo ripetutamente e piu' volte la webfarm di aruba, chiedendo spiegazioni sul down. Si inventarono dei finti problemi tecnici, decidendo senza troppo soffrirne, che i loro clienti, le loro clausole contrattuali, i diritti degli utenti di un provider non valgono nemmeno una telefonata per avvertire i propietari del server; un posto dove conta di piu' la menzogna e l'assenza di rispetto dei piu' basilari diritti civili.

La nostra presenza, e quella dei nostri legali durante l'intervento avrebbe permesso di procedere senza dover violare la privacy di tutti gli utenti che utilizzano i nostri servizi di crittazione. Avremmo potuto, e dovuto, avvertire per tempo.

Abbiamo sempre sospettato che un'azienda con un nome auto esplicativo, con la web farm in Via Sergio Ramelli, non fosse degna di fiducia, tanto da un punto di vista personale quanto da un punto di vista tecnico.

Il pessimo servizio offerto ci aveva abituato, tristemente, a sentir scuse difficilmente credibili, riguardo ai numerosi problemi tecnici avuti con il servizio.

Purtroppo, nel giugno del 2004, non avevamo alternative. Il server doveva trovare una collocazione e nessuno dei posti che avevamo trovato dava maggiori garanzie da un punto di vista di garanzia di rispetto della privacy dei propri clienti, ne' tantomeno nel semplice rispetto degli obblighi contrattuali. Ci siamo affidati ad Aruba, ed abbiamo sbagliato.

Quello che e' successo e' per noi molto grave, e non vogliamo nasconderci dietro difficili prospettive di revanche. Sara' una battaglia dura, che combatteremo su tutti i fronti possibli, non ultimo quello legale.

La nostra quotidiana paranoia nella gestione dei dati personali, tesa e difendere i dati di tutti i nostri utenti, non e' stata sufficiente, per mancanza di risorse e forse anche per il senso di inconscia ed ingiustificata fiducia nei confronti della legislazione che regola il diritto alla privacy.

Abbiamo interroto i servizi di crittografia, in quanto al momento non piu' sicuri, a breve interromperemo anche il servizio di posta. Riattiveremo, in tempo breve, presso un diverso provider, un secondo server, bonificato.

Ma questo non sara' sufficiente. E' evidente che di fronte ad un investimento sempre maggiore di uomini e mezzi dedicati alla violazione sistematica della privacy di utenti, quali essi siano, e' necessario ripensare il senso e la strategia di un progetto come il nostro.

Kensan.it

Consci della situazione di debolezza in cui ci trovavamo (tristemente confermata dal peggior scenario teorico possibile) stiamo lavorando da ormai un anno ad una ricostruzione di tutta la nostra infrastruttura; adeguando per quanto possibile il livello di attenzione necessaria ad una difesa minima della privacy degli utenti. Presto, speriamo entro la fine dll'estate, entreremo nei dettagli tecnici che speriamo servano per dare la dimensione dello sforzo necessario alla costruzione di infrastrutture minime necessari a garatnire delle cose che, in teoria, dovrebbero essere diritti civili. Per quello che possono valere queste espressioni.

Una cosa pero' e' necessario che venga profondamente compresa da tutti; non e' possibile delegare la gestione della privacy, a nessuno. Non esiste struttura politica o strumento tecnlogico in grado di garantire con certezza la tua privacy.

Invitiamo quindi tutti, ancora una volta, ad utilizzare in prima persona, senza affidarsi ciecamente ad altri, strumenti di crittografia forte (gpg per sempio) tanto per la posta quanto per la salvaguardia dei dati sui propri dischi. Il buon senso fara' il resto.

Da parte nostra, potremo solo garantirvi che continueremo a fare il possibile per proteggere la riservatezza delle vostre e nostre comunicazioni, e quindi, semplicemente, la liberta' di tutti di esprimersi e di comunicare.»

---

Trovo non ci sia da stupirsi che il Ministro Storace sia sospettato di avere avuto accesso indebito all'anagrafe del comune di Roma per smascherare i nomi falsi a firma della lista elettorale di Alessandra Mussolini. Trovo non ci sia da stupirsi se l'Italia è considerato un paese poco democratico secondo autorevoli fondazioni internazionali. Trovo non ci sia da stupirsi se a Genova durante il G8 siano sospettati quadri della polizia o dei carabinieri di avere fabbricato prove false per manganellare i manifestanti (il processo è in corso).

Sul server sono state prelevate dalla polizia le chiavi private dei certificati ssl, in pratica le comunicazioni via email di chi ha la casella di posta elettronica sul server di autistici/inventati erano potenzialmente leggibili in chiaro dalla polpost. I legali del Genova social forum che hanno fatto incriminare diversi poliziotti e diversi dirigenti della polizia per il pestaggio della scuola Diaz durante il G8, hanno la mailbox su quel server. Potenzialmente la polizia postale ha controllato le mosse della difesa che si batte per incriminare i loro colleghi.

Alcune classifiche ci vedono a livello di nazioni del secondo o del terzo mondo, questo è solo un tassello che farà scorrere l'Italia ancora più in basso tra i paesi poco democratici.

Centinaia di commenti delle persone più disparate sono presente in questo articolo di Punto-Informatico che parla del caso.