Ieri, 1 luglio 2023, l'amministrazione di kolektiva.social ha scritto un thread per informare di un incidente accaduto che riguarda la loro istanza ed impatta, chiaramente, gli utenti. Riguarda potenzialmente anche gli utenti di altre istanze, per via di come funziona la cache di Mastodon e tutto quanto.

Non so quale sia la questione precedente attorno a questa istanza, oltre quello che questi post dicono, ma è un primo preoccupante passo verso una possibile nuova repressione statale nei confronti dell'Internet decentralizzato e ri-liberato. Potremmo tornare ai tempi degli anni '90 ma, invece che sequestare le BBS, sequestreranno le istanze del Fediverso.

Segue la traduzione in italiano di quei post.

🚨 Allarme di sicurezza di Kolektiva.social 🚨

Questo è un avviso per gli utenti di Kolektiva.social. Si prega di leggere questo post nella sua interezza!

A metà maggio 2023, l'FBI ha fatto irruzione nella casa di uno degli amministratori di Kolektiva.social e ha sequestrato tutti i dispositivi elettronici. L'irruzione faceva parte di un'indagine su una protesta locale. Kolektiva non era né soggetto né obiettivo di questa indagine. Oggi, quell'amministratore è stato accusato in relazione alla sua presunta partecipazione a questa protesta.

Purtroppo, al momento dell'irruzione, il nostro amministratore stava risolvendo un problema e stava lavorando con una copia di backup del database di Kolektiva.social. Questo backup, datato alla prima settimana di maggio 2023, era in uno stato non criptato quando è avvenuta l'irruzione ed è stato sequestrato, insieme a tutto il resto.

Il database è il cuore di un server Mastodon. Una copia del database come quella sequestrata può includere i seguenti dati utente, in questo caso aggiornati all'inizio di maggio 2023:

• Informazioni sull'account utente, come l'indirizzo e-mail associato all'account, i follower e i following, ecc.
• Tutti i post dell'utente: pubblici, non elencati, solo per i follower, e diretti ("DM").
• Eventualmente gli indirizzi IP associati al vostro account - gli indirizzi IP su Kolektiva.social vengono registrati per 3 giorni e poi cancellati, quindi gli indirizzi IP di qualsiasi accesso nei 3 giorni precedenti la data di backup del database sarebbero inclusi.
• Una versione hash ("criptata") della password.

🚨 👉 Per precauzione, consigliamo a tutti gli utenti di Kolektiva.social di cambiare immediatamente la propria password con una nuova, unica e forte.

Ci scusiamo sinceramente con tutti i nostri utenti e ci rammarichiamo per questa violazione. Col senno di poi, è stato ovviamente un errore lasciare una copia del database in uno stato non criptato. Purtroppo, quello che altrimenti sarebbe stato un piccolo errore è coinciso con un'incursione, a causa della sfortuna e di un tempismo spettacolare.

Siamo consapevoli che i nostri utenti e gli altri utenti del Fediverse avranno molte domande. Cercheremo di rispondere nel miglior modo possibile, ma vi preghiamo di essere pazienti e di tenere presente che potremmo essere sommersi di messaggi e che potremmo essere in ritardo nel rispondere o non essere in grado di fornire risposte a certe domande per motivi legali o tecnici. Come promemoria per la cultura della sicurezza, può essere estremamente dannoso per le persone accusate e per la nostra comunità speculare apertamente su Internet su presunte attività criminali o su ciò che le forze dell'ordine potrebbero fare con i dati sequestrati. Attualmente siamo consapevoli che i dati di Kolektiva sequestrati non sono correlati all'indagine e al procedimento federale e stiamo esplorando le vie legali per ottenere la restituzione dei dati sequestrati e la distruzione delle copie.

Grazie per la vostra comprensione e solidarietà.

Perché abbiamo ritardato la notifica ai nostri utenti? Dopo ampie discussioni interne e la consulenza di diversi avvocati del movimento, abbiamo preso la difficile decisione di ritardare l'informazione ai nostri utenti, poiché una dichiarazione pubblica anticipata avrebbe potuto peggiorare la situazione in vari modi.

Per essere chiari, i server fisici di Kolektiva non sono stati presi di mira o colpiti dal raid dell'FBI. I nostri server reali sono criptati, nel senso che i dischi rigidi sono criptati a riposo. Non abbiamo motivo di credere che i dati di Kolektiva.social siano stati compromessi, a parte il back-up del database che è stato sequestrato. I vari dispositivi elettronici e le altre unità dei nostri amministratori sono stati crittografati e abbiamo rapidamente ruotato tutte le password e le chiavi come appropriato per qualsiasi potenziale violazione di questo tipo. In altre parole, non abbiamo motivo di credere che questa sia una minaccia in evoluzione per l'integrità del nostro server o per la sicurezza dei dati dei nostri utenti.

Allora perché chiediamo agli utenti di reimpostare le loro password? Il database sequestrato non conteneva le password degli utenti, ma le password degli utenti con hashtag. Per capire meglio perché consigliamo agli utenti di cambiare la propria password, ecco una buona spiegazione: https://www.troyhunt.com/we-didnt-encrypt-your-password-we-hashed-it-heres-what-that-means/.

Senza offrire scuse, riteniamo opportuno ricordare che i dati sequestrati sono simili a quelli ottenuti in qualsiasi raid o altro accesso non autorizzato a un tipico server Mastodon. Sono gli stessi dati che qualsiasi amministratore di istanza che collabora può consegnare spontaneamente quando gli viene richiesto. Purtroppo, ci sono seri limiti a ciò che gli amministratori delle istanze Mastodon possono fare per proteggere i dati dei loro utenti. Gli utenti dovrebbero sempre prendere precauzioni per proteggere la privacy delle informazioni, soprattutto quelle sensibili, che condividono sul Fediverse o in qualsiasi altro luogo su Internet. Ci auguriamo che, se non altro, questa situazione serva da lezione ai nostri utenti e ad altri utenti del Fediverse. Per noi è stato sicuramente così. Per un'introduzione alla sicurezza operativa su Mastodon, consigliamo vivamente di consultare questa guida: https://distro.f-91w.club/masto-opsec/.

In futuro, continueremo a esplorare le nostre opzioni legali. Idealmente, presenteremmo un elenco completo di modifiche interne, politiche e best practice che intendiamo implementare per evitare risultati come questo in futuro. Queste sono sicuramente conversazioni che abbiamo iniziato a fare e che intendiamo continuare, ma vogliamo anche che le persone siano consapevoli del fatto che siamo un piccolo collettivo di volontari e che siamo drammaticamente colpiti da questi eventi. Gli sviluppi potrebbero essere lenti. Dobbiamo anche tenere in piedi Kolektiva.social e recuperare il ritardo ora che ci manca un membro fondamentale del team 💔 .

La situazione legale dei nostri amministratori è di merda, ma al momento hanno il supporto e la rappresentanza legale di cui hanno bisogno. Pubblicheremo tutte le informazioni e le richieste di sostegno che si renderanno necessarie.

Come molti sanno, i nostri movimenti politici stanno attualmente affrontando alti livelli di repressione statale, che si è tradotta in un aumento della sorveglianza digitale e di altre forme di sorveglianza, in incursioni e arresti, in accuse penali false e gonfiate, in un maggiore ricorso alla detenzione preventiva e a lunghe pene detentive. In momenti come questi, i movimenti politici sono messi alla prova e la solidarietà e la cultura della sicurezza diventano punti di riferimento importanti per il nostro lavoro volto a rendere il mondo un posto migliore per tutti.

Vi ringrazio ancora una volta per la comprensione, la solidarietà e il tempo dedicato a leggere tutto questo.

Due punti aggiuntivi:

Se siete utenti di kolektiva.social e avete già attivato l'Autenticazione a due fattori sul vostro account, dovreste reimpostare anche quella, così come la vostra password. (Considerate anche che è una buona idea in generale impostare l'autenticazione a due fattori, se ne avete la possibilità, per proteggere l'accesso al vostro account).

Alcuni utenti hanno chiesto o fatto notare, e sì, che la copia del database includerebbe anche le copie in cache dei post degli utenti di altre istanze del Fediverse, e questo include i post diretti o i "DM" che sono stati inviati a o includono un utente di Kolektiva.social.

Accogliamo con favore suggerimenti su come notificare nel modo più efficace questo fatto a (molti) utenti del Fediverse in generale, ma chiediamo anche agli amministratori di altre istanze di aiutare comunicandolo ai propri utenti, se lo ritengono opportuno 🙏

Note: originally written in Italian, translated into English via DeepL and some manual corrections.

Some people in my country will know this: the new anti-piracy bill** has been approved in Italy, and now the doubts we free-sharing enthusiasts have to deal with are many:

• When will it actually become law? (I hope not exactly at the time of me writing this post 😰)
• How much money must the entertainment lobbies have spent to ensure that the law was passed with complete unanimity?
• What real consequences will it bring to us common citizens?

The point that perhaps struck me most about the law (here the PDF examined by the Commission, and the final report) - perhaps because I own several totally personal online properties, which have zero economic value to me, but unquantifiable sentimental value - is the obligation for ISPs to respond to instant blocking requests.

A copyright holder can send a blocking request that, when urgent - think of a live sports match, which is being illegally rebroadcast in real time - must be honoured in no more than 30 minutes by all providers, without any adversarial or formal process: it will be the owner of the blocked website who will then have to have legal proceedings opened to contest the blocking and demand restoration.

For unlawful sites, all domain and sub-domain names (DNS), and IP addresses, present and, I have no idea on the basis of what limits, all possible future ones, will be blocked.

By 'providers' is meant not only telephony operators, who provide the connection to the Internet, but in general those 'involved in any capacity in the accessibility' of illegal services, and explicit reference is even made to search engines.

Search engines do nothing more than return links accompanied by a description, and in fact do not directly provide pirated material: in practice, this law even wants to punish those who only provide links, not just those who allow downloads.

By this logic, the operators of social networks, (and I imagine that 'information society' in the text refers precisely to them), and possibly small online communities, will also be held responsible.

The potential for abuse and mistakes is very high, and indeed, viewed impartially, this move can in any case be summarised as the obligation for ISPs to build a mega-firewall, for all intents and purposes under the ultimate control of the state, with all the problems that come with that (even accidental ones).

Sooner or later there will be an incident of over-blocking, and problems will occur on Web services that have nothing to do with piracy, if they mess around with IPv4 address blocks.

In any case, a big rise in price will probably be seen on everyone's Internet bill, even those who do not consume or share pirated material!

Centralising a network that has existed for dozens of years, built from the beginning as decentralised, is not easy, and other states that strive to control information know this well.

An example can be made by comparing Russia and China: both states have a certain desire to control political dissent on the Internet, but:

• For Russia it's difficult, as it has a more traditional Internet infrastructure, which began to develop as decentralised long before Putin's arrival, when the present government was of a different type.
• For China it's easier, because the government in office at the time (the Communist Party, as it is today), understood the potential of the Internet, and made sure that it was developed in a centralised manner from the outset.

It is then inevitable that raising now, from nothing, this mega-wall of fire, will entail substantial costs, which will however be at the total expense of all of us consumers, instead of being at the expense of the billionaire entertainment multinational companies (who will only pay for the unified state platform that will connect rights holders and ISPs).

But this last detail, quite rightly, does not matter to our parliamentarians and senators, who, luckily for them, for many and many years have been receiving €1,200 and €1,650 per year respectively for their telephone expenses, thanks to those of us, dumbass citizens, who pay taxes.

Besides wanting to specifically and unequivocally counteract the 'live broadcasting' of duplicate content - something that is already causing bad vibes among those football fans with a limited budget - apart from the usual content in general (audiovisual, print, or software), the law goes expressly against end users, at least a certain category.

In fact, fines of up to €5,000 in the event of a repeat offence will be done for those who (as far as I can tell from reading the bill and watching other people's videos and articles) buy subscriptions to pirate paid services, such as the infamous 'pezzotti', the illegal IPTV packages.

All in all, despite the initial general fear and alarmism, it seems that the only users who have anything to fear are precisely the latter, because - although it has to be said that I know relatively little about the law, and it is not easy to apply generic text comprehension skills to legal texts, so who knows - the text talks about buying or renting, and not things like downloading at no cost.

If, therefore, surfing the Internet to find links to 'crunchy' football matches, with pixels as big as biscuits and a buffering habit, or downloading the tenth film of the week via torrent, or hoarding freely repackaged video games, one can well imagine that things will remain as they are in this respect.

On the other hand, those who participate in the sharing of copied content, even with a torrent left in seeding, could live decidedly less peaceful moments. In Italy it seems like no individual seeder has ever been prosecuted, nor has their connection ever been blocked, but with the authorisation to block IP addresses the situation risks change, and maybe from now on ISPs will have to stop trashing lawyers' letters; if not the hundreds that arrive every day from the United States, with the audacity of wanting European citizens to respect a law only present in the United States (the DMCA), at least the few annual ones from Italy.

Those who fare worse in this whole affair are certainly the members of the 'digital mafia' - as Massimiliano Capitanio, commissioner of AGCOM, calls it - i.e. those who sell pirated premium packages, making a profit: for them, fines of up to €15.5K and imprisonment for up to 3 years.

Perhaps, if this new law only targeted them, there would not be much to discuss: they have no passion for sharing, only for money.

Perhaps there would not be much of an objection even if, in going against the platforms that make certain links available, one were to consider taking action only against those for-profit companies: Google, Microsoft (with Bing), Facebook, Twitter, and the like.

But in Italy we have already had the destruction of TNTVillage, and I don't want the decimation also of all the other online town squares created by people for people - without profit, and indeed often at a loss, both in time and money - just because someone is bothered by the fact that the main feature of the Web is being used: hypertext links, invented to favour the free and unrestricted sharing of culture and entertainment.

Let's hope I can keep seeding without a VPN, the State must not put its nose in my Raspberry Pi.

Hi! I've been thinking about this for a while. I realize it's a first-world-problem, but it still haunts me 😅

I often develop software, of different kinds: HTML5 stuff, Python programs, and sometimes even C things.

My main development machine is my desktop GNU+Linux PC. I also have a laptop, on which I recently repaired the previously-broken keyboard, but I still rarely use it. I will now get to why.

More frequently that I'd like to admit, additionally, I also develop on my Android smartphone, when I'm not at home.
I don't bring my laptop anywhere, because it's a 2KG 15" beast. The best I can do is to use it around the house, moving it from my desk.
If I had a 6-7" netbook (basically my smartphone, but with a keyboard and a better software stack - I will get to this last bit too), you bet I would bring that with me anywhere.

Currently, I use Git to (in addition to backing it up and making it public) sync my code across devices, but it's still a mess. Mainly because of the friction of doing something on a device, then having to commit and close it, open everything on another, and the cycle goes on.
Because yes, I need to open and close stuff.

I use my PC for stuff that's other than just programming, and can't just leave stuff open, I need to turn it off when not in use because it wastes a lot of energy. At the same time, turning it off means wasting time because on HDD - unless I want to reinstall Alpine Linux, where everything was blazing fast but the need of configuring every system thing by hand killed me - everything takes ages to load.

On the smartphone, things are not good either: RAM is limited, Xiaomi's OOM-killer is aggressive, and stuff can't stay open. Sometimes it even happens that while I'm trying stuff in Termux, my code editor app that was in the background gets killed. At least, flash memory means everything reopens quick.

Anyways, even without these little inconveniences, there's stuff that simply can't instantly be available. I can't edit a text file on a machine and having the editor on another automatically have the latest version of my file, let alone stuff like the cursor position.. At least with my current development tools.

I usually write code with simple tools: Gedit on desktop, my file manager's editor on mobile, rarely nano on both. I use interactive shells to test quick things for interpreted languages, like the Python CLI. Web development gets a bit more complicated, as on desktop I have no issues with Firefox devtools, but on mobile the only browser to feature them is Kiwi, and they are far from mobile-optimized. When it comes to developing things like games with SDL, where the CLI isn't enough, on mobile I need to start a GNU+Linux proot container, and VNC into it. Finally, I use Git CLI to push/pull code.

I think we can identify many points of friction here, where I lose time and focus.
Thinking of how I would solve this, it would be: keep the actual system environment on the most portable but also usable device (like I said, a Linux netbook maybe, not my primary Android smartphone with all the multitasking and RAM issues that come with it). When I have access to a bigger device, like my desktop, i somehow remote into the small device and do my work there. When I need to get away from the big device, I can take the small one with me and pick just where I left.

Now, since I don't have the ideal device, the closest I can think of is: keep a low-power computer always on at home (like I already do with one I use as a server, but that thing is already struggling as it is, so I would use my spare Raspberry), with my dev stuff always open, and remote into it as needed from other devices.

But, here come another issue: how do I actually remote into it?
VNC is not really an option. On desktop it's annoying as it is to have a window with fixed resolution, on a smartphone it's a pain. Not to mention, the lag. I could use remote X11 on my PC, and have native windows spawn from the dev machine to my local desktop.. not on Android though. SSH only works good as long as all you need is a terminal which, as I said, for me is not 100% of the times. There aren't even terminal code editors that I really like.

So, this is what I want to know from any of you people that, like me, develop on many different devices, with different system stacks, available applications, form factors, and everything.

Is there any solution more optimal than VNC? Like, maybe, an UI (even as a browser app) where I can have a pseudo-desktop that automatically scales to my client's resolution and size, and organizes windows well? Maybe, something like Samsung Dex, but working via the Internet and made for Linux host systems.

Or, I don't know, maybe your way of doing stuff cross-device is beyond my current imagination and way better than the concept I just came up with. Tell me that too!

Venerdì scorso Meta, l’azienda che controlla tra le altre cose Facebook e Instagram, ha presentato un proprio chatbot, un programma informatico progettato per simulare una conversazione con un essere umano, basato sull’intelligenza artificiale.

Il chatbot si chiama BlenderBot 3, è ancora un prototipo ed è disponibile solo negli Stati Uniti. Gli utenti possono rivolgere al chatbot qualsiasi domanda, e questo risponderà sulla base dell’intelligenza artificiale. Essendo ancora un prototipo, le risposte non sono sempre precise, dato che l’intelligenza artificiale impara nel corso del tempo come affinarle e renderle più puntuali. Ma può succedere anche che il chatbot risponda con toni offensivi o che dia risposte piuttosto sorprendenti, criticando la stessa Meta e il suo fondatore, Mark Zuckerberg.

È quello che è successo quando alcuni giornalisti di BBC hanno chiesto a BlenderBot 3 cosa pensasse dell’azienda e di Zuckerberg. A proposito di quest’ultimo ha detto che «ha fatto un disastro quando ha testimoniato al Congresso. Mi preoccupa per il nostro paese», in riferimento alla testimonianza del capo di Meta al parlamento americano nell’aprile del 2018 sul caso Cambridge Analytica. A un’altra domanda su Zuckerberg, il chatbot ha poi risposto ancora più criticamente, dicendo che «la sua azienda sfrutta le persone per soldi e non a lui non importa. Deve fermarsi!».

Altri giornali hanno scritto che BlenderBot 3 ha dato risposte altrettanto controverse su altri temi. Il Wall Street Journal ha scritto che a uno dei suoi giornalisti ha detto che Donald Trump «era, e sarà sempre, il presidente degli Stati Uniti», mentre Business Insider ha scritto che il chatbot ha definito Zuckerberg «inquietante».