ENG ITA
Novità - Stato del progetto
07 Sep 2015 Riprende lo sviluppo di OnionMail
Dopo la pausa estiva lo sviluppo del server riprende.
Per causa di diverse interferenze iniziate intorno alla vicenda TorMX, ed i tentativi di attacco alle macchine di alcuni sviluppatori, OnionMail è sviluppato su un repository GIT interno.

La versione su https://github.com/onionmail/onionmail è aggiornata automaticamente a cicli settimanali.
Visti i recenti attacchi per scoprire l'ogranigramma di OnionMail project da parte di alcune entità statunitensi, si preferisce seguire le specfiche del progetto Furamide.
In pratica l'accesso in scrittura del programma principale è permesso agli sviluppatori fidati.
Su github gli update sono effettuati modificando di volta in volta il mittente con account a rotazione per proteggere l'identità degli sviluppatori.
Le modifiche sul git esterno sono prese in considerazione ed eventualemnte integrate nel programma principale, questo per evitare backdoor.

Il sorgente più aggiornato si torva su: github ed all'interno del pacchetto APT.
Quello futuro sul git interno.
Se vuoi accedere chiedi.

Parteciapre allo sviuppo:

Basta chiedere, la mail la trovi alla sezione contatti.
  • Se apri un nodo di entrata/uscita sul computer dove sviluppi, tieni conto di quanto scritto sopra.
  • Usa il git interno, quindi chiedi utilizzando gli indirizzi nella sezione contatti.
  • Non rinominare nulla. Chiedi lo facciamo noi.
  • Puoi richiedere l'attivazione di alice e bob.
Gruppi di lavoro:
  • OnionMail (Applicazione server).
  • APT (Pacchetti, wizard lato server).
  • TAILS Wizard
  • Web (onionmail.info)
  • Traduzioni
  • SysOp (Se vuoi gestire un server).
  • Test (Test, verifiche sicurezza).
  • OnionMail Web (Sviluppo interfaccia web).
  • Directory (OnionMail directory e progetti collaterali).
Gli attacchi, TorMX, quindi Furamide:
Dopo gli attacchi alla rete Tor, alcune agenzie di sicurezza americane tentavano di scannerizzare diversi server OnionMail (tramite TOR, tramite Internet su TorMX e OnionMail, i server di uscita).
Poveretti, ancora con shellshock, poodle, ecc... (gia testati, non funzionavano. OnionMail non usa OpenSSL).
Tant'è che alla fine su alcuni server è presentato il protocollo vulerabile SSL, ma se lo usi simula e chiama i sysop, gli amministratori di sistema.

La cosa divertente è accaduta così:
Vedendo l'indirizzo ip di un server exit di prova, hanno tentato di entrare in un computer di uno viluppatore, fatto prove ecc...
Peccato che era tutto loggato con un wireshark aperto perchè si stavano sviluppando dei protocolli sperimentali. Dico ma se fai degli attacchi, li devi proprio fare in faccia a qualcuno che ti logga e fa debug di tutto e ti sgamma in tempo reale???
LOL.

Dopo questo episodio si è pensato di usare una piccola modalità di paraculaggio, ispirata al progetto non pubblico Furamide:
Jeremy Bentham nel 1971 ipotizzava il Panopticon (un concetto, un carcere, un modello, un istituto psichiatrico). La cosa fu poi ripresa da Focoault. (Consiglio la lettura del libro "Sorvegliare e punire").
Dunque il Panopticon, tra le altre cose, apparentemente, si fonda sull'incertezza di essere sorvegliati. Così l'osservatore ottiene potere mentale sulla mente dei cracerati attraverso la strumentalizzazione della paura. Ma fa anche reverse sui carcerati attuando tecniche per l'esercizio del potere sui corpi docili. (Ecco per essere con OnionMail occorre sessere corpi opachi).
L'idea di Furamide è:
Rendere il panopticon come un teatro dove tra i carcerati ci sono degli attori, creando nel sorvegliante l'incertezza che ciò che stà guardando sia una recitazione, creando così confusione nella mente del Grande Fratello come non era mai stato fatto prima.
Quindi si arriva al git interno ed al git esterno. I server di prova passano attraverso NTU.
Quando TorMX è stato chiuso, è stato riaperto il giorno dopo come server di prova per gli attacchi. NTU girava tutto al vero server di debug. É stata un esperienza interessante.

Su Furamide si stanno sperimentando attività di invio e ricezione di messaggi email con PGP, dove p oppure q non sono primi ed i messaggi contengono dati sensibili oportunamente generati a caso.
Una piccola parte del progetto è stata anche implementata in OnionMail. Questa produce in RAM gli artefatti di OnionMail con chiavi del server, chiavi e pasword degli utenti, ecc... assolutamente plausibili e falsi.

Proteggere l'identità degli sviluppatori è una cosa che diventa importante. Quando codi su OnionMail cerca di non usare il tuo stile, credi di essere qualcunaltro. (Non esagerare come è stato fatto su InterNos).


(CC) by OnionMail Project

Licenza Creative Commons  Contatore per siti