[e-privacy] Un 95% di privacy

[Kaste]

Salve, seguo la lista da circa un anno senza avervi mai partecipato, e 
colgo l'occasione per farlo dopo aver letto un articolo di  Calamai sul 
progetto "Un 95% di privacy", dove incoraggiava il lettore dell'articolo 
a postare sulla lista la propria esperienza.

Ecco la nostra storia, storia di 4 amici che 3 anni fa hanno deciso di 
provare a far capire alla piccola porzione di mondo da loro 
raggiungibile cosa vuol dire "Privacy" quando navighiamo su internet, e 
che oggi, fortunatamente vedono unirsi al  coro anche altre persone, 
amici, conoscenti o anche solo sostenitori, che giorno dopo giorno 
utilizzano quello che abbiamo fatto, credono in noi, e ci danno una mano.

Il post è un po' lungo, e racconta tutta la storia della nostra piccola 
rete, secondo me necesaria anche per capire anche gli  errori commessi o 
i passi falsi che a volte si fanno...

L'attuale progetto tuttora in sviluppo lo abbiamo battezzato T-hoster ( 
http://www.t-hoster.com ), progetto  che nasce come ampliamento di un 
nostro progetto precedente chiamato "squalostatico" ( 
http://squalostatico.mine.nu ), dominio che doveva rappresentare solo 
una piattaforma di test per i nostri esperimenti da neo-sistemisti, poi 
diventato una sorta di blog-comunitario vero e proprio delle nostre 
esperienze, dei nostri link preferiti e via di seguito.

Questo progetto è nato alla fine del 2004 soprattutto per dare sfogo 
alla nostra passione, alla voglia di fare e di sperimentare le nostre 
potenzialità in rete, creandone una tutta nostra, con gli strumenti 
messi a disposizione dal mondo dell'open source.
La voglia non mancava così come non mancavano le idee che correvano (e 
continuano a farlo) più velocemente di quanto riuscissimo a metterle in 
pratica.
Con un pò di vecchio hardware, un reindirizzamento dyndns ( 
http://www.dyndns.org ) e la nostra amata distribuzione linux Slackware 
siamo partiti.

Le prime cose messe in piedi sono stati i servizi web, per ospitare i 
siti degli amici, il portale dello squalostatico con il nostro blog ed 
un pò di documentazione, ma ancora non avevamo ben chiere le 
potenzialità del nostro lavoro.
Con il passare del tempo, piano piano, sono arrivati anche altri tipi di 
servizi, come la posta elettronica su un semplice sendmail 
(http://www.sendmail.org), un HUB per DC++ comodissimo per scambiarsi i 
file in p2p senza passare da server indiscreti 
(http://www.verlihub-project.org ) ed una web-radio ( 
http://www.shoutcast.com ), per trasmetterci l'un l'altro a turno la 
nostra selezione di musica preferita.

All'inizio nessun problema,  poi, pian piano, il server comincia a 
subire i soliti e scontati attacchi sulla porta 22 (ssh), classici brute 
force da Bot_net.
Siccome nessuno di noi voleva rinunciare all'amministrazione della 
macchina da remoto abbiamo implementato il sistema di autenticazione con 
chiavi pubbliche e private personalizzate.

Per tutto il 2005 ognuno di noi, tutte le mattine si vede recapitare 2 
simpatiche e-mail, una che informa tutti dell'indirizzo IP assunto quel 
giorno dal server, e l'altra con in allegato tutti i tentativi di brute 
force del giorno prima.

Inizio 2006 il gruppo che gestisce il server decide di passare da una 
adsl con indirizzo ip dinamico, ad una connesisone con indirizzo ip statico.

Con la connessione acquistata da Tiscali 1024/512 + 16 indirizzi IP ( 
www.pessimascelta.it ), abbiamo alla fine potuto acquistare un dominio e 
far puntare un record DNS sul nostro server.
Non senza aver prima aspettato 4 mesi l'attivazione dei servizi da parte 
di Tiscali, 4 mesi per i quali il server ha dovuto cambiare sede per 
continuare a mantenere il suo stato di servizio.
Durante questo lasso di tempo c'è stata la prima compromissione del 
server, incluso in una botnet specializzata nel bruteforce delle reti 
IRC, l'attacco è stato portato tramite uno dei siti ospitati che montava 
una versione bacata di phpBB2 , e tramite una shell in php 
all'attaccante è stato possibile prendere il controllo, anche se in 
maniera parziale, del server.
L'attacco, come tutti gli attacchi fatti ad arte, non aveva causato 
danni a nessuna delle funzionalità del server, ci siamo accorti che 
qualcosa non andava durante un normale giro di controllo, ad 
insospettirci è stao un processo sconosciuto che stava stabilendo una 
connessione su porta 6667.
Dopo averlo ripulito revisionato e restrutturato lo abbiamo rimesso 
online dopo meno di una settimana.

Durante l'estate, con un po' di tempo libero a disposizione, ci siamo 
finalmente decisi a tentare una strada diversa da sendmail, sopratutto 
per poter avere una gestione multidominio della posta, e ci siamo 
impegnati per configurare un server qmail partendo dall'installazione di 
Qmailrocks (http://www.qmailrocks.org) e poi patchandolo via via che se 
ne presentava la necessità.

Al momento T-hoster ospita una decina di domini di secondo e terzo 
livello, per ogni dominio almeno un paio di caselle e-mail ed alcune 
liste di distribuzione, le bollette le paghiamo un po' con i soldi che 
ci arrivano dalle nostre attività di autofinanziamnento, un po' da chi 
decide di pagare per usufruire dei nostri servizi.

Nell'immediato futuro c'è un server Tor pubblico con indirizo IP 
dedicato che possa fare da gateway fra la rete Tor ed Internet, ed un 
remailer anonimo anche lui con indirizzo IP dedicato.

Ad oggi, stiamo lavorando anche alla clusterizzazione della piattaforma 
per ottenere più sicurezza e continuità dei servizi, sempre e solo 
utilizzando linux.
Il quadro finale vedrà 5 macchine di cui 3 su cui viene bilanciato il 
carico dei servizi [posta, web, Tor e remailer anonimo], 1 server 
utilizzato come database MySQL e storage per tutti i dati della 
piattaforma [100 GB in raid 0 criptati con password da inserire 
all'avvio della macchina], ed un server utilizzato come load balancer e 
firewall.

Un breve elenco dei pro riscontrati:
- La mia posta è MIA
- L'impagabile soddisfazione che si prova a dare il PROPRIO indirizzo 
e-mail alle persone
- Poter gestire in autonomia l'antispam e l'antivirus
- Vedere le persone intorno a te, a cui spieghi perchè avere un account 
su libero è in potenza sbagliato, che dopo aver provato un po' il tuo 
servizio, mandano a tutta la rubrica la classica mail "Cambio indirizzo 
di posta elettronica"

Un breve elenco dei contro:
- Un pc sempre acceso in casa (ma ce lo ha anche chi scarica da e-mule)
- Dover trovare il tempo per aggiornamenti e per controllare i log se 
c'è qualcosa che non quadra

Questo è più o meno tutto, se a qualcuno interessano dei maggiori 
dettagli sarò felice di rispondergli, e scusate se l'ho fatta lunga.

Kaste