27 novembre 2007 – Linux Day

linuxday
Il logo del LinuxDay è stato realizzato da bus3

Insolente come il freddo di questi giorni e puntuale come l’arrivo di novembre ritorna in tutta la sua ubiquità il Linux Day.

Questo evento organizzato in 116 (al momento) città si propone come il principale evento dedicato a GNU/Linux durante l’anno. Tutte le associazioni di promozione del Software Libero e i LUG si organizzano per fare il loro meglio e preparare qualcosa in occasione di questa data.

Per quanto mi riguarda, sarò al Bocabarranca, meravigliosa location, che già ospitò il RomagnaCamp all’inizio di settembre ed in via del tutto straordinaria si appresta ad accogliere il popolo dei pinguini ravennati.

Per l’occasione, i soci del RavennaLUG ed io, stiamo preparando una giornata all’insegna della divulgazione e della diffusione del nostro sistema operativo preferito. Ci sarà la possibilità di installare GNU/Linux sul proprio PC, seguire qualche conferenza e chiacchierare in libertà.

Per maggiori informazioni si può visitare la pagina dedicata al LinuxDay 2007 in Italia e per avere più informazioni relativamente al LinuxDay 2007 a Ravenna, è possibile visitare la pagina del RavennaLUG.

Vi aspetto numerosi!!!

Hotspot wi-fi e software libero – parte 1

WiFi
Picture by jackaprini on Flickr

Ripropongo in questa sede, i concetti che ho avuto il piacere di esprimere durante il RomagnaCamp, parlando su un palco esterno assolato senza slide ma con tante persone ad ascoltarmi. Grazie a tutti coloro che c’erano e che mi hanno prestato attenzione.

Definire il contesto

Partiamo dall’esigenza di un ristoratore che voglia offrire connettività ai propri clienti, sia dietro compenso, sia in forma gratuita.

I problemi di un hotspot Wi-Fi

I problemi che si pongono all’esercente che voglia offrire questo genere di servizio, sono sostanzialmente due. Il primo di carattere tecnico, il secondo di carattere giuridico. La questione tecnica si preoccupa di connettere i clienti alla rete, la questione giuridica ci impone di farlo secondo le attuali norme vigenti. L’intreccio di questi due problemi configura la soluzione che ho elaborato e che al RomagnaCamp ha visto la sua prima applicazione pratica. Proprio perchè il problema di natura giuridica coinvolge anche la soluzione tecnica che andremo ad applicare, sarà il primo ad essere analizzato.

Il problema giuridico

Il legislatore ci mette di fronte ad un precetto: identificare con sicurezza tutti coloro che accedono alla nostra infrastruttura e che la utilizzano per accedere a Internet. Non ho la minima intenzione, in questa sede, di affrontare la questione etica e morale di una scelta così importante da parte della giurisprudenza italiana, pertanto mi interesserò soltanto dello stato di fatto e non di cosa io reputo “giusto”, “sbagliato” secondo le mie idee. In questo contesto “giusto” significa “non contrario al diritto”.

La profilazione degli utenti è stata introdotta dal decreto Pisanu e successivamente convertita in legge. Prevede l’attività imperativa di raccogliere le informazioni identificative di coloro che fruiranno del servizio di hotspot. Si devono raccogliere: nome, cognome, data e luogo di nascita, tipo e numero del documento di identità e una copia del medesimo. Successivamente si dovrà essere in grado di fornire un tabulato degli accessi alla rete in cui siano chiari data e ora dell’accesso e la relativa identità. Non si fa obbligo di tenere traccia delle comunicazioni svolte dagli utenti sulla rete. Oltre a non essere obbligatorio, l’attività di registrazione delle comunicazioni, in questo contesto, è severamente vietato. Si fa obbligo, inoltre, di conservare questi dati per un tempo sufficientemente lungo per consentire all’autorità giudiziaria di farne accesso in caso di indagini.

Questo trattamento di dati, pone origine ad un altro problema di ordine giuridico. Il codice per la protezione dei dati personali impone a qualunque privato, titolare di un trattamento di dati personali, una serie di regole alle quali attenersi, che talvolta possono diventare onerose in termini di tempo e di soldi. Nel caso in cui i dati trattati siano sensibili divengono necessari comportamenti piuttosto difficoltosi per chi aveva deciso di offrire un servizio ai propri clienti, fiducioso del fatto che si trattasse solamente di collegare un access point al proprio router.

I documenti di identità rivelano con certezza istituzionale una serie di informazioni sull’interessato che rientrano appunto della categoria dei dati sensibili: etnia, cittadinanza, segni particolari. A voler essere puntigliosi, anche la foto nel documento può rivelare informazioni sensibili come il colore della pelle o cicatrici, per esempio.

Come risolvere questi due problemi piuttosto spinosi

In sostanza si deve riuscire a fare una copia del documento d’identità e a conservarla senza configurare un trattamento di dati sensibili. Il sistema che ho realizzato si basa sul rendere il cliente responsabile “de facto” del proprio trattamento e nel rendere il fornitore di servizio un semplice controllore del processo di registrazione. Il flusso di registrazione e di accesso è il seguente:

  • il cliente richiede accesso alla rete wifi
  • il fornitore consente l’accesso visionando il documento ed accertandosi dell’identità del cliente
  • il cliente pone il proprio documento su uno scanner ad alta risoluzione
  • il cliente preme il tasto per avviare la scansione
  • il sistema stampa un foglio su cui ci sono username, password, copia del documento (per verificare che non siano stati usati trucchi nel porre il documento sullo scanner) ed informativa riguardo il trattamento dei dati personali
  • il fornitore controlla che la copia del documento sia leggibile
  • il cliente ritira il foglio appena stampato
  • il cliente utilizza la rete mediante login e password ricevute

Questo flusso limita enormemente i problemi perchè mantiene i dati personali e sensibili fuori dalla portata del fornitore che di fatto non esercita un trattamento pericoloso per l’integrità e la riservatezza. Si fa notare come il fornitore non mantenga copia cartacea del documento d’indentità del cliente, ma mantenga solo una scansione ad alta risoluzione all’interno del sistema informatico. Tale base dati viene conservata codificata come la legge prevede.

La soluzione tecnica

Si è realizato un sistema di autenticazione basato su GNU/Linux. Tutte le operazioni illustrate nel flusso vengono svolte automaticamente e nella loro completezza. Nei prossimi post spiegherò dettagliatamente la struttura tecnica del sistema di autenticazione.

RomagnaCamp – WDS funzionante

Finalmente dopo ore di configurazioni, prove e bestemmie la rete layer 2 per il RomagnaCamp fa il suo sporco lavoro.
Due access point DD-WRT configurati in WDS, condividono lo stesso SSID e creano un’unica rete wireless. La cosa formidabile è la possibilità di fare roaming tra i due access point, senza perdere segnale. In pratica se si esce dalla copertura del primo access point, automaticamente il secondo prende in carico il dispositivo WiFi senza che nessuno si accorga di nulla. Questo permette di coprire vaste aree senza moltiplicare il numero di reti wireless.

Il sistema di autenticazione Radius è già operativo da giorni e domani mattina andrò personalmente ad installarlo al BocaBarranca.

La mia presentazione al RomagnaCamp sarà proprio su questo argomento: “come creare un hotspot wifi mediante software libero”.

Adesso è ora di dormire, buona notte.

OpenSSL X509 howto – creare certificati a raffica –

padlock
Picture by Cracam on DeviantArt

Molto spesso è utile creare certificati X509 per svariati servizi che si appoggiano su SSL: openvpn, Postfix+TLS, Courier SSL, openSSH, Apache+SSL.
OpenSSL ci viene incontro in questa necessità e ci risolve tutti i problemi.
I comandi di seguito riportati

Ecco alcuni semplici comandi molto utili:

Creare una Certification Authority

mkdir -p /var/CA
cd /var/CA
/usr/lib/ssl/misc/CA.sh -newca

è molto importante compilare correttamente i campi richiesti durante la creazione della CA. Successivamente la CA verrà utilizata per firmare i certificati che saranno creati. Di fondamentale importanza scegliere adeguatamente la password della CA.

Creare un nuovo certificato e firmarlo con la CA

/usr/lib/ssl/misc/CA.sh -newreq
/usr/lib/ssl/misc/CA.sh -sign

rispondendo alle domande che vengono poste, si crea un certificato X509 e lo si firma con la CA.

Creare un Package pkcs12

I file p12 (pkcs12) contengono un certificato X509, la chiave privata associata e il certificato della CA che lo ha firmato. Sono molto utili in quanto possono essere caricati su dispositivi di autenticazione come SmartCard o token USB. Inoltre possono essere importati nel repository di microsoft windows o nel security device di Mozilla Firefox.
Per creare un file p12:

openssl pkcs12 -in newcert.pem -inkey newkey.pem -certfile demoCA/cacert.pem -export -out certx509.p12

A questo punto è possibile trasferire il file certx509.p12 al client windows o al browser ed importarlo correttamente.

Decrittare la chiave privata

Se il certificato X509 che abbiamo creato, dev’essere associato ad un servizio su GNU/Linux, per esempio un webserver, potrebbe essere scomodo avere la chiave privata codificata. Questo richiede l’immissione della password ogni volta che il servizio dev’essere riavviato. Per risolvere il problema è sufficiente decodificare la chiave e salvarla in chiaro. Ovviamente si dovranno prendere tutte le accortezze necessarie alla gestione di un contenuto così importante in modalità insicura.

openssl RSA -in newkey.pem -out clearkey.pem

Compiz Fusion, il ritorno alla frontiera

cawboy
Picture by MissAchfoo on DeviantArt

Per l’ultima lezione del corso base di GNU/Linux, ho deciso di portare ai miei corsisti, una installazione di Compiz Fusion.

La settimana scorsa ho quindi installato Ubuntu sulla workstation che sto usando da mesi con una installazione di OSXProject. Utilizzo OSX da 3 anni, età del mio powerbook. Perciò nei mesi scorsi, ho trasformato il mio pc da gioco in qualcosa di più utile e ho iniziato a lavorare in dual monitor con tutta la comodità di OSX anche sulla workstation.

Linux, in versione desktop, mi ha sempre dato l’emozione della frontiera. Interfacce nuovissime e scarne, senza troppe inutilità perditempo. Fluxbox, poco altro e pedalare. Per avere un desktop comodo ho sempre speso giorni e giorni di configurazioni ardite ma devo ammettere che ne è sempre valsa la pena.

Lavorare con OSX mi piace molto e la sensazione che si prova è estremamente gratificante. Ci si sente sempre in prima classe, ed il viaggio è comodo e senza grosse sorprese.

Ma l’installazione di Compiz Fusion ha risvegliato la mia voglia di frontiera. Il far west e la sensazione di essere pionieri. Le possibilità che offre sono straordinarie e la configurazione è una passeggiata. Finestre morbide e sinuose, multidesktop e transizioni rendono l’esperienza veramente piacevole.

Windows Vista al confronto fa proprio ridere.

Provare per credere.

[Live Blogging] Italian bloggers meet Bruce Perens

This morning, at 10 o’clock at Via dei Villini in Rome, some Italian bloggers are going to meet Bruce Perens for an informal talk about promoting Open Source in our country.
I’ll try to write about the meeting, during the happening, in my first bilingual post.

Questa mattina, alle ore 10, avrà luogo un incontro tra alcuni blogger italiani e Bruce Perens, per discutee informalmente di come promuovere il software Open Source nel nostro paese.
Proverò a scrivere durante l’incontro, in questo mio primo post bilingue.