[WLANtalk] Hallo Vorstand vom Verbund Freie Netzwerke NRW, Hallo Liste,

Chris Bischoff dachrls0 at gmail.com
Fr Mär 27 11:56:44 CET 2015 

Hallo zusammen,

wenn der *beauftragte* Admin (durch privat, Verein, Firma, Partei) seinen
SSH Key in den Router dröhnt, dann ist das absolut legitim.

Aus meiner Sicht ganz eindeutig *nicht in Ordnung* ist:

   - nen Haufen Keys teils personenbezogene, teils anonyme per default zu
   hinterlegen
   - das sich die Keys nicht einfach deaktivieren lassen und automatisch
   wieder reingenommen werden nach einer Löschung
   - das Keys aus der Ferne automatisch nachgeladen werden
   - das über eine Backdoor beliebiger Code ausgeführt wird

Wenn man nun meint, dass das alles okay ist, solange keine Übergriffe
stattfinden, dann wäre es auch in Ordnung Usern Trojaner per Email
unterzujubeln solange keine Übergriffe stattfinden. Die Parallelen sind
schon ziemlich eindeutig:

   - beliebiger Code aus der Ferne ausführbar
   - stellt sich automatisch wieder her, um sich nicht simpel aussperren zu
   lassen

Im Forum gab es bereits Ausreden, wie bspw. es sei eine Alpha Version, die
dann aber nicht als stable in die Masse ausgerollt werden dürfte, oder aber
das man die Backdoor brauche um die Möglichkeit von Autoupdates zu haben.
Aus meiner Sicht machen es solche merkwürdigen Ausflüchte noch dubioser.

Der Autoupdater im Gluon funktioniert auch per pull, ohne SH Backdoors die
von aussen angesprochen werden oder sonstiger hochgradig fragwürdiger
Dinge. Jeder Autoupdater arbeitet so, dass dieser von der Installation aus
quer durchs Internet nach neuen Versionen sucht und diese ggfs. installiert
und nicht anders rum, so dass der Hersteller eine Backdoor im System hätte
und aus der Ferne "Dinge"™ tut.

Nun könnte man im Detail noch lange drüber diskutieren,

1) ob diese Dinge schlichtweg naiv und grob fahrlässig aus Bequemlichkeit,
sowie in Ermangelung technischen Sachverstands umgesetzt und eingebaut
wurden, sowie ebenfalls vergessen wurde eindeutig auf die merkwürdigen
Dinge hinzuweisen

oder

2) vorsätzlich gehandelt wurde

Die dahinter stehende Absicht, ob nun ggfs. mit krimineller Energie oder
eben auch nicht lässt sich ohnehin nicht erkennen. Zumal durch die diversen
eingebauten Keys etc. noch nicht einmal klar ist *welche* Gruppe an
Personen Zugriff auf die Router und implementierten Funktionen hatte. Das
können 5 Personen sein, oder auch 50, wer weiß das schon.

Wer kann entsprechend glauben, dass dort nicht mal ein Blick ins Netzwerk
geworfen wurde, wenn noch nicht einmal die Personen bekannt sind?

In diesem Fall wären dann ohnehin - da häufig der Vergleich zu
professionellen Admins im Job gezogen wurde - ebenfalls a) alle handelnden
Personen im Vorfeld zu bestimmen und zu benennen sowie b) Datenschutz und
Verschwiegenheitserklärungen von allen handelnden Personen gezeichnet
einzuholen und vorzuhalten.

Schwierig ist für mich vor Allem die Außendarstellung.

Da ich in der Vergangenheit ohnehin schon nicht mit den Ansichten des VfN
leben konnte:


   - Mesh ist nicht wichtig
   - eine Community wird gegründet in dem ein einzelner Router in die Post
   gegeben wird
   - hauptsache viele Mitglieder über das gesamte Bundesgebiet anwerben und
   mit Routern versorgen, die dann halt nicht meshen
   - VfN vertritt (assoziiert bis selbsterklärt und unaufgefordert)
   Freifunk in NRW als Dachverband aller Freifunker in NRW
   - usw. usw.

habe ich nun auch überhaupt kein Interesse daran, dass die weiteren
dubiosen Machenschaften, die nun zumindest tendenziell ins Kriminelle
abdriften, auf uns alle zurückfallen.

Wir haben in den letzten 15 Monaten einfach zu hart daran gearbeitet
Freifunk im Ruhrgebiet quasi von 0 an aufzubauen, um uns das nun durch den
VfN zerstören zu lassen! Entsprechend will ich gar nicht wissen wie
schmackhaft Freifunker der ersten Stunde den Gedanken empfinden, dass durch
solche dubiosen Dinge ein den Freifunk massiv schädigender Shitstorm von
unseren Gegnern ausgelöst werden könnte.

Für mich ist und bleibt das, egal welche Fälle man unterstellen will,
jedenfalls insgesamt ein Unding und disqualifiziert den VfN aus meiner
Sicht endgültig.

Beste Grüße

Chris

Freifunk Ruhrgebiet


P.S.: Danke Malte und Regio Aachen für die geleistete investigative Arbeit!



Am 27. März 2015 um 10:55 schrieb Malte Moeller <
malte.moeller at halifax.rwth-aachen.de>:

> Am 27. März 2015 um 09:15 schrieb Mathias Mahnke <mathias at mycr.de>:
>
>> > Ich fordere den Vorstand des VfN auf die Angelegenheit zu klären und
>> > sofern sie strafrechtlich relevant ist gegen die entsprechenden
>> > Mitglieder Anzeige zu erstatten. Eine öffentliche Stellungnahme zur
>> > vergangenen Praxis und dem zukünftigen Vorgehen halte ich für zwingend
>> > notwendig!
>>
>> vielen Dank für die Offenlegung zum Sachverhalt. Ich finde es sehr gut,
>> wie detailliert du den Fall beschreibst samt Historie. Deine
>> Schlussfolgerung kann ich nachvollziehen, die Maßnahmen finde ich aber
>> in erster Instanz überzogen - für den Fall dass du nicht bereits Kontakt
>> mit den lokalen Machern und "Verursachern" hattest.
>>
>
> Der VfN ist für mich kein unbeschriebenes Blatt, er stellt sich in NRW als
> Dachverband aller Freifunker dar obwohl das von den größeren Vereinen
> ausdrücklich nicht gewünscht wird. Den Beteuerungen die Situation zu ändern
> folgten aus meiner Sich bisher keine nennenswerten Taten. Da dieses Thema
> deutlich dringlicher ist, habe daher zwecks externen Meinungen den Weg auf
> diese Liste gewählt.
>
>
>> Auch aus eigener Erfahrung (10 Jahre "Opennet Initiative e.V." als
>> Freifunk in Rostock, Schwerin, Teil von MV) - die Zugriffsmöglichkeit
>> auf verwaiste APs ist im sich laufend wiederholendes Problem. Die beste
>> Lösung ist dazu sicher nicht die in NRW gewählte. Wir haben hier aber
>> auch schon mehrere durch, u.a. die Aufforderung der Nutzer ein Passwort
>> an eine Liste zu hinterlegen oder eine zentrale PGP gesicherte Datei
>> etc. - eigentlich hat sich keine bewährt. Aber auch Versuch und Fehler
>> gehört dazu. So würde ich die vielleicht naive Lösung, die du
>> bemängelst, beschreiben. Da man aber auch aus Fehlern lernen sollte -
>> zunächst mal die mit den Betroffenen und den Verursachern klären?
>>
>
> Das Problem ist tatsächlich der benötigte Fernzugriff, da die Router
> teilweise per Post in weit entfernte Städte verkauft werden, in denen es
> keinen Ansprechpart für Probleme gibt. Das erinnert mich stark an das
> Vorgehen der kommerziellen Anbieter von HotSpot Lösungen.
>
> https://freifunk-nrw.de/wp-content/uploads/2013/08/antrag-mitgliedschaft-vfn-nrw-v3-1.pdf
>
>
>> Hier könnten und sollten wir uns vielleicht auf einen Konsens einigen,
>> d.h. welcher Weg passt gut zur Freifunk Idee, welcher nicht. Den
>> Förderverein aber als Schiedsgericht "anzurufen", würde ich gern
>> vermeiden sollen.
>>
>
> Das Problem mit dem Förderverein ist nun mal, dass er durch die Verwaltung
> zentraler Dienste einen Dachverband vergleichbar auftritt. Durch das
> Gewähren von Ressourcen und die Nennung in seinen Listen wird eine lokale
> Initiative in der breiten Wahrnehmung als Freifunk legitimiert.
> Da der VfN auch zentrale Dienste wie pad.freifunk.net und
> mumble.freifunk.net für den Berliner Förderverein betreibt ist mir eine
> Stellungnahme umso wichtiger.
>
> Viele Grüße
> Malte
>
> _______________________________________________
> WLANtalk mailing list
> WLANtalk at freifunk.net
> Abonnement abbestellen? ->
> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
>
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung
> unter http://freifunk.net/mailinglisten
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlantalk-freifunk.net/attachments/20150327/0ce9a236/attachment.html>

Mehr Informationen über die Mailingliste WLANtalk