[WLANtalk] Hallo Vorstand vom Verbund Freie Netzwerke NRW, Hallo Liste,

Chris Bischoff dachrls0 at gmail.com
Fr Mär 27 14:31:05 CET 2015 

Warum driftet es nur immer wieder so ab? Der Autoupdater scheint nicht
wirklich Bestandteil der Probleme zu sein, erst recht nicht der des Gluon,
wenn ich es richtig verstanden habe?!

Außer natürlich die Tatsache, dass die Backdoor in Ermangelung eines
Autoupdaters geschaffen wurde und ähnliche Thesen.

Wobei, selbst diese These habe ich nicht so richtig verstanden, denn wenn
ich ohnehin haufenweise nicht löschbare, bzw. sich selbst
wiederherstellende SSH Keys in jedem Router der mit meiner Firmware
geflasht wurde habe, wozu brauche ich dann eine weitere Backdoor um
beliebigen Code von außerhalb des ssh / scp auszuführen?



Am 27. März 2015 um 14:19 schrieb Kai 'wusel' Siering <
wusel at guetersloh.freifunk.net>:

>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> On 27/03/15 13:49, Maximilian Wilhelm wrote:
> > Das ist ein fundametaler Unterschied. Der Autoupdater prüft nicht nur
> > Checksummen, sondern auch Signaturen (wenn entsprechend sinnvoll
> > konfiguriert - ich hoffe einfach mal, dass das auch alle nutzen!).
> >
> > D.h. dass zumindest bei uns (FFPB) drei Leute eine stable-Firmware
> > signiert haben müssen, damit ein Knoten sie akzeptiert. Zusätzlich
> > arbeiten wir gerade an trusted builds, um zu 100% sicherzustellen,
> > das alles gut ist.
>
> Da es doch das eigentliche Thema verläßt, nur soviel: Ja, Gluons
> Autoupdater vergleicht die Signaturen unter dem Manifest, welches
> die Dateien benennt, mit denen in der Firmware hinterlegten, zusätzlich
> zur Prüfsumme des heruntergeladenen Paketes. Es ist schön, daß Ihr
> 3 Leute gefunden habt, die das dann auch noch so ernst nehmen und
> einen Review der Änderungen vornehmen, bevor sie ihren persönlichen
> Schlüssel zücken und damit die Fireware formell freigeben. Ich kenne
> andere, startende Communities, wo man froh ist, wenn sich mehr als
> ein Leut "um die Technik" kümmert. Aber im Endeffekt ändert auch die
> Anzahl der Signateure nichts an meiner Aussage, daß der Knotenaufsteller
> dem Firmwarebauer mit Autoupdate ein Stück weit vertrauen muß. Code
> auf github o. ä. allerdings hilft da, Vertrauen zu schaffen. Wobei:
> wieviele
> Knotenaufsteller sprechen fließend lua?
>
> MfG,
> - -kai
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2
>
> iQIcBAEBCAAGBQJVFVjjAAoJEKVy9ieIjYK+GwIP/33ix+wm1g92PnPWm//xPAm3
> xpPd37xHAMHgdUo0PumwfNHvuyX2ZNzur7MLovmEuDSqOAKz/bwvXL6ojY74uDaX
> dD5xo6yjvkzcROXEjdk/IVFLsUf9GElSn2/PqoWip7UEaHToZHn6XOPyVDkMf8bK
> NdQII2HaVTtRprL86govkDiWcBJqOJwKg5fgfPZkOoInEw8+hHCksORN8WTEEmc8
> 7Hty+No0OPy+5KoCypU2nSUJ99duyUV8TlMkbw2LKzpCghbsO1sFVY3DkDa/FHG0
> 1hAtALt5N+IHSlOLD1cXkv6ji/GbRToDf9ncQXQlu9Wv5WFXqhWfcv4ZBTjP9AEU
> cZ/WtwrjxgH9s5VzPxjT8VAiwL5Izn9I9+RYp6N/Nm9WdetlOQ2cf4FtJfapuhbu
> NllutgIwAPneG6AhWxbJ1Z1ySbb5K3ekslLxLLlSc/mRiuXjq5qKyCDI6Jh9h//S
> 1NpiMAY14FsWcltRXyjxV0y5MIWUk6KqB7pCwpfHCIlx1LZ+6HisRaTgvaoFP4gr
> PqceF3ZQV9/XgYsJx0j+g2BcJGtclpzhbDA78syCFoFnyMruLjQkMn8Z7PyxFlQA
> b5VqBab0NAEhRKvs0olTnMKMoCsXX24XaYsXQC+ITk+AILYA3Hr1cCfKQSPsyCCS
> /2qv0BvVyAUpwVY2j/ny
> =/QJt
> -----END PGP SIGNATURE-----
>
> _______________________________________________
> WLANtalk mailing list
> WLANtalk at freifunk.net
> Abonnement abbestellen? ->
> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
>
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung
> unter http://freifunk.net/mailinglisten
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/wlantalk-freifunk.net/attachments/20150327/41b9b7bd/attachment.html>

Mehr Informationen über die Mailingliste WLANtalk