<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">Hallo!<br>
<br>
Am 2016-05-16 um 13:18 schrieb David Hopfmueller:<br>
</div>
<blockquote
cite="mid:9c33f276-bf95-a9c0-7abb-dd7b3f135b8f@hopfmueller.at"
type="cite">On 05/16/2016 10:48 AM, Stefan Schultheis (home)
wrote:
<br>
<br>
Hi,
<br>
<br>
<blockquote type="cite">[...]
<br>
</blockquote>
<br>
Wow, ein Drittel des Netzes ist offline?! Ich wusste nicht, dass
das derartige Ausmaße angenommen hat.</blockquote>
Laut Ubnt-Forum hat es auch einige (kommerzielle) WLAN-Provider
(weltweit) kalt erwischt.<br>
<blockquote
cite="mid:9c33f276-bf95-a9c0-7abb-dd7b3f135b8f@hopfmueller.at"
type="cite">[...]<br>
Mich wundert, dass es zu dem Thema nicht mehr Traffic auf dieser
Liste gibt. Da müssen doch einige zig Leute betroffen sein. Ist
das großteils unbemerkt geblieben, kommuniziert ihr offline,
leidet in Stille, …?
<br>
</blockquote>
Mich wundert es weniger: Funkfeuer ist für manche ein Add-On. Wieder
andere Nodebesitzer haben einen Maintainer, der sich darum kümmert.<br>
<br>
Das ist ja auch Teil meiner wiederkehrenden, langjährigen Kritik:
dass die Weitergabe von Wissen bezüglich des Betriebs von Netzen
stagniert, wenn man auf Maintainer anstelle von "Angels" (Mentoren)
setzt.<br>
<br>
<blockquote
cite="mid:9c33f276-bf95-a9c0-7abb-dd7b3f135b8f@hopfmueller.at"
type="cite">
Wir sollten jedenfalls für die Zukunft eine Lösung finden. </blockquote>
Strategien?<br>
Etwa: Mentorship ausbauen, Tools für die Anomalieerkennung im Netz,
Hard- und Software-Diversität; Auflösung des Widerspruchs zwischen
einem informativen Community-OS (Fokus: verteilte
Status/OLSR-Status-Interfaces) und der Vermeidung von allzu vielen
(potentiell angreifbaren) Diensten pro Gerät.<br>
<br>
<blockquote
cite="mid:9c33f276-bf95-a9c0-7abb-dd7b3f135b8f@hopfmueller.at"
type="cite">Der Vorfall ist ein weiteres Argument gegen
Black-Box-Devices wie die Ubnt-Bridges.</blockquote>
AirOS ist nicht in der Gesamtheit eine Black-Box, nur Teile, wie
proprietäre WLAN-Treiber, für die man als Programmierer ein NDA
unterzeichnen müsste.<br>
Soviel darf ich von einem solchen, mir bekannten NDA-Unterzeichner
weitergeben: die OpenSource-Treiber beherrschen nur einen kleinen
Bruchteil der Funktionalität dessen, was von den Chips unterstützt
wird.<br>
<br>
Was aktuell betroffen ist, ist lighttpd, respektive das modifizierte
"PHP2".<br>
Siehe <a
href="https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940/page/5"><a class="moz-txt-link-freetext" href="https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940/page/5">https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940/page/5</a></a><br>
<br>
Und gerade wegen der besseren WLAN-Treiber und aktuellen
Regulatorien führt momentan kaum ein Weg an Hersteller-Software
vorbei.<br>
Was man jedoch tun kann: Lobbying betreiben und an den
Open-Source-Teilen, die auch dort zum Einsatz kommen mitwirken.
(Audits etc).<br>
<br>
<blockquote
cite="mid:9c33f276-bf95-a9c0-7abb-dd7b3f135b8f@hopfmueller.at"
type="cite"> Und ein deutlicher Reminder, uns als Community um
eine Update-Strategie und ein Sicherheitskonzept zu kümmern.
<br>
</blockquote>
<br>
Die Update-Strategie nützt wenig, wenn es sich um einen
Zero-Day-Exploit handelt - und somit begriffsgemäß Herstellerpatches
fehlen.<br>
Und das in diesem Fall anzuwendende Sicherheitskonzept stünde, wie
oben erwähnt, im Widerspruch zu den bisherigen Anforderungen der
"Community".<br>
Was aber die "Community" ist, was ihr kollektiver Wille ist und, wie
man im Sinne dessen arbeiten kann, das sind die wiederkehrenden
Grundfragen...<br>
(Rollen: Node Maintainer vs. Node Owner vs Node User vs ...). <br>
<br>
Aber auch das hat sein Gutes:<br>
In diesem Funknetz gibt einen zentralen Uplink - auch das steht im
Widerspruch zu Paradigmen eines echten Community-Netzes, aber
gerade das erweist sich als Vorteil, wenn aufgrund erkennbarer
Muster Ports geblockt werden sollen. (Es sei denn, unser Netz hat
aus wissenschaftlichen Gründen den Zweck, ein Honeypot sein, was ich
einmal nicht annehme.;-)<br>
<br>
<small>Und wieder einmal zeigt sich, dass rein technische Lösungen
für eine soziale oder gemischt technisch-soziale Problematik nicht
funktionieren können. Und wieder einmal darf ich sagen: Funknetze,
wie wir sie kennen, sind EOL. Leider zeigen die Ereignisse, dass
diese meine von Einigen hier herabgewürdigte Aussage zutreffend
ist - Nur vom Leugnen der Probleme und mit Blocken von Nachrichten
wird es auch nicht besser.<br>
</small><br>
Besinnnen wir uns auf diese Fragen, bevor wir uns auf konkrete
strategisch-technische Maßnahmen festlegen, die über ein Stopfen von
Löchern hinausgehen:<br>
Community, wer bist Du?<br>
Community, was willst Du?<br>
Community, wohin gehst Du?<br>
<br>
<br>
Für den Moment können wir die "Black Boxes" nur aus der Schusslinie
nehmen, indem wir die Anzahl der laufenden, angreifbaren Dienste
reduzieren.<br>
U.z. nicht gerade durch Security by Obscurity (Ports verlegen oder
"nur" Blocken), sondern durch Abschalten des Webservers
(http/https), dem Deaktivieren von SSH-Passwörtern (anstelle dessen
SSH-Keys nützen).<br>
Auf Verdacht würde ich auch auf SNMP verzichten.<br>
Alternativ kann man den Bridge-Modus nützen und ggfls. die Boxen
dedizierten VLANs zuordnen - wobei rein quelloffene und aktuelle
Software Schnittstellen nach Außen bieten sollte.<br>
<br>
Aaron kann einstweilen via Cert.at das Pentesting von AirOS
vorantreiben.<br>
<blockquote
cite="mid:9c33f276-bf95-a9c0-7abb-dd7b3f135b8f@hopfmueller.at"
type="cite">
<br>
CU,
<br>
David
<br>
<br>
</blockquote>
LG<br>
Erich<br>
</body>
</html>