[Wien] Probleme mit Zugang zu Knoten zwecks Verwaltung

Jakob Riepler (spam-protected)
Sa Okt 28 11:42:52 CEST 2023 

Servus Christofer,

die Geschichte mit dem Monitoring ist sicher nicht optimal gelaufen 
(nachdem Kommunikation zwischen den zwei Beteiligten jetzt schon eine 
Weile nicht mehr wirklich funktioniert). Ich hab die letzten Tage mit 
beiden geredet und im Endeffekt kann ich nicht viel dazu sagen, außer 
dass da definitiv keine bösen Absichten dahinter gestanden haben, es 
niemandem geschadet hat (ersetzt ja ein quasi identisches System, das 
vorher existiert hat) und dass der Grund für "ungefragt" war, dass hier 
nie abgeklärt war, wer der beiden die Wartung von welchem Node 
übernimmt, da dies in der Vergangenheit ja von beiden gemeinsam gemacht 
wurde.
Der Vergleich mit Kamera in der Wohnung hinkt meiner Ansicht nach 
gewaltig, da Statistiken zu Interfaces eines Routers sammeln defakto 
keinen - oder zumindest nur einen sehr kleinen - Einfluss auf die 
Privatsphäre der Nutzer hat, die an dem Router hängen.

Bei der Thematik mit dem Login gebe ich dir Recht, dass das ein 
absolutes No-Go ist, hierzu haben wir aber leider nicht wirklich viele 
Anhaltspunkte, was genau passiert ist.
Ich habe Chris geholfen, einen Flash Dump von einem der betroffenen 
Geräte unter die Lupe zu nehmen. Da Logs bei EdgeOS jedoch nicht 
persistent sind und die relevanten Logs auch nicht auf dem eingestellten 
Syslog-Server landen (wegen seltsamen, nicht leicht änderbaren 
Einstellungen von EdgeOS), ist das echt nicht viel Information, die wir 
hier rausziehen konnten (Analyse im Anhang - die Mail wird sonst zu lang).
Die Zusammenfassung ist: Mit dem derzeitigen Informationsstand können 
wir nicht nachweisen, wer die relevante Konfigurationsänderung gemacht 
hat (ich kann dir nicht mal garantieren, dass das Absicht war und nicht 
im Zuge der restlichen Änderungen, die da gemacht wurden passiert ist - 
auch wenn es erst mal unwahrscheinlich wirkt).
Das letzte was ich will ist, das hier irgendwelche Anschuldigungen durch 
die Gegend geworfen werden, bevor wir irgendwelche Anhaltspunkte haben 
(es hat keinen Mehrwert und treibt nur einen noch größeren Keil zwischen 
alle Beteiligten - ich habe sowas schon bis zu einem Rechtsstreit 
ausarten gesehen und damit ist hier wirklich keinem geholfen).

Wenn ich irgendwie weiter behilflich sein kann unterstütze ich gerne bei 
weiteren Analysen, mir liegt eine Aufklärung des Sachverhalts auch sehr 
am Herzen.

Zu guter Letzt will ich hier noch einmal öffentlich folgende 
Empfehlungen hinsichtlich IT-Security aussprechen, die für jeden 
Anwendbaren Kontext sinnvoll sind:
- Personalisierte Useraccounts sind wenn möglich immer einem geteilten 
Account zu bevorzugen
- "Treat your passwords like your underwear. Don't share them."
- Passwörter nicht über mehrere Services/Geräte hinweg wiederverwenden 
(Passwortmanager sind mittlerweile weit verbreitet und ich kann nur 
jedem ans Herz legen, einen zu nutzen)
Man findet diese Empfehlungen mittlerweile überall und in einer Zeit, wo 
das Smartphone Zugriff auf das gesamte Leben inklusive Geldvermögen 
einer Person bietet ist es um so wichtiger, diese auch anzuwenden.

Viele Grüße,
Jakob

On 27.10.23 19:15, Christofer Brajkovic wrote:
> Hallo Jakob, Monitoring schön und gut, dafür gibt es den SmokePing. Nur 
> weil es ein paar Leute beim MoMo besprochen haben berechtigt dies noch 
> lange nicht einfach sich in ein Gerät einzuloggen um dort einfach einen 
> Tunnel zu konfiguriere ohne vorheriger Absprache mit dem Nodeowner.
> 
> Ich gehe ja auch nicht einfach in eine Wohnung und montiere eine Kamera 
> unter dem Vorwand "Ich passe auf das niemand einbricht"
> 
> Sorry aber sowas muss abgeklärt werden.
> Und wie schon erwähnt sind auf einmal plötzlich die Logins gelöscht oder 
> verändert. Sowas nimmt einfach das vertrauen und zeigt mit wieder einmal 
> das man echt nicht mehr jedem Vertrauen darf.
> 
> Das ist so als würde ich dir sagen, hier hast du meine Schlüssel von 
> meiner Wohnung um in meiner Abwesenheit die Blumen zu gießen und dann 
> wechselst du einfach mein schloss.
> 
> Es ist halt wirklich traurig sodass man einfach vielen zum misstrauen 
> beginnt.
> 
> /Mit freundlichen Grüßen/
> 
> *Christofer Brajkovic*
> chb.funkfeuer(at)hotmail.com
> 
> 
> 
> ------------------------------------------------------------------------
> *Von:* Wien <(spam-protected)> im Auftrag von Jakob 
> Riepler <(spam-protected)>
> *Gesendet:* Dienstag, 24. Oktober 2023 09:55
> *An:* (spam-protected) <(spam-protected)>
> *Betreff:* Re: [Wien] Probleme mit Zugang zu Knoten zwecks Verwaltung
> Servus!
> Ich nocheinmal ^^'
> 
> Ich hab grad ein bisschen herumgefragt und hab zu dem Tunnel folgendes
> herausgefunden:
> Das soll die neue Node Monitoring Lösung werden und wurde vor Monaten im
> MoMo besprochen. Das ist seit ca vier Monaten in Arbeit aber noch nicht
> fertig, weil noch keine gute Balance zwischen zu vielen und zu wenig
> Alerts gefunden wurde.
> Das ist aber unabhängig zu dem Login Ding, da weiß ich nix dazu.
> 
> LG Jakob
> 
> On 23.10.23 23:43, Christoph Loesch wrote:
>> Hallo,
>> 
>> seit ein paar Tagen bemerke ich ein seltsames unerwartetes Verhalten auf 
>> manchen Knoten die ich betreue.
>> 
>> Erst bemerkte ich eine neue und mir unbekannte wireguard Verbindung zu 
>> einer Funkfeuer IP Adresse, siehe Screenshot am Beispiel beim Node kobe4:
>> https://chil.at/downloads/unbekannte-konfiguration-kobe4.png 
> <https://chil.at/downloads/unbekannte-konfiguration-kobe4.png>
>> 
>> Während ich mich bei Nodeownern erkundigt habe ob das bekannt sei und 
>> keinem ein Grund für diese Anpassung bewusst ist, habe ich dann bemerkt 
>> dass plötzlich mein Login zu manchen Routern sowie auch Antennen nicht 
>> mehr funktioniert.
>> Einen Virus oder etwaiges Fehlverhalten schließe ich aus, da 
>> unterschiedliche Geräte bzw. unterschiedliche Systeme betroffen sind und 
>> offensichtlich gezielt Konfigurationsanpassungen vorgenommen wurden.
>> Bisher aufgefallen ist mir das bei den Standorten/Knoten: kobe4, koli6, 
>> obdo9, vor158, vor203, wuk
>> 
>> Weiss irgendwer was darüber?
>> 
>> LG Christoph
>> 
>> 
> 
> -- 
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien 
> <https://lists.funkfeuer.at/mailman/listinfo/wien>
> 
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : vor158_analyse_ausformuliert.md
Dateityp    : text/markdown
Dateigröße  : 3590 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20231028/e5014c8f/attachment.md>

Mehr Informationen über die Mailingliste Wien