Servus Christofer,
die Geschichte mit dem Monitoring ist sicher nicht optimal gelaufen
(nachdem Kommunikation zwischen den zwei Beteiligten jetzt schon eine
Weile nicht mehr wirklich funktioniert). Ich hab die letzten Tage mit
beiden geredet und im Endeffekt kann ich nicht viel dazu sagen, außer
dass da definitiv keine bösen Absichten dahinter gestanden haben, es
niemandem geschadet hat (ersetzt ja ein quasi identisches System, das
vorher existiert hat) und dass der Grund für "ungefragt" war, dass hier
nie abgeklärt war, wer der beiden die Wartung von welchem Node
übernimmt, da dies in der Vergangenheit ja von beiden gemeinsam gemacht
wurde.
Der Vergleich mit Kamera in der Wohnung hinkt meiner Ansicht nach
gewaltig, da Statistiken zu Interfaces eines Routers sammeln defakto
keinen - oder zumindest nur einen sehr kleinen - Einfluss auf die
Privatsphäre der Nutzer hat, die an dem Router hängen.
Bei der Thematik mit dem Login gebe ich dir Recht, dass das ein
absolutes No-Go ist, hierzu haben wir aber leider nicht wirklich viele
Anhaltspunkte, was genau passiert ist.
Ich habe Chris geholfen, einen Flash Dump von einem der betroffenen
Geräte unter die Lupe zu nehmen. Da Logs bei EdgeOS jedoch nicht
persistent sind und die relevanten Logs auch nicht auf dem eingestellten
Syslog-Server landen (wegen seltsamen, nicht leicht änderbaren
Einstellungen von EdgeOS), ist das echt nicht viel Information, die wir
hier rausziehen konnten (Analyse im Anhang - die Mail wird sonst zu lang).
Die Zusammenfassung ist: Mit dem derzeitigen Informationsstand können
wir nicht nachweisen, wer die relevante Konfigurationsänderung gemacht
hat (ich kann dir nicht mal garantieren, dass das Absicht war und nicht
im Zuge der restlichen Änderungen, die da gemacht wurden passiert ist -
auch wenn es erst mal unwahrscheinlich wirkt).
Das letzte was ich will ist, das hier irgendwelche Anschuldigungen durch
die Gegend geworfen werden, bevor wir irgendwelche Anhaltspunkte haben
(es hat keinen Mehrwert und treibt nur einen noch größeren Keil zwischen
alle Beteiligten - ich habe sowas schon bis zu einem Rechtsstreit
ausarten gesehen und damit ist hier wirklich keinem geholfen).
Wenn ich irgendwie weiter behilflich sein kann unterstütze ich gerne bei
weiteren Analysen, mir liegt eine Aufklärung des Sachverhalts auch sehr
am Herzen.
Zu guter Letzt will ich hier noch einmal öffentlich folgende
Empfehlungen hinsichtlich IT-Security aussprechen, die für jeden
Anwendbaren Kontext sinnvoll sind:
- Personalisierte Useraccounts sind wenn möglich immer einem geteilten
Account zu bevorzugen
- "Treat your passwords like your underwear. Don't share them."
- Passwörter nicht über mehrere Services/Geräte hinweg wiederverwenden
(Passwortmanager sind mittlerweile weit verbreitet und ich kann nur
jedem ans Herz legen, einen zu nutzen)
Man findet diese Empfehlungen mittlerweile überall und in einer Zeit, wo
das Smartphone Zugriff auf das gesamte Leben inklusive Geldvermögen
einer Person bietet ist es um so wichtiger, diese auch anzuwenden.
Viele Grüße,
Jakob
On 27.10.23 19:15, Christofer Brajkovic wrote:
Hallo Jakob, Monitoring schön und gut, dafür gibt es den SmokePing. Nur
weil es ein paar Leute beim MoMo besprochen haben berechtigt dies noch
lange nicht einfach sich in ein Gerät einzuloggen um dort einfach einen
Tunnel zu konfiguriere ohne vorheriger Absprache mit dem Nodeowner.
Ich gehe ja auch nicht einfach in eine Wohnung und montiere eine Kamera
unter dem Vorwand "Ich passe auf das niemand einbricht"
Sorry aber sowas muss abgeklärt werden.
Und wie schon erwähnt sind auf einmal plötzlich die Logins gelöscht oder
verändert. Sowas nimmt einfach das vertrauen und zeigt mit wieder einmal
das man echt nicht mehr jedem Vertrauen darf.
Das ist so als würde ich dir sagen, hier hast du meine Schlüssel von
meiner Wohnung um in meiner Abwesenheit die Blumen zu gießen und dann
wechselst du einfach mein schloss.
Es ist halt wirklich traurig sodass man einfach vielen zum misstrauen
beginnt.
/Mit freundlichen Grüßen/
*Christofer Brajkovic*
chb.funkfeuer(at)hotmail.com
------------------------------------------------------------------------
*Von:* Wien <[email protected]> im Auftrag von Jakob
Riepler <[email protected]>
*Gesendet:* Dienstag, 24. Oktober 2023 09:55
*An:* [email protected] <[email protected]>
*Betreff:* Re: [Wien] Probleme mit Zugang zu Knoten zwecks Verwaltung
Servus!
Ich nocheinmal ^^'
Ich hab grad ein bisschen herumgefragt und hab zu dem Tunnel folgendes
herausgefunden:
Das soll die neue Node Monitoring Lösung werden und wurde vor Monaten im
MoMo besprochen. Das ist seit ca vier Monaten in Arbeit aber noch nicht
fertig, weil noch keine gute Balance zwischen zu vielen und zu wenig
Alerts gefunden wurde.
Das ist aber unabhängig zu dem Login Ding, da weiß ich nix dazu.
LG Jakob
On 23.10.23 23:43, Christoph Loesch wrote:
Hallo,
seit ein paar Tagen bemerke ich ein seltsames unerwartetes Verhalten auf
manchen Knoten die ich betreue.
Erst bemerkte ich eine neue und mir unbekannte wireguard Verbindung zu
einer Funkfeuer IP Adresse, siehe Screenshot am Beispiel beim Node kobe4:
https://chil.at/downloads/unbekannte-konfiguration-kobe4.png
<https://chil.at/downloads/unbekannte-konfiguration-kobe4.png>
Während ich mich bei Nodeownern erkundigt habe ob das bekannt sei und
keinem ein Grund für diese Anpassung bewusst ist, habe ich dann bemerkt
dass plötzlich mein Login zu manchen Routern sowie auch Antennen nicht
mehr funktioniert.
Einen Virus oder etwaiges Fehlverhalten schließe ich aus, da
unterschiedliche Geräte bzw. unterschiedliche Systeme betroffen sind und
offensichtlich gezielt Konfigurationsanpassungen vorgenommen wurden.
Bisher aufgefallen ist mir das bei den Standorten/Knoten: kobe4, koli6,
obdo9, vor158, vor203, wuk
Weiss irgendwer was darüber?
LG Christoph
--
Wien mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/wien
<https://lists.funkfeuer.at/mailman/listinfo/wien>
- Am 1.10.2023 wurden das letzte mal große Konfigurationsänderungen verteilt über den Tag gemacht (hier wurden zumindest zwei weitere User Angelegt - das war aber legitim und so geplant).
- Diese Änderungen sind im Laufe von mehreren Stunden in mindestens drei "batches" gemacht worden mit vielen Stunden dazwischen.
- Der erste Batch hat den ersten der zwei neuen Useraccounts angelegt (das war mitten in der Nacht vom 30. auf den 1.).
- Der zweite Batch hat den zweiten der zwei Useraccounts angelegt (das war am Nachmittag vom 1.).
- Der dritte Batch hat zumindest die sshd config verändert (die daraus resultierende Konfig sieht aber unauffällig aus; das war am Abend vom 1.).
- Der dritte Batch hat mit sehr hoher wahrscheinlichkeit auch das Passwort des primären Accounts geändert und die UMNS Konfiguration geändert, da dies zeitlich genau korrelliert mit "der Router fliegt aus dem UMNS raus" und "die automatischen Config Backups funktionieren nicht mehr".
- Die Configänderungen der ersten zwei Batches sind im Config Backup, diese stimmen genau zu den geplanten Änderungen.
- Im Dump existieren die zwei neuen User nicht mehr, die Home-Directories sind aber noch da.
- Die letzte Configänderung vor dem Austausch des Routers war am 25.10.2023 und hat "primäre Config", `/etc/shadow` und `/etc/passwd` verändert.
- Es gibt eine Datei `shadow.bak`. Diese ist identisch zur aktuellen "primären" shadow Datei, woraus sich zwei Möglichzeiten ableiten lassen:
- Entweder das ist eine immer aktuelle Kopie der shadow Datei, dann bedeutet dies überhaupt nichts für uns relevantes.
- Oder diese wird bei jedem Write auf die shadow Datei erstellt aus der davor aktuellen Variante, dann würde dies bedeuten, dass die Datei am 25.10. zwar geschrieben wurde, aber nichts darin verändert wurde.
- Das einzige was nach dem 1.10. noch verändert wurde ist die "primäre Config" (`/config/config.boot`), `/etc/shadow` und `/etc/passwd` (also kann theoretisch alles verändert haben, was nicht aus dem primären Config File in eine andere Datei am Router geschrieben wird).
- Aus den letzten Punkten kann man den Ablauf grob so zusammenfassen:
- 1.10. am Abend wurde UNMS Config entfernt und das Passwort des primären Users geändert.
- Irgendwann zwischen 1.10. am Abend und 25.10. wurden die zwei zusätzlichen User entfernt.
- Der Passworthash des primären Users ist wie erwartet kein bekanntes Passwort (sha256crypt mit Salt ist nicht sonderlich leicht zu brute-forcen also hab ich da nicht weiter Energie investiert).
- Der SSH Port wird nicht in `/etc/ssh/sshd_config`, sondern in `/etc/default/ssh` gesetzt. Zweitere Datei wurde das letzte mal am 4.8.2023 editiert.
- Der letzte Ansible run auf dem Gerät war zeitlich zwischen Batch zwei und drei am 1.10 und deckt sich gut mit der Zeit des letzten Config Backups.
"Wie Sie sehen, sehen Sie nix". Also das sind Informationen, die durchaus bei einer Rekonstruktion der Ereignisse helfen können, aber für sich alleingestellt sind diese leider relativ nutzlos.
Sollte die letzte Config Änderung (25.10.) tatsächlich eine Config Änderung sein und nicht nur irgend ein Effekt von einem Router reboot oder ähnlichem, dann kann man daraus zumindest sagen, dass zumindest irgendjemand noch Zugriff auf den Router hatte am 25.10.
Da ich EdgeOS aber nicht gut kenne kann/will ich mich darauf nicht festnageln, wir können das aber gerne mal auf einem Reserverouter ausprobieren (also einerseits, wie sich die `shadow.bak` Datei verhält und andererseits wann und wie EdgeOS die Config Files schreibt).
--
Wien mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/wien
