Hallo zusammen, wenn der *beauftragte* Admin (durch privat, Verein, Firma, Partei) seinen SSH Key in den Router dröhnt, dann ist das absolut legitim.
Aus meiner Sicht ganz eindeutig *nicht in Ordnung* ist: - nen Haufen Keys teils personenbezogene, teils anonyme per default zu hinterlegen - das sich die Keys nicht einfach deaktivieren lassen und automatisch wieder reingenommen werden nach einer Löschung - das Keys aus der Ferne automatisch nachgeladen werden - das über eine Backdoor beliebiger Code ausgeführt wird Wenn man nun meint, dass das alles okay ist, solange keine Übergriffe stattfinden, dann wäre es auch in Ordnung Usern Trojaner per Email unterzujubeln solange keine Übergriffe stattfinden. Die Parallelen sind schon ziemlich eindeutig: - beliebiger Code aus der Ferne ausführbar - stellt sich automatisch wieder her, um sich nicht simpel aussperren zu lassen Im Forum gab es bereits Ausreden, wie bspw. es sei eine Alpha Version, die dann aber nicht als stable in die Masse ausgerollt werden dürfte, oder aber das man die Backdoor brauche um die Möglichkeit von Autoupdates zu haben. Aus meiner Sicht machen es solche merkwürdigen Ausflüchte noch dubioser. Der Autoupdater im Gluon funktioniert auch per pull, ohne SH Backdoors die von aussen angesprochen werden oder sonstiger hochgradig fragwürdiger Dinge. Jeder Autoupdater arbeitet so, dass dieser von der Installation aus quer durchs Internet nach neuen Versionen sucht und diese ggfs. installiert und nicht anders rum, so dass der Hersteller eine Backdoor im System hätte und aus der Ferne "Dinge"™ tut. Nun könnte man im Detail noch lange drüber diskutieren, 1) ob diese Dinge schlichtweg naiv und grob fahrlässig aus Bequemlichkeit, sowie in Ermangelung technischen Sachverstands umgesetzt und eingebaut wurden, sowie ebenfalls vergessen wurde eindeutig auf die merkwürdigen Dinge hinzuweisen oder 2) vorsätzlich gehandelt wurde Die dahinter stehende Absicht, ob nun ggfs. mit krimineller Energie oder eben auch nicht lässt sich ohnehin nicht erkennen. Zumal durch die diversen eingebauten Keys etc. noch nicht einmal klar ist *welche* Gruppe an Personen Zugriff auf die Router und implementierten Funktionen hatte. Das können 5 Personen sein, oder auch 50, wer weiß das schon. Wer kann entsprechend glauben, dass dort nicht mal ein Blick ins Netzwerk geworfen wurde, wenn noch nicht einmal die Personen bekannt sind? In diesem Fall wären dann ohnehin - da häufig der Vergleich zu professionellen Admins im Job gezogen wurde - ebenfalls a) alle handelnden Personen im Vorfeld zu bestimmen und zu benennen sowie b) Datenschutz und Verschwiegenheitserklärungen von allen handelnden Personen gezeichnet einzuholen und vorzuhalten. Schwierig ist für mich vor Allem die Außendarstellung. Da ich in der Vergangenheit ohnehin schon nicht mit den Ansichten des VfN leben konnte: - Mesh ist nicht wichtig - eine Community wird gegründet in dem ein einzelner Router in die Post gegeben wird - hauptsache viele Mitglieder über das gesamte Bundesgebiet anwerben und mit Routern versorgen, die dann halt nicht meshen - VfN vertritt (assoziiert bis selbsterklärt und unaufgefordert) Freifunk in NRW als Dachverband aller Freifunker in NRW - usw. usw. habe ich nun auch überhaupt kein Interesse daran, dass die weiteren dubiosen Machenschaften, die nun zumindest tendenziell ins Kriminelle abdriften, auf uns alle zurückfallen. Wir haben in den letzten 15 Monaten einfach zu hart daran gearbeitet Freifunk im Ruhrgebiet quasi von 0 an aufzubauen, um uns das nun durch den VfN zerstören zu lassen! Entsprechend will ich gar nicht wissen wie schmackhaft Freifunker der ersten Stunde den Gedanken empfinden, dass durch solche dubiosen Dinge ein den Freifunk massiv schädigender Shitstorm von unseren Gegnern ausgelöst werden könnte. Für mich ist und bleibt das, egal welche Fälle man unterstellen will, jedenfalls insgesamt ein Unding und disqualifiziert den VfN aus meiner Sicht endgültig. Beste Grüße Chris Freifunk Ruhrgebiet P.S.: Danke Malte und Regio Aachen für die geleistete investigative Arbeit! Am 27. März 2015 um 10:55 schrieb Malte Moeller < [email protected]>: > Am 27. März 2015 um 09:15 schrieb Mathias Mahnke <[email protected]>: > >> > Ich fordere den Vorstand des VfN auf die Angelegenheit zu klären und >> > sofern sie strafrechtlich relevant ist gegen die entsprechenden >> > Mitglieder Anzeige zu erstatten. Eine öffentliche Stellungnahme zur >> > vergangenen Praxis und dem zukünftigen Vorgehen halte ich für zwingend >> > notwendig! >> >> vielen Dank für die Offenlegung zum Sachverhalt. Ich finde es sehr gut, >> wie detailliert du den Fall beschreibst samt Historie. Deine >> Schlussfolgerung kann ich nachvollziehen, die Maßnahmen finde ich aber >> in erster Instanz überzogen - für den Fall dass du nicht bereits Kontakt >> mit den lokalen Machern und "Verursachern" hattest. >> > > Der VfN ist für mich kein unbeschriebenes Blatt, er stellt sich in NRW als > Dachverband aller Freifunker dar obwohl das von den größeren Vereinen > ausdrücklich nicht gewünscht wird. Den Beteuerungen die Situation zu ändern > folgten aus meiner Sich bisher keine nennenswerten Taten. Da dieses Thema > deutlich dringlicher ist, habe daher zwecks externen Meinungen den Weg auf > diese Liste gewählt. > > >> Auch aus eigener Erfahrung (10 Jahre "Opennet Initiative e.V." als >> Freifunk in Rostock, Schwerin, Teil von MV) - die Zugriffsmöglichkeit >> auf verwaiste APs ist im sich laufend wiederholendes Problem. Die beste >> Lösung ist dazu sicher nicht die in NRW gewählte. Wir haben hier aber >> auch schon mehrere durch, u.a. die Aufforderung der Nutzer ein Passwort >> an eine Liste zu hinterlegen oder eine zentrale PGP gesicherte Datei >> etc. - eigentlich hat sich keine bewährt. Aber auch Versuch und Fehler >> gehört dazu. So würde ich die vielleicht naive Lösung, die du >> bemängelst, beschreiben. Da man aber auch aus Fehlern lernen sollte - >> zunächst mal die mit den Betroffenen und den Verursachern klären? >> > > Das Problem ist tatsächlich der benötigte Fernzugriff, da die Router > teilweise per Post in weit entfernte Städte verkauft werden, in denen es > keinen Ansprechpart für Probleme gibt. Das erinnert mich stark an das > Vorgehen der kommerziellen Anbieter von HotSpot Lösungen. > > https://freifunk-nrw.de/wp-content/uploads/2013/08/antrag-mitgliedschaft-vfn-nrw-v3-1.pdf > > >> Hier könnten und sollten wir uns vielleicht auf einen Konsens einigen, >> d.h. welcher Weg passt gut zur Freifunk Idee, welcher nicht. Den >> Förderverein aber als Schiedsgericht "anzurufen", würde ich gern >> vermeiden sollen. >> > > Das Problem mit dem Förderverein ist nun mal, dass er durch die Verwaltung > zentraler Dienste einen Dachverband vergleichbar auftritt. Durch das > Gewähren von Ressourcen und die Nennung in seinen Listen wird eine lokale > Initiative in der breiten Wahrnehmung als Freifunk legitimiert. > Da der VfN auch zentrale Dienste wie pad.freifunk.net und > mumble.freifunk.net für den Berliner Förderverein betreibt ist mir eine > Stellungnahme umso wichtiger. > > Viele Grüße > Malte > > _______________________________________________ > WLANtalk mailing list > [email protected] > Abonnement abbestellen? -> > http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net > > Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung > unter http://freifunk.net/mailinglisten > >
_______________________________________________ WLANtalk mailing list [email protected] Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
