Statement zu SSH-Keys

Vor kurzem wurde sowohl auf der Mailingliste „WLanTalk“ als auch auf der Diskussionsplattform https://forum.freifunk.net in bewusst skandalisierender Weise der Vorwurf erhoben unsere Firmware wäre darauf ausgerichtet angeschlossene Systeme zu infiltrieren. Dieser Darstellung widersprechen wir hiermit ausdrücklich, da sie unzutreffend ist.

Die Diskussion entbrannte um eine für Entwicklungszwecke eingebaute Fernwartungsfunktion. Diese ermöglicht es bestimmten Administratoren per SSH Zugriff auf Geräte zu nehmen auf der diese aktiv ist und technisch weniger versierten Nutzern schnelle Hilfe zukommen zu lassen. In der Anfangszeit war unsere Software noch recht instabil, was häufige Eingriffe erforderlich machte. Der Quelltext unserer Firmware war jederzeit öffentlich einsehbar und mit dem klaren Hinweis versehen, diese nicht ohne vorherige Rücksprache zu verwenden.

Um Fehlern vorzubeugen, gab es ein Selbstreparatursystem das eine gelöschte „authorized_keys“ (die Datei, die den Zugang zum System regelt) wiederherstellte. Wurde die Datei einfach gelöscht, kam es vor, dass das System nicht mehr korrekt arbeitete. Die Datei wurde aus einer Standard-Liste von Zugangsschlüsseln wiederhergestellt. Im Nachhinein betrachtet hätten wir besser einfach eine leere Datei erstellt. Das hätte den aufgekommenen Missverständnissen vorgebeugt.

Da wir bis vor kurzen auf einer Mitgliedschaft bestanden haben wurden die Knoten durch persönlichen Kontakt vermittelt, daher oblag es immer der jeweiligen Community, den Aufsteller über eine ggf. aktivierte Fernwartungsfunktion zu informieren. Eine gesonderte schriftliche Information gab es daher nicht und wir haben nie auf einer unserer Webseiten dazu aufgerufen eine Version der Firmware mit aktiviertem Fernwartungszugriff herunterzuladen und zu installieren. Statt dessen haben wir immer um einen persönlichen Kontakt gebeten.

Mit der Abschaffung der obligatorischen Mitgliedschaft und der Weiterentwicklung unserer Firmware ist die Fernwartungsfunktion obsolet geworden. Daher existiert sie um überwiegenden Teil unseres Systems nicht mehr. Sie ist nur noch dort aktiviert, wo der Wunsch des Betreibers danach besteht und entsprechende Absprachen getroffen wurden.

Öffentlich, auf den Seiten der dem Verein angeschlossenen Communities, zum Download verlinkte Firmwareversionen enthalten keine aktiven Fernwartungszugänge. Auf ein aktives automatisches Update weisen wir explizit hin.

Selbstverständlich haben wir den Vorgang nun rechtlich prüfen lassen. Unabhängig davon ist aber klar, dass die bisherige Praxis zu massiven Irritationen geführt hat und so nicht fortgesetzt werden kann.

Um zukünftigen Missverständnissen vorzubeugen haben wir unser Vorgehen dahingehend geändert, dass Fernwartungszugänge und/oder automatische Updates nun schriftlich vom Knotenbetreiber quittiert werden müssen, sofern sie gewünscht sind. Dies soll den Mitgliedern Rechtssicherheit verschaffen, die in Ihren Communities diesen Service eigenverantwortlich und ehrenamtlich erbringen wollen.

Weiterhin bieten wir in Zukunft den Communities, die als Unterstützung über uns ihre Firmware beziehen wollen, eine Gluon-Version an. Dort kann der Nutzer dann während des Installationsvorgangs (sog. Config-Mode) die entsprechenden Optionen selbst wählen. Außerdem wird die Firmware zukünftig für jede Community separat erzeugt und muss vor der Veröffentlichung von mehreren Personen digital signiert werden. So entsteht eine Aufspaltung zwischen der Backbone-Infrastruktur des Vereins und den diese nutzenden Firmwares der einzelnen Communities in deren Verantwortung dann die explizite Ausgestaltung liegt.

Zusätzlich möchten wir so an den gebündelten Anstrengungen der Firmware-Entwicklung teilhaben indem wir uns selbst an der Weiterentwicklung der Gluon Firmware beteiligen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Disclaimer

Jedes Freifunk-Projekt ist eigenverantwortlich tätig und der "Verbund freier Netzwerke NRW e.V." stellt keinen Dachverband für Nordrhein-Westfalen dar. Es gibt in NRW, sowie deutschlandweit eine ganze Reihe von Gruppen die Freifunk auf Ihre Weise betreiben. Der Fokus liegt dabei auf lokalen und unabhängigen Communities. Vereine wir der unsere sind dabei eher als Infrastrukturgeber im Hintergrund zu sehen. Allgemeine Informationen zum Projekt finden sich auch unter freifunk.net