Infos zum Sicherheitsvorfall im Freifunk-Wiki

Am 23.04.2020 wurde auf dem Server von wiki.freifunk.net über eine Sicherheitslücke weitere Software installiert, die anscheinend auf anderen Servern nach ähnlichen Sicherheitslücken gesucht hat. Am MediaWiki selbst wurden soweit ersichtlich keine Änderungen vorgenommen oder Daten abgefischt. Der Zugriff blieb anscheinend auf den Webserver-Benutzer begrenzt. Da Analysen in der Richtung aber keine 100%ige Sicherheit bieten können, sollten alle Menschen mit Wiki-Accounts ihre Passwörter dort ändern, auch wenn die Passwörter in der Wiki-Datenbank nach Stand der Technik sicher als Hash abgelegt sind (pbkdf2/sha256). Diejenigen, die sich seit dem 23.04.2020 neu registriert haben, wurden von uns gesondert informiert. Das Wiki nutzt Accounts nur zur Abwehr von Spam und bietet keine persönlichen Postfächer oder ähnliches, entsprechend liegen im Wiki keine personenbezogenen Daten abseits vom gehashten Passwort (und ggf. E-Mail-Adresse) vor.

Vermutlich war das Wiki “Beifang” bei einem größerem Hack von WordPress-Webseiten im Rahmen der Traber- und SSSP-Kampagnen.

Der Hack wurde am 27.04.2020 bemerkt, das Wiki offline genommen, der Rechner komplett neu installiert und die Datenbank aus einem sicheren Backup aus der Zeit vor dem Hack wiederhergestellt. Am 30.04.2020 ging die neue Installation online.

Technischer Hintergrund

Als Einfallstor wurde PHPUnit benutzt, das versehentlich als Development-Dependency via PHP Composer installiert wurde. Composer installiert Abhängigkeiten im “vendor”-Verzeichnis, das in der installierten alten MediaWiki-Version von außen zugänglich war.

Es kamen also mehrere Faktoren zusammen:

  • Der Code in PHPUnit ist gelinde gesagt “überraschend” (und wurde vor wenigen Monaten dort auch entfernt)
  • Verzeichnisse mit internem Code waren nach außen sichtbar (das wurde in MediaWiki vor einiger Zeit per .htaccess behoben)
  • Composer installiert in der Voreinstellung auch Developer-Abhängigkeiten
  • Wir haben die Software nicht regelmäßig aktuell gehalten. Leider ist das angesichts von Abhängigkeiten wie dem Freifunk-Skin nicht immer ganz einfach.

Maßnahmen

Der Prozess zum Einrichten und Aktualisieren des Wikis wurde weitgehend automatisiert. Wir werden das Wiki in Zukunft aktuell halten und im Zweifelsfall Aktualität der Software höher priorisieren als Funktionalität wie das Skin.

Zur Vermeidung von Datenhalden werden in Zukunft komplett ungenutzte Accounts automatisch gelöscht bzw. inaktive Accounts nach einiger Zeit deaktiviert und die diesen Accounts zugeordneten Passwort-Hashes und E-Mail-Adressen aus der Datenbank entfernt.

Beim Erstellen von Accounts wird jetzt darauf hingewiesen, ein sicheres Passwort zu setzen, das für keinen anderen Dienst benutzt wird.

Vielen Dank an alle, die sich schnell gekümmert haben und halfen, die Sicherheitslücke schnell zu schließen.

Review freifunk.net zum Webteam Hackday

Am vergangenen Wochenende traf sich das Webteam in der c-base in Berlin, um unsere gemeinsam genutzten Webdienste voranzubringen und fit für die Zukunft zu machen.

Gemeinsam haben wir Tickets abgearbeitet (und sogar mehr geschlossen als neue geöffnet) und ein paar größere und viele kleine Fehler in unserem Webauftritt behoben.

Monic und Christian haben begonnen, ein WordPress-Theme für die Freifunk-Communities zu schaffen, die es als Startpunkt für einen eigenen Webauftritt verwenden können. Außerdem wollen wir das Design vom Wiki und dem Blog unserer Website anpassen und eine globale Navigation einbauen.

Daniel und Andi haben im Backendbereich einige Komponenten aktualisiert, z.B. das Wiki auf die neueste Version gebracht und die verwendeten php-Versionen modernisiert. Dienste wie den API-Collector haben wir konsolidiert und die eher aus Zeitmangel entstandene Verteilung auf verschiedene Systeme aufgehoben. Gleichzeitig wurde ein neuer Artikel zur neuen Struktur der API fertig.

Einen neuen Downloadbereich wird es in Zukunft auch geben. Hierfür schufen wir die Grundlagen am Wochenende, Monic stiftete dafür Speicherplatz im Internet, der noch seiner Einrichtung harrt.

Weit oben auf der Agenda steht nun, das Wiki aufzuräumen, alte Artikel zu modernisieren oder völlig unbrauchbare Fragmente zu entsorgen. Diese Aufgabe geht uns alle an! André aus Hamburg hat schon begonnen, den Artikel zum Intercity-VPN umzuschreiben und Ballast daraus zu entfernen.

Eine weitere Idee, die wir mittelfristig umsetzen wollen ist die Schaffung eines kollaborativen Kalenders, den alle Communities nutzen können. So entsteht ein weitreichender Überblick über Freifunkevents in ganz Deutschland (und vielleicht über unsere Grenzen hinaus).

200. Artikel im Freifunkwiki

Heute wurde im wiki.freifunk.net der 200. Artikel bereit gestellt. Mittlerweile ist es dort recht aktiv geworden, sodass viele nun aktiv an diesen gemeinsamen Wiki arbeiten. Auch du kannst dich dort beteiligen und eure gewonnenen Erkenntnisse aus den Communities dort einfließen lassen.

Wenn ihr selbst aktiv werden wollt, seit ihr dazu recht herzlich eingeladen, und euren Tatendrang  schnellstmöglich in Artikeln zu verfestigen. 

Freifunk-Wiki Qualitaetsoffensive

Keks von der Berliner Freifunk-Initiative Nord-Ost fordert die Freifunk-Community auf der WLAN-Mailingliste WLANnews auf mehr zusammen zu arbeiten und das Freifunk-Wiki staerker gemeinsam zu nutzen. Genau, das war meine Idee als ich vor ueber zwei Jahren das Freifunk-Wiki zusammen mit Jens Nachtigall und Christian Seitz von in-berlin aufgesetzt habe. Folgend die Mail von Keks.

Die Große wiki(pedia) macht es vor, und ich denke wir sollten uns auch einmal ran setzen und gemeinsam das wiki auf freifunk.net auf Vordermann
bringen! Es wird zeit, dass das wissen unser "aller" Communitys einmal mehr zusammengetragen wird. Zwar hat jede große Freifunk-Sub-Community
ihr eigenes Wiki und sammelt ihr wissen über bestimmte dinge dort, aber ich denke, wir sollten alle gemeinsam ein mal an einen Strang
ziehen und "Globale" inhalte in das Wiki von freifunk.net übernehmen. Daher rufe ich alle Communitys auf, Allgemeinwissen (z.B. der Umgang
mit einer bestimmten Hardware, das Handling von Wlankarten und was es da sonst nicht noch alles gibt), das nicht nur auf eine Community
beschränkt ist, auch (und grade) in das freifunk-Wiki zu stellen und dort zu Pflegen. Somit sollte sich für alle beteiligten die Arbeit
reduzieren, da keine "Redundanten", nebeneinander/ aneinander vorbei entstehenden Wikis Themen mehrmals aufarbeiten müssen, sondern gemeinsam auf ein gut gepflegtes Wissen von Freifunk.net zurückgreifen können.
Daher rufe ich euch auf, auch eure Inhalte aus eventuell bestehenden "Lokalen" Wikis mit Wissen, das auch den Anderen Communitys zu gute
kommen sollte / könnte in das große Freifunkwiki umzuziehen und dort mehr inhalte bereit zu stellen

Gruß Keks
http://Freifunk-bno.de

Open Hardware from Squidbee for Wireless Sensor Networks

A couple of weeks ago I was talking with Alex about meshlium. I found out more about the project now. Last week I did an interview with Jose Luis Marina from Peopleware at a workshop of FOSS Bridge in Hanoi. Peopleware develops Osmius a very advanced monitoring tool to monitor all kinds of devices. He told me about their idea of using the open Squidbee hardware for their sensor networks. They want to be able to transfer data from sensor networks in an easy and affordable way. A scenario I see here is to use mesh networks for the transmission.

SquidBee is a project that uses an open hardware design as well as open-source software as a platform for remote control and sensing: "SquidBee is an Open Hardware and Source wireless sensor device. The goal of SquidBee is getting an "open mote" to create Sensor Networks." SquidBee uses the ZigBee self-organizing low power wireless mesh network protocol. ZigBee operates in the unlicensed 2.4 GHz, 915 MHz and 868 MHz ISM bands with data rates from 20-250 kbit/second, per channel. ZigBee is optimized for super low power operation so that the devices can be operated from battery power for long amounts of time. For long-running outdoor applications, powering the devices from photovoltaic panels would be an obvious technology choice. Using the 1mW XBee power level, the XBee maximum device-to-device range is 100 meters. At the 100mW XBee pro power level, the range is extended to 1KM. Each additional node can extend the range of the mesh network, since data passes through the nodes. (Download, June 16, 2008, http://lwn.net/Articles/260223/)

Behind the project is Libelium Comunicaciones Distribuidas, a SpinOff company of the University of Zaragoza (Spain) which has develop the ZigBee communication module. The Libelium team is formed by Marcos Yarza, Alicia Asín and David Gascón. The board has been developed by the Arduino team by David Cuartielles, Massimo Banzi, David A.Mellis and Tom Igoe. They come from different institutions in Spain, Sweden, Italy and New York (compare: http://www.libelium.com/squidbee/index.php?title=Who_is_behind%3F).

 

Some more info from the Squidbee wiki:

The main concepts behind SquidBee are:
* Self-powered
* Wireless Comunications
Repeat with me: "Ubiquity, Ubiquity, Ubiquity…"

How does SquidBee work?  

  1. Acquires  values from environment parameters: temperature, humidity, lightness, presence, pressure or (almost!) whatever you can sense.
  2. Operates with these values, when required.
  3. Transmits these values using a low power comsumption wireless technology (ZigBee).
  4. Sleeps until next timeout and repeats from the first stept.

Second step is not always necessary, depending of the calculations needed it may be better to make them in receiver computer to save nodes energy.

An open mote? What does it really mean? It means every part of the mote is accessible and can be studied, changed, personalized, … From the schematic circuit to the source code of the programs that are running inside the mote.

Who is interested in SquidBee? Anybody who is researching in the environment monitoring field. This is also an educational project so that universities can offer to the students a multi-learning device. With SquidBee people can learn at the same time electronic, programation, communications… and everything in just one device.

Who is supporting SquiBee? The board inside SquidBee has been developed by the Arduino team. The communications module wich lets  the node transmit through a ZigBee module has been developed by Libelium. Both components are open hardware and they have a really strong community support. A specialized wiki related to SquidBee and the Sensor Networks  will be created soon. There, all the Arduino and Libelium tutorials and examples will be shared and other research teams will be able to exchange their knowledge with the community.

What can I do with SquidBee? The main concept is: "sense what you want where you want and transmit it".

Two configurations of SquidBee? What is it exactly? Using the same board and communications module we have created 2 kinds of SquidBee: the sensor mote and the gateway. The first one is the self-powered sensor mote and the second is the computer USB connected receiver.

Can I integrate SquidBee into a wireless 802.11 Mesh network? Yes! We have also developed an outdoor Mesh Router: MeshLium which you can use to collect the information using the ZigBee protocol and transmit it to the mesh network using the Wifi technology (802.11). (Version, May 15, 2008, 15.22, http://www.libelium.com/squidbee/)

Chaosradio Express mit Harald Welte zum Thema “Software Defined Radio” und technische Grundlagen und Entwicklung mit GNU Radio

Harald Welte ist zu Gast bei Chaosradio Express und gibt Einblicke in seine derzeitigen Aktivitäten.

Originalposting: http://chaosradio.ccc.de/cre087.html
Download: http://chaosradio.ccc.de/archive/chaosradio_express_087.mp3 (118.6 MB)
Dauer: 02:09:30h
Veröffentlicht am: 17.05.2008, 22:00 Uhr
Aufnahme vom: 14.05.2008
Moderation: Tim Pritlove
Gast: Harald Welte

Moderne Funkempfänger und
-sender setzen in zunehmenden Maße auf Software, die Schritt für
Schritt die klassischen Hardware-Komponenten ersetzen. Das erlaubt
nicht nur flexibere und günstigere Geräte, es ermöglicht auch, den
eigenen Computer als komplexes Analyse- und Dekodierungswerkzeug
einzusetzen. Die freie Software GNU Radio bietet heute schon den
Werkzeugkasten zum Erzeugen und Dekodieren von Funkwellen auf dem PC
und ebnet einer Vielzahl an möglichen Projekten den Weg, die bislang
nur mit aufwändiger und teurer Hardware realisiert werden konnte. Harald
Welte erläutert im Gespräch mit Tim Pritlove die Grundgedanken von
Software Defined Radio und erläutert wie man GNU Radio und die freie
Universal Software Radio Platform (USRP) für eigene Projekte zum
Einsatz bringen kann. Es werden verschiedene Anwendungsmöglichkeiten
vorgestellt und vor allem auf den aktuellen Stand des GSM Software
Project eingegangen, das sich die Implementierung eines GSM-Stacks zum
Empfangen und Senden zum Ziel gesetzt hat.

Harald auf seinem Blog über die Sendung:

I’ve had the pleasure of being invited to Chaosradio Express
maker Tim Pritlove to talk about Software Defined Radio in general, and
gnuradio plus USRP specifically. You can listen to the resulting 2+ hours of podcast (in
German)
. It’s been a great experience, and I have a good feeling that it was possible for
us to explain this fairly detailed subject to our already at least moderately
technical audience. SDR is really hard since it combines aspects of traditional radio, i.e. physics
of electric waves, electrical engineering both analog and digital, digital
signal processing and software. The biggest part is really advanced
mathematics, and at least from all the subjects that I’ve seen, it’s probably
the most direct and close-to-theory incarnation of applied math. Luckily, a fairly high-level understanding of the algorithms and principles
involved are already sufficient to do a lot, since most of the deep-down
mathematical details of many algorithms have already been implemented as
building blocks for gnuradio. Still, I assume the number of developers who
are actually able to use gnuradio is far too low. If you’re looking for an
interesting field of software right now, I suggest going for digital signal
processing. It’s in every area of communications, ranging from analog modems
over ISDN, DSL, WiFi, USB2, Bluetooth, GSM, UMTS, DECT, ZigBee, Ethernet, VoIP
and probably any other communication technology that we use today. (Sat, 17 May 2008, http://laforge.gnumonks.org/weblog/2008/05/17/#2080517-chaosradio-sdr)

Links:

IPv4-Adressen werden immer knapper – Auswirkungen für Freifunk-Netze?

heise hat vor ein paar Tagen über knapper werdende IP-Adressbereiche berichtet. "Schon in rund drei Jahren, ± 18 Monate, sind die IPv4-Adressreserven nach aktuellen Schätzungen erschöpft." Vor den möglichen Konsequenzen warnen einige Freifunker ja schon ein Weile. Dann könnte es nämlich passieren, dass sich jemand anderes den 104-Bereich, der zum Beispiel in Berlin verwendet wird, weg schnappt und wir plötzlich ohne eigene Adressen da stehen bzw. dass dies zu Konflikten führt, da Adressbereiche dann zwei Mal vergeben sind. Die von Freifunkern genutzten IP-Adressen waren in der Vergangenheit nicht offiziell vergeben worden und konnten daher für das Freifunknetz genutzt werden.

Wenn IPv4-Adressen knapp werden, könnten sie mehr und mehr zur interessanten und handelbaren Ware werden. Die regionalen Internet-Registries (RIR), Hüter der IP-Adresszuteilung, beobachten dies mit Sorge. Erlauben sie zukünftig die Transfers oder Verkäufe offiziell, akzeptieren sie damit Kommerzialisierung und Privatisierung. Der Versuch, auf die Rückgabe an die RIRs zu bestehen, könnte den wohl unausweichlichen Handel in den Untergrund treiben. Spätestens nachdem das Gerücht die Runde machte, IP-Adressblöcke seien auf eBay aufgetaucht, begannen die RIRs Diskussionen darüber, wie mit dem IPv4-Schwarzhandel umgegangen werden soll. Bei drei der fünf RIRs – RIPE, ARIN und APNIC – liegen Vorschläge zu Transferregeln bereit. Beim RIPE-Treffen in Berlin wurde intensiv über die Regeln für IPv4 in der RIPE-Region diskutiert… (09.05.2008 09:27, Monika Ermert / anw/c’t, http://www.heise.de/newsticker/IPv4-Adressen-als-heisse-Ware–/meldung/107658)

Einen Ausweg aus der Adressenknappheit bietet IPv6, aber die Einführung
von IPv6 ist nicht gerade trivial.

Aufhalten lässt sich die Ausgabe der letzten IPv4-Adressen kaum, denn zu groß ist die Nachfrage. Zwar gibt es mit IPv6 schon heute eine Quelle für aus gegenwärtiger Sicht unerschöpflichen Adressraum. Da aber noch auf Jahre oder Jahrzehnte beide Adressräume parallel existieren werden und auch neue Anbieter IPv4 für eine Brücke zwischen beiden Welten zunächst benötigen, steigt der Wert von IPv4-Adressen. (09.05.2008 09:27, Monika Ermert / anw/c’t, http://www.heise.de/newsticker/IPv4-Adressen-als-heisse-Ware–/meldung/107658)

Open IEEE 802.11s

open80211s.org is an interesting project to open up the IEEE 802.11 industry standard for wireless mesh networks. Current mesh networks are based on mesh routing software working on higher network layers and on the 802.11a/b/g standard hardware. Mesh-Routing with the
802.11s standard is intended to be more efficient as the routing is "happening" at the MAC layer.

open80211s is a consortium of companies who are sponsoring (and
collaborating in) the creation of an open-source implementation of the
emerging IEEE 802.11s wireless mesh standard. The resulting software
will run on Linux on commodity PC hardware.
Goals
* To create the first open implementation of 802.11s.
* To let the world use it, understand it and contribute to it.
* To connect all the Linux devices in the world to One Big Mesh.
(open80211s.org)

IEEE 802.11s ist eine bisher noch nicht angenommene Teilspezifikation des IEEE 802.11-Industriestandards
für drahtlose Netzwerkkommunikation. Ziel von 802.11s ist ein
herstellerunabhängiger Standard zur Einrichtung von drahtlosen, vermaschten Netzwerken.
Im Unterschied zu derzeitigen Mesh-Netzen, die auf vorhandener
802.11a/b/g-Standard-Hardware und auf höheren Netzwerkebenen
arbeitender Mesh-Routing-Software basieren, findet das Mesh-Routing bei
802.11s in der MAC-Schicht statt und ist daher wesentlich effizienter,
insbesondere auch in Hinblick auf Hardwareanforderungen und
Energieverbrauch. (Version 3.2. 2008, 14:30, http://de.wikipedia.org/wiki/IEEE_802.11s)

IEEE 802.11s is a draft IEEE 802.11 amendment for mesh networking, defining how wireless devices can interconnect to create an ad-hoc network. 802.11 is a set of IEEE standards that govern wireless networking transmission methods. They are commonly used today in their 802.11a, 802.11b, and 802.11g versions to provide wireless connectivity in the home, office and some commercial establishments. It extends the IEEE 802.11 MAC standard by defining an architecture and protocol that support both broadcast/multicast and unicast delivery using "radio-aware metrics over self-configuring multi-hop topologies." (2 May 2008, 16:55, http://en.wikipedia.org/wiki/IEEE_802.11s)

 [via alx]

Wireless Community Networks List on Wikipedia

Thee free wireless community is growing and for some time I tried to keep a list of communities on the Global Newswire Site at http://global.freifunk.net/free_global_wireless_community. The bigger the community gets the more difficult it becomes. Instead of maintaining a seperate list of freifunk communities I will join the maintainers of a list of communities in the English Wikipedia, who have created a wiki page here: List of wireless community networks by region.

 

Wo kann ich Freifunk-Hardware kaufen?

Immer wieder wird von Newcomern die Frage gestellt, wo kann ich die richtige Hardware fuer Freifunk kaufen? Ich habe nun eine Wikiseite angelegt auf der wir Laeden sammeln koennen, die Freifunk-Hardware verkaufen: http://wiki.freifunk.net/Freifunk-Hardware-Shops