Freifunk Ansbach Mesh gehackt und observiert.

giphyWarum hackt man gezielt eine ehrenamtliche Initiative für freies Wlan? Wir wissen es nicht und solche Menschen tun uns aufrichtig leid.

Statt ihre Zeit in in gute Dinge zu stecken, sorgen sie dafür, dass andere Leute Ärger mit ihren guten Taten haben.

Und dennoch:
Vom 14.März 21:30:02 bis gestern Abend 21. März 23:00 Uhr war einer unserer beiden aktiven Gateway-Server (der, auf dem auch Netmon lief) unter der Kontrolle eines dritten Admins. Dieser hat eine Sicherheitslücke im Netmon ausgenutzt und wurde zu Root. Betroffen sind Ansbach, Emskirchen & Neuendettelsau.

Mit diesen Berechtigungen wurden dann gezielt sämtlicher TCP-Freifunk-Mesh-Verkehrs-Daten mitgeschnitten und dieser Dump dann an eine weitere Maschine weitergegeben. Auf dem Zielrechner wurden diese Daten mithilfe von Tools ausgewertet und verarbeitet. Eine technische Dokumentation dieses kriminellen Angriffs werden wir nachreichen. Der Fehler im Netmon wurde gefixt und kommuniziert.

Sollten unsere Nutzer (entgegen unseren Empfehlungen) unverschlüsselte Verbindungen nutzen, dann jetzt unbedingt sämtliche Passwörter ändern und in Zukunft auf sichere Verbindungen achten! Einbrüche können überall passieren und nur selten werden diese kommuniziert.

Schon jetzt können wir sagen dass der Angriff gezielt auf unsere Infrastruktur abgerichtet war. Darüber hinaus kennt sich der Angreifer sehr gut im Netmon Monitorring aus, vermag selbst Angriffe auf fremde System möglichst verdeckt zu vollführen und hat eine Vorliebe für PGP-Verschlüsselung. Durch das gezielte Vorgehen können wir daher auch davon ausgehen, dass derjenige selbst aktiver Freifunker ist.

Prinzipien kann man leichter bekämpfen als nach ihnen zu leben.
Alfred Adler (1879-1937), östr. Arzt u. Psychologe

Wie geht es weiter?
Der Server ist jetzt (unserer Meinung nach) erstmal wieder sicher. Sämtliche SSL-Zertifikate & VPNzeugs wurden beim Einbruch entwendet, diese werden in den nächsten Tagen ersetzt.

Was bleibt? Technische Sicherheitslücken werden wir niemals komplett verhindern können. Auch deswegen müssen wir dafür sorgen dass wir zentrale Freifunk-Server nicht mehr benötigen. Helft mit die Störerhaftung zu entfernen!

15 Comments

  1. Danke für die Analyse und Veröffentlichung des Hacks, habe über die Freifunk-Franken Mailingliste darüber erfahen.

  2. Ich gehe mal stark davon aus, dass ihr Anzeige bei der Polizei erstattet und soweit vorhanden IPs und Ähnliches an die weitergegeben habt. Der Angriff sollte für die Behörden von Interesse sein, zumal potenziell hunderte oder tausende Nutzer betroffen sein können. Solche Idioten sollten mit allen legalen Mitteln verfolgt und zur Rechenschaft gezogen werden. Danke, dass ihr das nicht unter den Teppich gekehrt, sondern verlffentlicht habt!

  3. Pingback: Bytespeicher Notizen KW 11/12 | Bytespeicher

  4. PEINLICH!

    Euer Kommunisten-Netz ist unsicher!

    Am besten ganz abschalten und die Zeit für’s Zubereiten eines Wildschweinbratens nutzen.

  5. Ich würde ehrlich gesagt davon ausgehen dass das nicht die erste Attacke dieser Art ist. Glaubt Ihr wirklich dass NSA und Co sich nicht für das interessieren was in einem freien Netz passiert? Wahrscheinlich machen die das aber so subtil, dass es keiner mitbekommt…

  6. Pingback: Freifunk Mesh gehackt und observiert - Freifunk Emskirchen

  7. Die Idee Freifunk finde ich nach wie vor gut, ohne Zweifel. Was mir aber eben nicht gefällt sind genau solche Dinge. Man gibt die Wartung der Router in teils private Hände ab, die eben keine Updates durchführen, weil sie Angst haben etwas kaputt zu machen. Oder eben jedes „kriminelle“ Element, welches unbedingt stören will, hängt sich mit rein und greift damit ungefragt Daten ab. Die Kommunikation muss ja gar nicht mal erfolgen, es genügt doch schon wenn so ein altersschwacher Windowsrechner im Netz herum quakt. Und als Eigentümer dieses Routers habe ich die „Macht“ und kann im Netzsegment tun und lassen was ich will. Wer garantiert denn, dass Datenpakete genau dahin gelangen wo sie hin sollen? Ganz zu schweigen von der (Billig) „Technik“, die anfällig ist ohne Ende.

  8. Wir müssen einfach lernen mit solchen Dingen unzugehen.
    Da nützen Schuldzuweisungen wenig.
    Übrigens empfinde ich immer die reine Publikation und Aufklärung als die wirksamste Strafe und beste Reaktion.
    Einen Hacker bei der Statsanwaltschaft anzuzeigen würde ich als Rache bezeichnen.
    Vielleicht kam der Angriff ja auch von einer staatlichen Behörde.
    Wichtig ist, aus solchen Gelegenheiten sinnvolle Schlüsse zu ziehen.
    Wichtig ist auch die Dinge nicht überzubewerten.
    Wichtig ist auch, zu verstehen was wir hier machen und wollen.
    Sich auf die Diskussion wegen Kommunisten oder Nazis einzulassen ist nicht zielführend.
    Die Demokratie möge über Kommunismus bzw. Nationalsozialismus entscheiden.
    Da kann und sollte man nichts gegen machen, außer Aufklären.
    Die Meinungs – und Pressefreiheit sowie das Postgeheimnis sollte immer im Mittelpunkt des Freifunks stehen.

  9. Hallo woher wisst ihr eigentlich so genau, das

    dieser Dump dann an eine weitere Maschine weitergegeben. Auf dem Zielrechner wurden diese Daten mithilfe von Tools ausgewertet und verarbeitet.

    Und warum wurde

    Eine technische Dokumentation dieses kriminellen Angriffs werden wir nachreichen.

    Noch nicht getan?

    • Hi, wir dürfen leider aus Ermittlungsgründen noch nichts groß sagen. Aber wir haben Tools und Scripte gefunden. Weiteres gerne im persönlichen Gespräch. Grüße jom

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.