Sicherheitsproblem im GURU3

Tl;dr: Jemand frem­des könn­te zufäl­lig dei­ne Daten bekom­men haben, wenn du heu­te zwi­schen 18:34 und 19:49 Uhr im GURU ein­ge­loggt warst und du einen Time­out bekom­men hast.

Heu­te, am 19.12.2020 haben wir eine neue Ver­si­on des GURU3 deploy­ed, bei der es zu einem Sicher­heits­pro­blem kam, wenn zwei Nutzer*innen zum sel­ben Zeit­punkt eine belie­bi­ge Sei­te im GURU auf­ge­ru­fen haben. Es ist repro­du­zier­bar zu der Situa­ti­on gekom­men, dass eine Nutzer*in eine Sei­te anfor­der­te und einen Time­out bekam, wäh­rend die Sei­te an eine ande­re Nutzer*in aus­ge­lie­fert wur­de. Es konn­te somit z. B. eine frem­de Nutzer*in die Über­sicht der Exten­si­ons einer ande­ren Nutzer*in sehen und somit auch an die SIP Zugangs­da­ten und / oder die DECT-Tokens gelan­gen. Wer heu­te zwi­schen 18:34 und 19:49 Uhr im GURU ein­ge­loggt war und einen Time­out bekom­men hat muss unbe­dingt sei­ne SIP Kenn­wör­ter von akti­ven Events (aktu­ell rC3 und EPVPN) ändern, um sicher­zu­ge­hen, dass die­se nicht miss­braucht wer­den. Dies ist mit dem “Rege­ne­ra­te Pass­word” Knopf beim Schlüs­sel­sym­bol in der Exten­si­ons-Über­sicht zu bewerk­stel­li­gen. Bereits genutz­te DECT-Tokens sind “inva­lid”. Wer ein neu­es nicht benutz­tes DECT-Token möch­te, mel­det sich bei poc at eventphone.de oder mel­det sein DECT Gerät an, dadurch wird der Token unbrauch­bar. Eine DECT Exten­si­on in SIP ändern und dann wie­der zurück in DECT, löst das Pro­blem auch, da ein neu­es Token gene­riert wird.

Analyse

Die Ursa­che lag in einem Update der Djan­go Chan­nels Kom­po­nen­te von klei­ner 3 auf Ver­si­on 3.0.2. In den Release Notes wird erwähnt, dass die bis­he­ri­ge Kon­fi­gu­ra­ti­on nicht mehr unter­stützt wird und es soll­te auch eine War­nung aus­ge­ge­ben wer­den, was in unse­rem Set­up jedoch nicht passierte.

./manage.py runserver
Performing system checks...

Libdtmx not found. Barcodes not available!
System check identified no issues (0 silenced).
December 19, 2020 - 17:44:34
Django version 3.0.11, using settings 'guru3.settings'
Starting ASGI/Channels version 3.0.2 development server at http://127.0.0.1:8000/
Quit the server with CONTROL-C.
Performing system checks...

Im Daph­ne Git­Hub Repo­si­to­ry gibt es auch ein geschlos­se­nes Issue das den Feh­ler und eine Lösung beschreibt.

Zeitlicher Ablauf

2020-12-19 18:34 Deploy­ment der pro­ble­ma­ti­schen Konfiguration
2020-12-19 19:28 PoC Mit­glie­der bemer­ken das Problem
2020-12-19 19:44 Ver­mu­tung, dass die Repon­se an ande­re User aus­ge­lie­fert wird
2020-12-19 19:49 Abschal­tung des GURU3
2020-12-19 20:45 Reak­ti­vie­rung des GURU3

Was haben wir gelernt?

  1. Bei allen Updates immer die Release Notes genau durchlesen.
  2. Nicht unter Zeit­druck auf das Live­sys­tem deployen.
  3. Immer Vier-Augen-Prin­zip.
  4. Im Test­sys­tem aus­gie­big tes­ten und dann erst auf Live deployen.

Bei Fra­gen wen­det euch an uns via poc at eventphone.de.

Wir ent­schul­di­gen uns für die Pan­ne und arbei­ten dar­an, unse­re Abhän­gig­kei­ten von Kom­po­nen­ten zu ver­rin­gern, bei denen wir kei­ne Kon­trol­le über die Qua­li­tät haben, um das Risi­ko sol­cher Vor­fäl­le zu minimieren.

Euer PoC / Event­pho­ne Team

Wartungsfenster / Maintenance window

Maintenance Window

Eventphone Wartungsfenster. Mittwoch, 16.12.2020 20:00 – 24:00 Uhr (MEZ)

Am 16.12.2020 wer­den wir ein Rede­ploy der Event­pho­ne Infra­struk­tur vor­neh­men. Dabei kommt es zu tem­po­rä­ren Aus­fäl­len unse­rer Tele­fo­nie-Diens­te. Das Gene­ric User Regis­tra­ti­on Uti­li­ty (GURU) ist von den Arbei­ten nicht betrof­fen. Haupt­ziel, neben zahl­rei­chen Aktua­li­sie­run­gen ist es die Event­pho­ne Decen­tra­li­zed DECT Infra­st­ruc­tu­re (EPDDI) vom Test in den Live­be­trieb zu über­füh­ren. Der Plan ist, bis spä­tes­tens 24:00 Uhr wie­der alle Ser­vices in gewohn­ter Qua­li­tät bereit­stel­len zu können.

Eventphone Maintenance Window. Wednesday 16 December 2020 19:00 – 23:00 (UTC)

On 16 Decem­ber 2020, we will rede­ploy the Event­pho­ne infra­st­ruc­tu­re. This will result in tem­pora­ry outa­ges of our tele­pho­ny ser­vices. The Gene­ric User Regis­tra­ti­on Uti­li­ty (GURU) will not be affec­ted. Bes­i­des several updates, the main goal is to migra­te the Event­pho­ne Decen­tra­li­sed DECT Infra­st­ruc­tu­re (EPDDI) from test to live. It is plan­ned to be able to pro­vi­de all ser­vices in the usu­al qua­li­ty by 23:00 at latest.

rC3: Remote Chaos Experience

Einhorn & DECT Telefon im rC3 Netz

Die Jah­res­end­ver­an­stal­tung des Cha­os Com­pu­ter Club wird in die­sem Jahr im digi­ta­len Raum statt­fin­den. Das stellt uns als Pho­ne Ope­ra­ti­on Cen­ter vor neue Her­aus­for­de­run­gen. Wer uns kennt weiß, dass bei uns ein “Her­aus­for­de­rung ange­nom­men” zum guten Ton gehört.

Die sozia­len Medi­en las­sen erah­nen, dass wir an einer Lösung arbei­ten, um ein sehr gro­ßes dezen­tra­les SIP & DECT Tele­fon­netz zu ermög­li­chen. Unse­re Vision:

Ein Netz wie auf dem Kon­gress – über­all wo Du es willst.

Unser Plan ist, die SIP Infra­struk­tur ab 15.11.2020 (0 Uhr) im Live-Betrieb zu haben. Danach wer­den wir Stück für Stück DECT Zel­len via VPN anbin­den und in Betrieb nehmen.

Die Regis­trie­rung von Neben­stel­len für das rC3 ist seit 6.11.2020 geöff­net und es kön­nen Neben­stel­len reser­viert werden.

Mitel RFP 43

Ihr wollt auch eine DECT Zelle betreiben?

Super, denn ohne euch geht es nicht. Wir wol­len Cha­os Stu­di­os, Hacker­spaces, Cha­os­treffs, Büros, Spaces, Kel­ler & Wohn­zim­mer mit DECT ver­sor­gen. Für Auskenner*innen: Ihr braucht dazu eine Mit­el Genera­ti­on 3 oder 4 IP DECT Anten­ne und einen Mikro­Tik Rou­ter (hex, hap oder RBx). Wir haben uns für Mikro­Tik Rou­ter ent­schie­den, weil die in unse­rem Umfeld ver­brei­tet sind, das Ein­stiegs­mo­dell für 20 € zu haben ist und wir eine Mög­lich­keit gefun­den haben, sie rela­tiv unkom­pli­ziert pro­vi­sio­nie­ren zu kön­nen. Genaue­re Infor­ma­tio­nen wird es in unse­rem Wiki unter EPDDI geben. Bit­te schreibt uns kei­ne E‑Mails oder Anfra­gen auf sons­ti­gen Kanä­len nach Details, wir schaf­fen es gera­de nicht sol­che Anfra­gen zu beant­wor­ten. Wer Infor­ma­ti­on braucht, wird viel­leicht unter Vor­trä­ge & Vide­os fün­dig. Wer Lan­ge­wei­le hat unter Musik.

MikroTik hex (RB750GR3)

Cha­os Stu­di­os, Hacker­spaces & Cha­os­treffs (aus­schließ­lich) kön­nen wir eine klei­ne Anzahl an Anten­nen zur Ver­fü­gung stel­len. Aller­dings brau­chen wir zuver­läs­si­ge Ansprechpartner*innen die sich um den Ver­sand küm­mern und sicher­stel­len, dass wir die Anten­nen auch nach dem Event sicher zurück­be­kom­men. Wenn das der Fall ist, mel­det euch unter poc ‘at’ eventphone.de.

Wir freu­en uns auf das span­nen­de Expe­ri­ment und hof­fen euch in den nächs­ten Wochen irgend­wo im Cyber­space zu treffen. 😉

DiVOC: Sicherheitsproblem / unberechtigter Login

Tl;dr: Im Rah­men des DiVOC-Events hat­ten wir einen unbe­rech­tig­ten Log­in auf einer unse­rer vir­tu­el­ler Maschi­nen. Wir gehen davon aus, dass es ein Bot war und kei­ne Nut­zer­da­ten in frem­de Hän­de gelangt sind. Wir haben so gehan­delt, wie wir es uns von ande­ren in so einer Situa­ti­on wün­schen wür­den. Wir haben den Vor­fall sehr genau ana­ly­siert und alle per E‑Mail infor­miert, für die es ein Risi­ko gege­ben haben könn­te. Wir sind zu dem Schluss gekom­men, dass nur SIP-User­da­ten des DiVOC-Events betrof­fen sein kön­nen. Wir haben ent­spre­chen­de Maß­nah­men ergrif­fen und ein neu­es Fea­ture im GURU3 imple­men­tiert, mit dem ein neu­es ran­do­mi­sier­tes SIP-Pass­wort gene­riert wer­den kann. (Exten­si­ons -> Schlüs­sel -> Rege­ne­ra­te Pass­word) Con­ti­nue rea­ding “DiVOC: Sicher­heits­pro­blem / unbe­rech­tig­ter Login”

Wer nutzt eigentlich Eventphone?

Vie­le Event­pho­ne Nut­ze­rin­nen & Nut­zer haben uns Vide­os gesen­det. Sie erzäh­len, war­um sie Event­pho­ne-Diens­te, EPVPN oder DECT nut­zen. Wir haben sie gesam­melt und vertwit­tert. Für alle die Twit­ter nicht nut­zen oder die Tweets ver­passt haben, hier haben wir alle gesam­melt. Alter­na­tiv ser­vie­ren wir auch eine You­Tube Play­list.

Con­ti­nue rea­ding “Wer nutzt eigent­lich Eventphone?”

Achtung! Wir speichern auf dem Easterhegg 2019 die Metadaten der Telefonie-Endgeräte.

Easterhegg 2019

Tl;dr: Auf dem Eas­ter­hegg 2019 wer­den wir Meta­da­ten sam­meln um in Zukunft poten­ti­ell mehr DECT End­ge­rä­te unter­stüt­zen zu kön­nen. Alle gesam­mel­ten Daten wer­den nach 4 Mona­ten voll­stän­dig gelöscht. Spra­che wird nicht aufgezeichnet.

Eng­lish version.

Warum?

Im letz­ten Jahr haben wir die die Hard- und Soft­ware des Pho­ne Ope­ra­ti­on Cen­ter (PoC) fast voll­stän­dig ersetzt und somit die Benut­zung erleich­tert. Zusätz­lich hat uns dies die Mög­lich­keit eröff­net Funk­tio­nen zur Ver­fü­gung zu stel­len, die mit dem alten Set­up unmög­lich waren. Dazu gehö­ren die Selbst­re­gis­trie­rung von Tele­fo­nen, bes­se­re Erwei­ter­bar­keit, die Selbst­ver­wal­tung von Neben­stel­len und Ruf­num­mern­grup­pen oder das LDAP Tele­fon­buch. Nun wol­len wir ein wei­te­res gro­ßes Pro­blem aus Benut­ze­rIn­nen­sicht lösen: Die Kom­pa­ti­bi­li­tät von DECT End­ge­rä­ten. DECT-GAP ist ein Stan­dard, der einen rela­tiv gro­ßen Gestal­tungs­spiel­raum zulässt. Das führt dazu, dass es eine beacht­li­che Anzahl an Gerä­ten gibt, die zwar DECT-GAP-Kon­for­mi­tät in ihren tech­ni­schen Daten ange­ben, aber trotz­dem nicht oder nur mit Ein­schrän­kun­gen an unse­rem Sys­tem funk­tio­nie­ren. Bis­her war kein Her­stel­ler bereit, z.B. durch Firm­ware­an­pas­sun­gen dafür zu sor­gen, dass die Gerä­te an unse­rer Anla­ge funk­tio­nie­ren, auch wenn wir kon­kre­te Vor­schlä­ge zur Ände­rung gemacht haben und sich dadurch kei­ne Nach­tei­le hin­sicht­lich der Kom­pa­ti­bi­li­tät zu ihren Basis­sta­tio­nen ergeben.

Con­ti­nue rea­ding “Ach­tung! Wir spei­chern auf dem Eas­ter­hegg 2019 die Meta­da­ten der Telefonie-Endgeräte.”

Caution! On Easterhegg 2019 we’re going to collect metadata of all DECT devices.

Easterhegg 2019

Tl;dr: We’­re going to collect meta­da­ta on Eas­ter­hegg 2019 to impro­ve DECT device com­pa­ti­bi­li­ty. All collec­ted data will be dele­ted after a 4 mon­th peri­od. No Voice will be captured.

Deut­sche Version.

Why?

Last year, we almost com­ple­te­ly repla­ced the Pho­ne Ope­ra­ti­on Cen­ter (PoC) hard­ware and soft­ware, making it easier to use. This has given us the oppor­tu­ni­ty to pro­vi­de func­tio­n­a­li­ty that was impos­si­ble to imple­ment with our old set­up. This inclu­des self-regis­tra­ti­on of DECT pho­nes, bet­ter exten­da­bi­li­ty, self-admi­nis­tra­ti­on of exten­si­ons and call groups and the LDAP phonebook. Now we want to sol­ve ano­t­her major pro­blem from the user’s point of view. The com­pa­ti­bi­li­ty of DECT devices. DECT-GAP is a stan­dard which allows free inter­pre­ta­ti­on of some parts. As a result, the­re is a con­si­derable num­ber of devices that do indi­ca­te DECT-GAP con­for­mi­ty in their dats­he­ets, but still do not work at all or only with restric­tions on our sys­tem. Up to now, no manu­fac­tu­rer has been wil­ling to ensu­re that the devices work with our sys­tem, e.g. through firm­ware adap­t­ati­ons, even though we have made con­cre­te sug­ges­ti­ons for chan­ges that wouldn’t have cau­sed dis­ad­van­ta­ges with regard to com­pa­ti­bi­li­ty with their own base stations.

Con­ti­nue rea­ding “Cau­ti­on! On Eas­ter­hegg 2019 we’re going to collect meta­da­ta of all DECT devices.”