Sicherheitsproblem im GURU3

Tl;dr: Jemand frem­des könn­te zufäl­lig dei­ne Daten bekom­men haben, wenn du heu­te zwi­schen 18:34 und 19:49 Uhr im GURU ein­ge­loggt warst und du einen Time­out bekom­men hast.

Heu­te, am 19.12.2020 haben wir eine neue Ver­si­on des GURU3 deploy­ed, bei der es zu einem Sicher­heits­pro­blem kam, wenn zwei Nutzer*innen zum sel­ben Zeit­punkt eine belie­bi­ge Sei­te im GURU auf­ge­ru­fen haben. Es ist repro­du­zier­bar zu der Situa­ti­on gekom­men, dass eine Nutzer*in eine Sei­te anfor­der­te und einen Time­out bekam, wäh­rend die Sei­te an eine ande­re Nutzer*in aus­ge­lie­fert wur­de. Es konn­te somit z. B. eine frem­de Nutzer*in die Über­sicht der Exten­si­ons einer ande­ren Nutzer*in sehen und somit auch an die SIP Zugangs­da­ten und / oder die DECT-Tokens gelan­gen. Wer heu­te zwi­schen 18:34 und 19:49 Uhr im GURU ein­ge­loggt war und einen Time­out bekom­men hat muss unbe­dingt sei­ne SIP Kenn­wör­ter von akti­ven Events (aktu­ell rC3 und EPVPN) ändern, um sicher­zu­ge­hen, dass die­se nicht miss­braucht wer­den. Dies ist mit dem “Rege­ne­ra­te Pass­word” Knopf beim Schlüs­sel­sym­bol in der Exten­si­ons-Über­sicht zu bewerk­stel­li­gen. Bereits genutz­te DECT-Tokens sind “inva­lid”. Wer ein neu­es nicht benutz­tes DECT-Token möch­te, mel­det sich bei poc at eventphone.de oder mel­det sein DECT Gerät an, dadurch wird der Token unbrauch­bar. Eine DECT Exten­si­on in SIP ändern und dann wie­der zurück in DECT, löst das Pro­blem auch, da ein neu­es Token gene­riert wird.

Analyse

Die Ursa­che lag in einem Update der Djan­go Chan­nels Kom­po­nen­te von klei­ner 3 auf Ver­si­on 3.0.2. In den Release Notes wird erwähnt, dass die bis­he­ri­ge Kon­fi­gu­ra­ti­on nicht mehr unter­stützt wird und es soll­te auch eine War­nung aus­ge­ge­ben wer­den, was in unse­rem Set­up jedoch nicht passierte.

./manage.py runserver
Performing system checks...

Libdtmx not found. Barcodes not available!
System check identified no issues (0 silenced).
December 19, 2020 - 17:44:34
Django version 3.0.11, using settings 'guru3.settings'
Starting ASGI/Channels version 3.0.2 development server at http://127.0.0.1:8000/
Quit the server with CONTROL-C.
Performing system checks...

Im Daph­ne Git­Hub Repo­si­to­ry gibt es auch ein geschlos­se­nes Issue das den Feh­ler und eine Lösung beschreibt.

Zeitlicher Ablauf

2020-12-19 18:34 Deploy­ment der pro­ble­ma­ti­schen Konfiguration
2020-12-19 19:28 PoC Mit­glie­der bemer­ken das Problem
2020-12-19 19:44 Ver­mu­tung, dass die Repon­se an ande­re User aus­ge­lie­fert wird
2020-12-19 19:49 Abschal­tung des GURU3
2020-12-19 20:45 Reak­ti­vie­rung des GURU3

Was haben wir gelernt?

  1. Bei allen Updates immer die Release Notes genau durchlesen.
  2. Nicht unter Zeit­druck auf das Live­sys­tem deployen.
  3. Immer Vier-Augen-Prin­zip.
  4. Im Test­sys­tem aus­gie­big tes­ten und dann erst auf Live deployen.

Bei Fra­gen wen­det euch an uns via poc at eventphone.de.

Wir ent­schul­di­gen uns für die Pan­ne und arbei­ten dar­an, unse­re Abhän­gig­kei­ten von Kom­po­nen­ten zu ver­rin­gern, bei denen wir kei­ne Kon­trol­le über die Qua­li­tät haben, um das Risi­ko sol­cher Vor­fäl­le zu minimieren.

Euer PoC / Event­pho­ne Team

Wartungsfenster / Maintenance window

Maintenance Window

Eventphone Wartungsfenster. Mittwoch, 16.12.2020 20:00 – 24:00 Uhr (MEZ)

Am 16.12.2020 wer­den wir ein Rede­ploy der Event­pho­ne Infra­struk­tur vor­neh­men. Dabei kommt es zu tem­po­rä­ren Aus­fäl­len unse­rer Tele­fo­nie-Diens­te. Das Gene­ric User Regis­tra­ti­on Uti­li­ty (GURU) ist von den Arbei­ten nicht betrof­fen. Haupt­ziel, neben zahl­rei­chen Aktua­li­sie­run­gen ist es die Event­pho­ne Decen­tra­li­zed DECT Infra­st­ruc­tu­re (EPDDI) vom Test in den Live­be­trieb zu über­füh­ren. Der Plan ist, bis spä­tes­tens 24:00 Uhr wie­der alle Ser­vices in gewohn­ter Qua­li­tät bereit­stel­len zu können.

Eventphone Maintenance Window. Wednesday 16 December 2020 19:00 – 23:00 (UTC)

On 16 Decem­ber 2020, we will rede­ploy the Event­pho­ne infra­st­ruc­tu­re. This will result in tem­pora­ry outa­ges of our tele­pho­ny ser­vices. The Gene­ric User Regis­tra­ti­on Uti­li­ty (GURU) will not be affec­ted. Bes­i­des several updates, the main goal is to migra­te the Event­pho­ne Decen­tra­li­sed DECT Infra­st­ruc­tu­re (EPDDI) from test to live. It is plan­ned to be able to pro­vi­de all ser­vices in the usu­al qua­li­ty by 23:00 at latest.

rC3: Remote Chaos Experience

Einhorn & DECT Telefon im rC3 Netz

Die Jah­res­end­ver­an­stal­tung des Cha­os Com­pu­ter Club wird in die­sem Jahr im digi­ta­len Raum statt­fin­den. Das stellt uns als Pho­ne Ope­ra­ti­on Cen­ter vor neue Her­aus­for­de­run­gen. Wer uns kennt weiß, dass bei uns ein “Her­aus­for­de­rung ange­nom­men” zum guten Ton gehört.

Die sozia­len Medi­en las­sen erah­nen, dass wir an einer Lösung arbei­ten, um ein sehr gro­ßes dezen­tra­les SIP & DECT Tele­fon­netz zu ermög­li­chen. Unse­re Vision:

Ein Netz wie auf dem Kon­gress – über­all wo Du es willst.

Unser Plan ist, die SIP Infra­struk­tur ab 15.11.2020 (0 Uhr) im Live-Betrieb zu haben. Danach wer­den wir Stück für Stück DECT Zel­len via VPN anbin­den und in Betrieb nehmen.

Die Regis­trie­rung von Neben­stel­len für das rC3 ist seit 6.11.2020 geöff­net und es kön­nen Neben­stel­len reser­viert werden.

Mitel RFP 43

Ihr wollt auch eine DECT Zelle betreiben?

Super, denn ohne euch geht es nicht. Wir wol­len Cha­os Stu­di­os, Hacker­spaces, Cha­os­treffs, Büros, Spaces, Kel­ler & Wohn­zim­mer mit DECT ver­sor­gen. Für Auskenner*innen: Ihr braucht dazu eine Mit­el Genera­ti­on 3 oder 4 IP DECT Anten­ne und einen Mikro­Tik Rou­ter (hex, hap oder RBx). Wir haben uns für Mikro­Tik Rou­ter ent­schie­den, weil die in unse­rem Umfeld ver­brei­tet sind, das Ein­stiegs­mo­dell für 20 € zu haben ist und wir eine Mög­lich­keit gefun­den haben, sie rela­tiv unkom­pli­ziert pro­vi­sio­nie­ren zu kön­nen. Genaue­re Infor­ma­tio­nen wird es in unse­rem Wiki unter EPDDI geben. Bit­te schreibt uns kei­ne E‑Mails oder Anfra­gen auf sons­ti­gen Kanä­len nach Details, wir schaf­fen es gera­de nicht sol­che Anfra­gen zu beant­wor­ten. Wer Infor­ma­ti­on braucht, wird viel­leicht unter Vor­trä­ge & Vide­os fün­dig. Wer Lan­ge­wei­le hat unter Musik.

MikroTik hex (RB750GR3)

Cha­os Stu­di­os, Hacker­spaces & Cha­os­treffs (aus­schließ­lich) kön­nen wir eine klei­ne Anzahl an Anten­nen zur Ver­fü­gung stel­len. Aller­dings brau­chen wir zuver­läs­si­ge Ansprechpartner*innen die sich um den Ver­sand küm­mern und sicher­stel­len, dass wir die Anten­nen auch nach dem Event sicher zurück­be­kom­men. Wenn das der Fall ist, mel­det euch unter poc ‘at’ eventphone.de.

Wir freu­en uns auf das span­nen­de Expe­ri­ment und hof­fen euch in den nächs­ten Wochen irgend­wo im Cyber­space zu treffen. 😉