AG Technik/Treffen/2011-03-29
AG Technik | Dashboard | Regeln | Geschäftsordnung | Treffen & Protokolle | Logbuch | Todolist | Verfahrensverzeichnis | Tools & Links | Beschlüsse
Zeit und Ort
- Sondersitzung der AG-Technik: Dienstag, 29.03.2011 um 22:00 Uhr
- Mumble-Server: mumble.piratenbrandenburg.de
- Pad: http://brb-ag-technik.piratenpad.de/Treffen-2011-03-29
Teilnehmer
Tagesordnung
TOP 1: Stellungnahme zum Blog-Post und Stand der IT
Zur Veröffentlichung auf der Hauptmailingliste Brandenburg
Die AG Technik und die Befragten seitens des Landesvorstandes stellen fest, dass sie vom Betreiber des 8bittorent Blog vorab in keiner Weise informiert, sondern über Dritte über die Veröffentlichung in Kenntnis gesetzt wurden (Nachricht um 0:47 Uhr, 29.03.2011 - Bearbeitung / Analyse nach Schlaf ab 7:00 Uhr)
Gemäß Datum der hochgeladenen Screenshots hatte der Betreiber von gestern Nacht Zugriff auf die Mail-Administration vom Hoster des Shared-Host-Paketes (maximal bis heute gegen 8:30 Uhr). Der dazugehörige Blogbeitrag, der dokumentiert wurde, stellt den Sachverhalt so dar, dass das Passwort zur Verwaltung seit Übergabe nicht geändert wurde.
Kenntnisträger der im August 2010 an den Landesvorstand in einer KeePass-Datei übergebenen Passwörter sind der LV-Vorsitzende und der Koordinator der AG Technik. Diese beinhaltete folgende Zugangsdaten gemäß Mail vom 16. August 2010:
- Shared-Host-Paket
- 1x Paket-Administratorzugang
- 1x FTP-Zugang
- 1x Mail-Administrationszugang
- Service-Admins
- Wordpress-Admin (LV Blog)
- Wordpress-MU (Sub-Blogs)
- Wiki-Adminzugang
Im Zuge der Begrenzung des nicht erlaubten Zugriffes wurden dem Vorstand und der AG Technik bekannte Kennwörter erneut geändert, wie es bereits z.B. für den Mail-Administrationszugang im August geschehen ist.
Der Anfangsverdacht, der nahezu auszuschließen ist, war, dass ein Fehler beim Ändern des Passwortes auftrat und für die Mail-Administration 2 Passwort-Hashes abgelegt waren. Dies hätte den Sachverhalt, der im Blog dargelegt wurde, erklären können, dass sowohl altes übergebenes Passwort und im August neu gesetztes Passwort den Zugriff gewährten. Eine Validierung sprich Ausschluss, ob das alte Kennwort nach Änderung noch funktionstüchtig war, wurde zum damaligen Zeitpunkt nicht durchgeführt. Bei der heutigen Änderung wurden die vorherigen Passwörter gegengeprüft und mit diesen ist kein Zugriff mehr möglich.
Zusammen mit dem Dienstleister des Shared-Host-Paketes wurde parallel tagsüber das Problem analysiert und kommuniziert, nachdem das genannte Zugangsproblem gelöst war. Dabei wurde Folgendes festgestellt (knappe Form):
- es existieren !2! Administratoraccounts zum zentralen Shared-Host-Paket, obwohl nur 1 Account übergeben wurde
- je Domain (piratenbrandenburg.de / piratensachsen.de) ein Account mit gleichen Rechten
- die dazugehörigen Daten sind in den Domaininformationen unterhalb der gebuchten Leistung (2 Links in der Tiefe) erst ersichtlich und der 2. Account wurde heute das erste Mal festgestellt und zur Kenntnis genommen - sprich war vorher völlig unbekannt
- beide Domain-Accounts hatten für den Postmaster das gleiche Kennwort und konnten Mails auf den Domains anlegen / administrieren
- Feststellung: trotz Änderung des Passwortes für Account 1 war ein Zugriff über Account 2 mit gleichen Passwort möglich
Die Fragen, die die Mitglieder der AG Technik nicht beantworten können sind:
- Wieso wurden nicht sämtliche Zugangsdaten übergeben?
- Wieso wurde bei der der Sachlage der Landesverband in Vertretung durch den Landesvorstand und / oder die ausführende AG Technik nicht vorab in Kenntnis gesetzt?
- Aus welchen Beweggründen wurden Screenshots von Verteiler-Listen mit auch privaten Mailadressen veröffentlicht?
- Wieso existierten, trotz mehrfacher Aufforderung, trotz DSV sowie Verschwiegenheitspflicht, trotz Verlust der Beauftragung durch z.B. ein Vorstandsamt bei der betreffenden Person Zugangsdaten - und wieso wendet er diese widerrechtlich an, anstatt diese unwiderruflich zu löschen?
Im Zuge dessen, da der Verdacht einer Straftat nahe lag und liegt, gab es seitens der AG Technik eine Anfrage bei der Abuse-Abteilung von Wordpress.com. Die darauf ersichtliche Reaktion seitens Wordpress.com ist nicht auf Wunsch bzw. Aufforderung der AG-Technik oder des Vorstandens erfolgt, sondern gänzlich allein die Reaktion von Wordpress.com (Schriftwechsel liegt als Nachweis vor). Es wurde angefragt, ob bezüglich des Blogbetreibers Informationen in Erfahrung gebracht werden können, da die getätigten Äußerungen / Veröffentlichungen in Deutschland einen strafrechtlichen Tatbestand erfüllen könnten. Die Herausgabe von Daten wurde, zu unserer Begrüßung, verweigert (nur auf Anforderung seitens z.B. einer Staatsanwaltschaft) und auf dem eigenen Antrieb heraus (so laut Schriftwechsel) wurde der Blog temporär gesperrt, bis der Betreiber sich bei ihnen meldet. Es wurde in keiner Weise diese Sperrung veranlasst, wie es auf der temporären Heimat des unvollständigen Beitrages (unter libertaer.eu) dargestellt wird. Wenn, dann ist dies die eigene Entscheidung von Wordpress.com.
Die AG Technik ist äußerst entsetzt über die Art und Weise der Veröffentlichung von internen Daten von einem ehemaligen Parteimitglied seit Gründerzeit (anzunehmen bzgl. der Interna auf dem genannten Blog seit 2006). Die zelebrierte Destruktivität in dem Blogartikel finden wir extrem unangemessen. Der beschrittene Weg der Veröffentlichung hat am heutigen Tag 3 1/2 Mann-Resourcen mit je ca. 4-6 Stunden Arbeitszeit (teils während der regulären Arbeit + Dienstleister) gebunden. Dies ist aus Spaß an der Freude von den Beteiligten der Schadensbegrenzung nicht tolerierbar.
Nach den bis jetzt vorliegenden Gesprächen wurden vermutlich am Samstag Mailkonten durch Weiterleitungen ergänzt. Wenn dies der Fall sein sollte, dann sind ab dem Zeitpunkt Mails in Kopie an andere Empfänger versendet worden. Nach derzeitigem Stand existieren keine weiteren Weiterleitungen. Weitere Untersuchungen stehen an.
Alle Mitglieder mit E-Mail-Adressen der Domain piratenbrandenburg.de werden gebeten, ihr Passwort sicherheitshalber zu ändern. Dies sollte letztendlich nicht nötig sein, sofern ein Abruf seit dem heutigen Tage mit dem gleichen Passwort noch möglich ist. Sofern ein Passwort geändert wurde, ist auch das Abholen nicht mehr möglich. Bei Problemen hierzu einfach sich vertrauensvoll an die Mitglieder der AG Technik wenden.
Wir bitten Störungen des Mailbetriebs umgehend an E-Mail: root-admins [at] piratenbrandenburg (punkt) de oder auf die Mailingliste der AG Technik zu melden.
Die AG Technik arbeitet 28 Stunden am Tag, um den geerbten Haufen Mist abzutragen und bringt jeden Tag neue Erkenntnisse zu Tage.... *Mistkarre such*
TOP 2: Massnahmen
- Termin für Abschaltung des alten root: geplant bis Sonntag
- Micha versucht die Tage die Datensicherung von piratenmol.de Blog anzustoßen und auf den Root umziehen, unabhängig von der Domain
- Anpassung Datenbank von Nöten (Admin-Account)
- Versuch weiterer Übernahme der MU-Blogs (wo sinnig)
- Alte Mailinglisten löschen
- wird gelöscht bis spätestens Donnerstag
- Mailaccounts ohne Funktion oder konkrete Aufgabe löschen
- Zusammenarbeit mit dem LSM
- Liste der Accounts wird durch LSM abgeglichen und respektive zu löschene Accounts angeschrieben mit 1 Woche Frist
- danach Löschung
- Passwortänderung bei den betroffenen Mitgliedern anregen
- Uk: Vorschlag engeren Turnus für Passwortänderung zB. administrativer Accounts
- findet Zustimmung
- Feststellung: die IT des LV Brandenburg hostet keinen Blog des SV Potsdam
- der MU-Blog von Potsdam ist seit mehreren Monaten nicht mehr aktiv und wird von den Potsdamern selbst gehostet (http://piraten-potsdam.de)
- http://blogs.piratenbrandenburg.de/potsdam/ wird gelöscht, da eh seit Monaten nicht gepflegt
Nächste Sitzung/Schluss der Sitzung
- Die Sitzung wurde um 23.38 Uhr geschlossen