[Freifunk-Bonn] Bitte um Rückruf

[hede]

Am Tue, 27 Jan 2015 22:15:12 +0100 schrieb KK <freifunk at 2be.cc>:

> Vereinfacht:
> Abmahner => ISP => Inhaber Router =| Sohn (Urteil: Vater haftet nicht)
> 
> Abmahner => Freifunk-Gate-Betreiber (z.B. CC) =| Ende mangels weiterer Daten
> Der einzelne Node kann nur verklagt werden, wenn
> Abmahner => Freifunk-Gate-Betreiber (z.B. CC) => Nodeinhaber
> für die konkrete Handlung belegbar ist (die Daten sind aber nicht
> verfügbar, oder???) und
> Abmahner => Freifunk-Betreiber (z.B. CC) => Nodeinhaber => User
> irgendwer geht dann eh nicht, weil der anonym.
> 
> Provider-Privileg ist klar, ist nicht mehr der Knackpunkt.
> Aber Nodeinhaber ist wg. VPS-Tunnel auch fein raus. Bleibt also beim
> Betreiber des Gateways = z.B. CC hängen.

Nicht ganz korrekt, aber so in der Art.

Die Aussage eines rheinländer Freifunkers (technischer Betreuer dort) und
CCC-Mitglieds(AFAIK) dazu ist: Bewusst sammeln sie nichts, da die Sammlung 
eh nur für Abrechnungszwecke zulässig ist und sie nichts abzurechnen haben.

Aber im Fall der Fälle gibt es natürlich immernoch die Möglichkeit dass 
vielleicht (z.B. unbewusst) doch irgendwo etwas in irgendwelchen Logs 
steht, falls nur wer genau genug guckt oder einer der Admins sammelt 
für sich oder was auch immer, was bei einer eventuellen Durchsuchung 
von staatlicher Seite gefunden werden könnte. (Man weiß ja nie, auf 
was für Ideen und Urteile die Gerichte und sonstige staatliche Stellen
kommen können, dass so etwas vielleicht doch stattfinden könnte, selbst 
wenn es aktuell nicht danach aussieht.)

Eine rechtlich sichere Zusage gibt es somit schlicht nicht. 

Auch können Bugs o.ä. in der Firmware im Router sein, mit Hilfe dessen
ein BlackHat vielleicht den Router übernehmen kann und direkt ohne Tunnel
seinen Schabernack treibt. Dieses Risiko ist aber nicht höher als wenn
jemand kommerzielle WLAN-Anbieter nimmt, die Geld für das "freie" WLAN
nehmen. Für Cafee- oder Gaststättenbesitzer oder ähnliche Unternehmen,
die ihren Gästen freies WLAN anbieten wollen, ist das Risiko also 
mit diesen Anbietern vergleichbar. Wenn man es dort vernachlässigen
kann, kann man es wohl auch für Freifunk. Und weil so etwas nur verwirrt,
würde ich _dieses_ Thema erst gar nicht ansprechen, wenn nicht explizit
danach gefragt wird.

Ein Restrisiko bleibt _immer_. Auch der heimische WPA-geschützte 
Anschluss bietet ein Restrisiko. Insbesondere für die vielen 
vorkonfigurierten Router mit Standardpasswort ist manch Rainbowtable
im Umlauf... 

Festhalten kann man: Mit Freifunk ist man weit davon entfernt, seinen
Anschluss den Gästen direkt zu öffnen. Es werden technische Maßnahmen
genutzt, den Nodebetreiber bei Missbrauch zu schützen. 
100%ige Sicherheit gibt es aber nicht.

> Was ich nicht weis, ist, wie das bei IPv6 aussieht.
> Bei IPv6 könnte Identifikation durchgängig sein, ebenso bei
> ungeschütztem Browser (möglicher Weise nicht für jeden Abmahnanwalt
> verfügbar, aber für Google, Facebook, & Co. erhebbar und verknüpfbar).
> (Ich hab sowieso IPv6 überall disabled, aber das ist wohl nicht überall
> in FF so)

Mic wird mich schlagen, wenn ausgerechnet ich dazu was sage (weil ich 
keine Ahnung davon hab), das im Vorfeld als Disclaimer. Aber ich machs 
dennoch mal, weil ich meine freche Klappe einfach nicht halten kann:

Du erhältst im Freifunknetz ein nicht dir zuordbares IPv6-Prefix. 
Daraus macht dein PC eine vollständige IPv6-Adresse.
Nur diese ist von außen zu sehen, aber dir halt so direkt erst einmal
nicht zuordbar. Hier gilt das gleiche wie für IPv4: Man weiß nur, 
welchen Provider du benutzt.

Ohne Security Extensions besteht noch die Möglichkeit, dass weitere 
Daten existieren, mit Hilfe dessen man deine Identität feststellen kann.
In dem Fall wählt dein PC ein immer festes IPv6-Suffix, um die 
IPv6-Adresse zu generieren. Das könnte jemand mitgeloggt haben,
als du dich sonst wo anders mal eingewählt hast, z.B. bei deinem 
normalen ISP und von dem bekommt man dann vielleicht deine Identität.

(Ohne SE wird u.a. die hart einkodierte Mac-Adresse deines Netzwerkadapters 
wie Ethernet- oder WLAN-Karte dafür genutzt, das Suffix zu bilden). 

So sind also zwar auch weitere Daten notwendig, aber du bist generell 
in gewisser Weise identifizierbar. (Wenn auch vielleicht abstreitbar, 
es könnte ja wer anderes "dein" Suffix bewusst genutzt haben.)

Mit Security Extensions gibt es diese Möglichkeit nicht, da dein PC 
das Suffix bei jeder Einwahl neu auswürfelt. 

Ob du nun mit oder ohne Security Extensions unterwegs bist, ist deine
Sache, denn das hast du mit deinem Betriebssystem in der Hand.

Eine via Freifunk erhaltene (dynamisch generierte) IPv6 ist somit erst
einmal nicht "unsicherer" als eine IPv4-Adresse.

Ein Unterschied besteht dennoch: Der ccc hat nicht so viele öffentliche 
IPv4-Adressen. Daher wird dort NAT verwendet. Das bedeutet, du bist 
so direkt vom Internet aus nicht erreichbar. Das bedeutet, wenn dein
PC auf diversen Ports offen wie ein Scheunentor ist, dann ist das nur
von innerhalb des Freifunk-Netzes ausnutzbar. Via IPv6 ist dein PC
dagegen vom ganzen Internet aus erreichbar. (direkt!)

Das hat seine Vor- und Nachteile.

Ein Paketfilter (aka Personal Firewall) auf dem PC, der auch dem Laien 
die unbekannten offenen Ports sperrt, hebt die Nachteile größtenteils 
auf: Die Ports sind dann vom Netz aus zu. 
(Man kann alternativ alle unnötigen Dienste einfach schließen.)

Die Vorteile bleiben: Du kannst Internetdienste direkt auf deinem
PC hosten. 

Bei IPv6 hängt also Funktionalität und Anonymität von deinem eigenen
Handeln ab. (Was gut ist, denn so hast du die Wahl; vieles der 
beiden Punkt schließt sich nämlich gegenseitig aus)

Ohne Security Extensions und wenn sich der PC aus den zur Verfügung 
stehenden Prefixen via router discovery immer möglichst das zuletzt
verwendete (sofern verfügbar) aussucht, können quasi-feste IPs 
genutzt werden.

Mit Security Extensions und beim router discovery bevorzugter Wahl 
anderer Prefixe ist man nicht weniger anonym unterwegs als bei IPv4.

Das gleiche gilt für andere IPv6. Bei der Telekom (als Beispiel)
erhält man ein dynamisches Prefix, das sich bei jeder Einwahl 
ebenso ändert wie die IPv4-Adresse. Mit SE sind beide 
gleichermaßen nicht direkt von außen zuordbar, aber halt vom 
Provider...

Grüße
hede