Heartbleed… Ein Rückblick

Einige Wochen liegen nun hinter Heartbleed, und wir finden etwas Zeit das Geschehene aus Bundes IT Sicht aufzuarbeiten.
Zur Erinnerung was Heartbleed war bzw. ist gibt es hier bei Heise eine nette Übersicht (http://www.heise.de/thema/Heartbleed).

Nachdem die Bedeutung der Heartbleed genannten Sicherheitslücke so langsam bewusst wurde, fing auch die Bundes IT sofort an die im Betrieb befindlichen Systeme zu überprüfen. Der vorhandene Upgrade-Stau erwies sich hier als Glücksfall, da die meisten Systeme noch mit Betriebssystemversionen arbeiteten, welche nicht von Heartbleed betroffen waren.

Einzig die seit Februar neu aufgesetzten Server mussten umgehend gepatched werden. Die meisten dieser Systeme waren zum Zeitpunkt von Heartbleed allerdings nicht im produktiven Betrieb.

Alles in allem verlief Heartbleed damit für die Bundes IT mehr als Glimpflich ab.

Arbeitsintensiv waren allerdings die Nacharbeiten. Allem voran die Überprüfung der SSL Zertifikate und der teilweise Austausch dieser. Hinzu kamen etliche Anfragen von besorgten Nutzern die auch abgearbeitet werden mussten.

Besondere Aufmerksamkeit erhielten unsere Verwaltungssysteme bei denen zuerst eine Gefahreneinschätzung notwendig wurde. Da der VPN Server für die Verwaltungspiraten und auch die Verwaltungsserver selbst nicht von Heartbleed betroffen waren, musste die IT einschätzen wie weit den Anwendersystemen hier noch zu trauen sei.

Nach einer Ausführlichen Warnung an die Verwaltungspiraten mit gleichzeitiger Überprüfung in wie Weit die VPN Clients welche im Einsatz sind betroffen waren, kam die IT zu dem Schluss dass auch hier die Gefahr nicht allzu hoch sein dürfte. Es wurde dennoch beschlossen sämtliche Zertifikate im Zuge einer Umstellung des VPN Servers auszutauschen.

Kurz um, auch wenn Heartbleed die System der PIRATEN kaum betroffen hatte, war viel zu tun um dies zu verifizieren.

Spendenaufruf: WLAN Hardware BPT

Die BundesIT möchte für den folgenden und zukünftige Parteitage WLAN Equipment kaufen. Bisher wurden für die Parteitage teure WLAN Anlagen gemietet, oder aus privaten Beständen verliehen. Dies ist sowohl logistisch als auch in Bezug auf Haftungsfragen ein Problem.

Das Ziel ist es, eine ausreichende Menge an geeigneten Geräten zu beschaffen, welche dauerhaft für Parteitage, unabhängig von Personen oder Verleihern, bereit stehen.

(mehr …)

Ausfall Spendenseite

Die Spendenseite (spenden.piratenpartei.de) ist aktuell nicht erreichbar.
Aufgrund von #Heartbleed musste der Webserver welcher für die Spendenseite
genutzt wird temporär vom Netz genommen werden.

Wie man dennoch spenden kann wird hier erklärt:
https://www.piratenpartei.de/mitmachen/spenden/

 

WIKI Update 7/8 April 2014

Aufgrund von dringend anstehenden Sicherheitsupdates der Wikisoftware wird das Wiki voraussichtlich am 7./8.4.2014 nur eingeschränkt zur Verfügung stehen. Insbesondere ist mit einem zeitweiligen Schreibschutz zu rechnen.

Bitte beachtet auch das einige Funktionen wegfallen werden.

Weitere Informationen finden sich natürlich im Wiki 😉
https://wiki.piratenpartei.de/Piratenwiki:Wikiupdate-2014-04

 

SINA Box – Einen Tag später…..

….möchten wir all diejenigen die sich mit besorgten Mails an uns gewendet haben doch bitte einmal  auf das gestrige Datum zu schauen.

Nein, wir haben selbstverständlich keine SINA Box in Betrieb genommen. Würden wir zu so etwas verpflichtet  werden, würden wir euch natürlich im Informieren und auch dagegen aktiv werden.

Aber vielen Dank das wir dann doch eine solche credibility besitzen an einem 1. April.

Inbetriebnahme SINA Box

Die Bundes IT hat heute Nacht aufgrund gesetzlicher Anforderungen den Betrieb einer sogenannten SINA [1] Box aufgenommen.

Wir kommen damit unseren Verpflichtungen als
Telekommunikationsanbieter nach [2].

Dieser Schritt wurde leider notwendig, da wir mittlerweile die kritische Masse an Nutzern auf unseren Systemen überschritten haben.

Wir weisen daher darauf hin das sämtlicher Datenverkehr nun auch von den Ermittlungsbehörden auf richterlichen Beschluß hin ausgeleitet, gespeichert und untersucht werden kann. Die Übertragung der Daten erfolgt kryptologisch sicher.
Ein Abgreifen der Daten durch Dritte ist nicht möglich. [3]

Aber es gibt auch erfreulches an dieser Tatsache. Die beteiligten Behörden haben uns zugesichert in Zukunft tatkräftig bei den Ermittlungen gegen DDOS Angriffe die unsere Systeme betreffen mitzuhelfen. Auch bei Untersuchungen zu Fehlverhalten auf den Kommunikationskanälen der Partei können wir, unabhängig von einer Anzeige, auf das Fachwissen der Ermittler zurück greifen. So wird es in Zukunft z.B. einfacher möglich sein Trolle zu identifzieren und evt. Ordnungsmaßnahmen gegen diese einzuleiten.

[1] Wikipedia
[2] Heise
[3] BSI

Wartungsarbeiten beendet – Überblick

Die Wartungsarbeiten der letzten Tage wurden erfolgreich beendet. Seit Freitag haben wir

  • 4 Hostsysteme mit XenServer neu installiert.
  • über 30 VM’s von Proxmox/KVM auf Xen migriert.
  • div. Netze auf den Switch-Stacks verteilt.
  • einen DNS Server auf ein aktuellers OS gebracht.
  • Firewall-Regeln optimiert.
  • Greylisting Probleme auf dem Piraten Mailcluster behoben.
  • als Reverse-Proxy Squid komplett durch Apache TrafficServer ersetzt.

Außerdem sind in den Tagen davor bereits andere Migrationen erfolgt, wie die Neuinstallation der Jabber-Servers nach einem Totalausfall und Datenverlusten auf der alten KVM Plattform.

Wir gehen davon aus, dass wir durch diese Maßnahmen die Stabilität aller Auftritte und Dienste stark erhöhen konnten.

 

Schlaf wird überbewertet – IT Wartung bis Dienstag

Die Mitarbeiter der Bundes IT, vornehmlich die Core Admins, sind Wesen der Nacht. Und weil es für den Admin nichts wichtigeres gibt als seine Server, haben sich die Core Admins vorgenommen die Nächte von heute an bis zum Dienstag dafür zu sorgen das unsere sich lange hinziehenden Migrationsarbeiten der vergangenen Monate beschleunigt werden.

Dies bedeutet das die Systeme der Bundes IT von heute Nacht bis zum Dienstag teilweise nicht erreichbar sein können.
Betroffen davon sind alle Systeme in der Betreuung der Bundes IT.

UPDATE – Infrastrukturstörung: APP05 bootet nicht.

Aktuell ist unser Applikationserver 5 (APP05) gestört. Nach einem reboot fährt die Maschine
nicht mehr hoch.

Die IT Arbeitet daran. Betroffen unter anderem das Wiki, das momentan nicht erreichbar ist.

UPDATE 9:00 Uhr: Wiki ist wieder online.

PROJEKT: pirateninfo.de – Technische Infos & Aufruf zur Mitarbeit – Transparenz