QuantenToast

🇩🇪 Wir updaten gleich auf Lemmy 0.18.5. Es kommt zu einem kurzen Neustart.

🇬🇧 We update to Lemmy 0.18.5 and will reboot for it right away

Wie in einem vergangenem Post bereits erläutert werden wir von (Fediverse) Instanzen deföderieren, welche problematische, unethische, oder schlichtweg illegale Inhalte verbreiten.

Dieser Post dient der Transparenz unseren Nutzern gegenüber, welche unserer Meinung nach das Recht haben zu erfahren, mit welchen Instanzen kommuniziert werden kann.

Die folgende Liste der von uns deföderierten Instanzen wird bei Änderungen aktualisiert.

Deföderation

Deföderation hat zur Folge, dass keine Inhalte mehr mit der deföderierten Instanz austauscht werden können. Dazu zählen Posts, Bilder und Direktnachrichten.

Glossar

• CSAM: Child sexual abuse material
• MAP: Minor Attracted Person
• Lolicon: Any adult who feels sexual attraction to specifically fictional depictions of characters who’s body proportions closely resemble that of a child regardless of the canonical assigned age.
• Shotacon: A pairing, seen mostly as yaoi in fanfiction/art, in which there is a young underaged male engaged in a sexual act.
• IC: Illegal Content

CSAM, Lolicon, Shotacon, MAPs o.ä.

• rqd2.net
• burggit.moe
• lemmy.comfysnug.space
• h5q.net
• posting.lolicon.rocks
• pawoo.net
• lolison.top
• lolison.network
• mstdn.jp
• youjo.love
• pedo.school
• baraag.net
• nnia.space
• aethy.com
• headpat.cafe
• fedibird.com
• peertube.se
• shotatube.xyz
• pengi-san.moe
• paravielfalt.zone

Hatespeech, Harassment, Bigotry, Racissm, o.ä.

• exploding-heads.com
• poster.place
• seal.cafe
• crlf.ninja
• mugicha.club
• shortstacksran.ch
• wolfgirl.bar
• clubcyberia.co
• cannibal.cafe
• librosphere.fr

Erstellt: 06.09.2023 / Letzter Edit: 05.10.2023

In letzter Zeit gab es immer wieder "Angriffe" auf (Lemmy) Instanzen, bei welchen CSAM in großen Mengen gepostet wurde. Technisch bedingt landen diese Inhalte, wie bspw. Bilder/Thumbnails, auch auf anderen Instanzen - also auf anderen Servern.

Bedeutet vereinfacht: Wird auf Instanz X in Community Y ein Bild gepostet und ist einer unserer Nutzer Abonennt der Community Y, wird das Bild auf unseren Server kopiert. Dieses Prinzip lässt sich nicht ohne weiteres ändern. Ein striktes deaktivieren von Bildern erachten wir, für eine Platform wie Lemmy, allerdings auch nicht als sinnvoll.

Als Folge dieser Angriffe ist die (Lemmy-) Admin Community voller Aufruhr und versucht die Thematik in den Griff zu bekommen.

Unter den Reaktionen einzelner Instanz-Admins waren:

• Komplettes deaktivieren von Bildern auf Lemmy
• Schließen von (Lemmy) Communities
• Abschalten ganzer (Lemmy) Instanzen
• Installieren permanenter CSAM Image Checker
• Föderieren nur nach Allow-List (mit von Hand erlaubten Instanzen)

Wie reagiert QuantenToast?

Wir sind in der (Lemmy) Admin Community aktiv, in welcher nicht nur technisches Wissen ausgetauscht, sondern auch Vorfälle dieser Art akut diskutiert werden. Dadurch können wir bei solchen Vorfällen sehr schnell handeln, sei es denn nötig.

Aktuell befinden wir uns immer noch in der Diskussionsphase, wie genau wir auf lange Sicht mit dem Problem umgehen werden. Für den Moment haben wir jedoch bereits Maßnahmen getroffen. Der CSAM Image Checker wurde genutzt um bestehende Inhalte zu überprüfen - glücklicherweise gab es dabei keine Funde. Desweiteren werden wir schneller von Instanzen deföderieren, welche problematische Inhalte vorweisen.

Deföderation der folgenden Instanzen

Mit sofortiger Wirkung deföderieren wir von den unten genannten Instanzen. Das hat zur Folge, dass keine Inhalte mehr zwischen den Instanzen ausgetauscht werden können, wozu auch Direktnachrichten zählen.

• rqd2.net
  • Der Site admin bezeichnet sich selbst als MAP
• exploding-heads.com
  • Extremistische Inhalte

Wir werden in Zukunft sicherlich von weiteren Instanzen deföderieren müssen. Eventuell werden wir eine "Liste deföderierter Instanzen inkl. Begründung" anlegen.

Problematische/Illegale Inhalten direkt melden

Wir bitten unsere Nutzer problematische Inhalte immer direkt zu melden, sodass Moderatoren und Admins schnell reagieren und Inhalte ggf. entfernen können. QuantenToast hat eine Null-Toleranz Politik was Abuse Material jeglicher Art betrifft!

🇩🇪 Wir updaten gleich auf Lemmy 0.18.4. Es kommt zu einem kurzen Neustart.

🇬🇧 We update to Lemmy 0.18.4 and will reboot for it right away

🧅 Ihr steht auf Zwiebeln?

Unsere Lemmy Instanz hat ab sofort einen Tor-Mirror! 🥳

Ob er genutzt wird und ob sich der Wartungsaufwand lohnt, werden wir sehen. Aber fürs erste: viel Spaß beim anonymen posten! 🕵️

http://postitlx2byjec2lq3haowhx6x6aa7cwoo4hdplg7vw3meuzxmsh5yyd.onion

Jüngste Ereignisse [1] haben wieder gezeigt wie ungeschützt Daten im Fediverse liegen. Unverschlüsselte Backups, Beschlagnahmte Server und so weiter...

Natürlich ist im Fediverse nichts verschlüsselt und generell alles öffentlich, doch es gibt immer noch Daten die es Wert sind geschützt zu werden. Alleine in der Datenbank einer Lemmy Instanz finden wir:

• E-Mail Adressen
• Passwort hashes
• Private Nachrichten
• Abonnierte Communities
• Liked/bookmarked Posts and Kommentare
• ...

Unser neues Deployment Konzept

Wir verwenden bekanntlich einen Public Cloud Anbieter für QuantenToast Services. Nun haben wir unsere Infrastruktur um eine (at rest) verschlüsselte VM auf privater Hardware erweitert. D.h. das Lemmy Deployment sieht nun wie folgt aus:

• Public Cloud VPS
  • Backend
  • Frontend
  • Pictrs (image storage)
• Private Cloud VM (encrypted at rest)
  • Datenbank

Durch diese Änderungen haben wir natürlich weitere Points of Failure erschaffen, weshalb wahrscheinlich keine gleichwertige Availability gewährleistet werden kann.

Dafür ist die Datenbank nun (at rest) verschlüsselt! Im gleichen Zug haben wir auch unsere Web-Server Logrotation angepasst, um noch kürzer IPs und andere Client-Informationen zu speichern. Ganz darauf verzichten können wir jedoch nicht, da wir verschiedene IPS und WAF verwenden.

Für unseren Piped/Youtube Dienst werden wir dieses Konzept eventuell ebenso implementieren.

Status Informationen über jeden Server und jeden Dienst findet ihr wie immer auf unserer Status Seite

[1] EFF (en) / Heise (de)

Nach einem kurzen Restart fürs Update ist die QuantenToast Instanz nun auf Version 0.18.3, welche vor ca. 1h veröffentlicht wurde. Details zum Update sind verlinkt.

Eine XSS Schwachstelle im Markdown-Parser von Lemmy-UI (#1895) erlaubt es Javascript Code in Custom Emojis zu injecten.

Die Vulnerability wurde auf anderen Instanzen, darunter auch lemmy.world, bereits ausgenutzt um u.a. JWTs von Usern und insbesondere Admins zu erbeuten. Ich stehe im Kontakt mit anderen Lemmy-Admins und Devs und werde Updates hier kommentieren.

Grob zusammengefasst funktioniert die Attacke wie folgt: Custom Emojis haben einen custom Renderer. Wird ein custom emoji verwendet, wird auch der von der XSS Schwachstelle betroffene custom Renderer aktiviert. Der normale Markdown Renderer ist nicht betroffen. Angreifer können somit die Schwachstelle in existierenden custom Emojis ausnutzen, ohne dass das Emoji selbst malicious ist.

Es ist nicht genau klar, wie weitreichend die Vulnerability ist. Empfohlene Mitigations wurden aber von unserer Seite bereits unternommen:

• Die Datenbank wurde auf malicious Posts, Comments, etc untersucht.
• Alle JWTs wurden zurück gesetzt, wodruch sich alle User neu anmelden müssen.
• Föderation bleibt bis auf weiteres aktiv, da nur local custom emojis und keine federated custom emojis betroffen sein sollen. Die QuantenToast Instanz hat aktuell keine custom Emojis, sollte somit auch nicht betroffen sein.

Ein Fix wurde bereits erstellt; aber noch nicht released. Zuständige Admins und Devs sind informiert und untersuchen den Sachverhalt.

Mehr Informationen:

• https://lemm.ee/post/942359
• https://github.com/LemmyNet/lemmy-ui/issues/1895
• https://github.com/LemmyNet/lemmy-ui/pull/1897
• https://lemmy.world/comment/1064402

Update 17:56 Uhr: Es gibt einen Release mit einem Fix. Wir haben das lemmy-ui Update für 0.18.2-rc.1 aufgespielt.

Update 20:36 Uhr: Update auf 0.18.2-rc.2