Follow

Eine EU-Initiative kann dazu führen, dass OpenWRT und andere, selbst gebaute Software auf Geräten mit Funkschnittstelle nicht mehr installierbar sein darf.

Bitte beteilige Dich an dieser Stellungnahme! Bisher sind erst eine Handvoll Kommentare eingegangen:

ec.europa.eu/info/law/better-r

Wenn Du Formulierungsprobleme hast oder keine Zeit dann kannst Du die Info trotzdem gern weitergeben! 👍

Bereits 7 Stellungnahmen aus Deutschland! Ihr seid großartig, danke! 😍
Wir haben noch bis zum 04.03.2018 Zeit, weitere Stellungnahmen einzureichen. Ich habe noch nicht alles gelesen, mir würden spontan noch diese Themen einfallen:
Sicherheit: viele CVEs gabs bereits in der kommerziellen Firmware auf Plasteroutern/IoT-Devices (Telekom-GAU)
Wirtschaft: Viele Firmen bauen ihre Prototypen mit bzw. auf herkömmlichen Geräten
Bildung: Schulen, Weiterbildung, Unis, Hackerspaces – wisst Ihr selber

@pwunder Soweit ich das verstehe, geht es um die eigentliche Funkhardware, also nicht zwahngsläufig z.B. den gesamten Router. Ich habe deswegen folgendes geschrieben, aber noch nicht dort veröffentlich. Bin dankbar für Verbesserungsvorschläge oder Korrekturen:

"I would like to contribute by saying it is VERY important to, at this stage, emphasize the difference between a Reconfigurable Radio Systems (RRS), more commonly know as Software Defined Radio (SDR) which is *only* responsible for sending or receiving information modulated onto radio waves of a certain frequency and signal strength and, in contrast, a device which *contains* an RRS/SDR -- for example a cell phone or internet router with WiFi. This must not be seen as an entity.

Because, indeed it is somehow important to ensure that the radio transmission (done by the RRS/SDR) is happening at proper frequencies and signal strengths as it could otherwise interfere with critical infrastructure. To me it is still not feasible, but might be tolerated, to somehow restrict what software is run on it.

However it must not happen, that the software which is run on the whole device, e.g. a Router, is restricted! I disaggree with the claim this would lead to "Increased security and safety" or "Increased protection of personal data" -- the opposite is true!

Furthemore, this would definitely have environmental impact, since it can render radio enabled, personal devices as they are sold in huge quantities, useless *before* it would have been required to stop using them -- just by making them unusable due to having software with known security vulnerabilities. I have personally encountered this, because nowadays customers are not yet enough protected against obsolence by locked-down devices.

Personally, I classify this as an attempt by the industry to keep customers out of the devices they legally purchased and thereby own to make them by new ones as early as possible."

@kay @pwunder Ich kenne die EU Initiative micht genau, die technische Unterscheidung in deinem Entwurf auch nicht. Aber vielleicht könnte auch noch so etwas rein wie (sinngemäß) "Auf der einen Seite versucht die EU gegen Elektroschrott vorzugehen, auf der anderen Seite bewirkt so ein Gesetz, dass ältere Geräte weggeworfen werden müssen, weil die Hersteller keine Updates mehr für ihre Geräte bereit stellen - 1/2

@kay @pwunder Durch freie Software wie openWRT kann die Verwendungsdauer solcher Geräte verlängert und damit Elektroschrott verhindert werden." - 2/2

@mk
Gibt diesbezüglich eine EU-Direktive auf die man verweisen könnte? Ich erinnere mich dunkel an eine EU-Untersuchung zu geplanter Obdulezenz, aus der man zitieren könnte. Einschränkungen zum Flashen sind ja nichts anderes als staatlich verordneter Elektroschrott.
@kay

@mk @kay
Super, das passt, kann man im Feedback verwenden! Der Fokus ist zwar eher auf Recycling im Sinne von Zerlegen und Rohstoffe sparen, aber Wiederverwendung wird an erster Stelle genannt. Und es wird auf Richtlinie 2009/125/EG verwiesen, auf die kann man dann auch noch verweisen.
Gibts eigentlich Zahlen zur Wiederverwendung von gebrauchtem Funkequipment oder hilfsweise Download-Statistiken von Projekten wie OpenWRT für den europäischen Raum?

@pwunder @mk
Danke für euer Feedback.

Ich habe versucht, meinen Punkt mit der Unterscheidung im ersten Absatz klarer zu machen. Mir geht es drum, dass das WLAN-Feature oder ähnliches soweit ich weiß auch nur ein eingekaufter Chip ist wie er auch auf einem WLAN-USB-Stick sitzen könnte und ein bisschen Firmware und Treiber braucht, der Rest ist dann ein irgendwie geartetes Linux.

Habe noch noch einen Absatz für openWRT eingebaut und versucht, die Richtlinien halbwegs korrekt zu refernzieren.

Und ein bisschen was umformuliert, Schreibfehler korrigiert usw. Weitere Anregungen?

"I would like to contribute by saying it is VERY important to, at this stage, emphasize the difference between a Reconfigurable Radio Systems (RRS) or Software Defined Radio (SDR) and an entire device, which contains an RRS/SDR -- for example a cell phone or Internet router with WiFi. The RRS/SDR is *only* responsible for sending or receiving information modulated onto radio waves of a certain frequency and signal strength, whereas the device as a whole contains further components, such as storage, a CPU, peripheral ports and so on, which depend on other software and might handle unencrypted content. As of today, most Internet capable devices are bascially general purpose computers without display/keyboard/mouse.

Indeed it is somehow important to ensure that the radio transmission (done by the RRS/SDR) is happening at proper frequencies and signal strengths as it could otherwise interfere with critical infrastructure. To me it is still not feasible, but might be tolerated, to somehow restrict what software is run on it.

However it must not happen, that the software which is run on the whole device, e.g. a Router, is restricted! I disaggree with the claim this would lead to "Increased security and safety" or "Increased protection of personal data" -- the opposite is true!

... -1

@kay
Mir ist noch nicht klar, warum Du einen unfreien, nicht modifizierbaren Teil der Software tolerieren würdest.
Im GSM-Baseband und in WLAN- Dongles ist das immer wieder ein nicht patchbares Security-Problem.
@mk

@pwunder Ich würde argumentieren, dass wir heutztage zum Glück allermeistens schon echte Ende-zu-Ende Verschlüsselung haben und z.B. das WLAN-Modul deswegen hauptsächlich vermittelnd tätig ist. Und dass ein für WLAN zugelassenes Modul bitte nur auf 2.4GHz und mit eingeschränkter Leistung senden darf, kann man ja vertreten. Ist ja keine ganz unpopuläre Idee, einfach die Sendeleistung vom eigenen WLAN hochzuschrauben, auch wenn es den anderen das Spektrum kaputt macht. Außerdem möchte ich einen gemäßigten Eindruck machen. Deswegen die Aussage, dass es zwar nicht schön, aber aus meiner Sicht möglicherweise tolierbar sei. Andererseits ist DMA bei PCIe oder ähnlichem schon ein Problem, aber ja...

@kay Es besteht eine gewisse Wahrscheinlichkeit, dass Deine Toleranz anders gewertet wird als Du das wünscht ("unter Vorraussetzung [a] Befürworter"), daher ist klare Ansage vermutlich zielführender.

WLAN ist nur ein Teil der Regulationsbestrebung, denk auch an Medizingeräte, IoT... Google bitte mal "baseband security", dann verstehst Du meine Vorbehalte vermutlich besser.

@pwunder @mk
...

Furthemore, this would definitely have environmental impact, since it can render radio enabled, personal devices as they are sold in huge quantities, useless *before* it would have been required to stop using them -- just by making them unusable due to having software with known security vulnerabilities. I have personally encountered this, because nowadays customers are not yet enough protected against obsolence by locked-down devices.

Especially, since there seemingly has not been any effective regulation so far which would force the producers of connected devices to supply the customers with necessary updates at all. The only helpful efforts so far are community driven, such as openWRT.

The consequence would be more electrical waste, which would be against EU directive No. 32012L0019 of 2012 and directive 2009/125/EG, which clearly state, electrical waste sould be avoided by extending the lifetime of the products already or in future use.

The claim in the proposal "no environmental impact is expected" thereby cannot be supported.

Furthermore it is discriminating aginst people that cannot afford buying new devices too often.

Personally, I classify this as an attempt by the industry to keep customers out of the devices they legally purchased and thereby own to make them buy new ones as early as possible without making a balanced consideration of the impacts."

-2

@kay Deinen Text finde ich gut! Evtl. ist nur das "this" am Ende des ersten Absatzes missverständlich.

@kay Zum Thema SDR ist das auf der Website verlinkte PDF eindeutig:

Whilst initially conceived for military and defence applications, with the increased performance of the off-the-shelf electronics a variety of the equipment placed on the market can be reconfigured by means of software. Other than software defined radios, also more conventional radio equipment as mobile phones, routers, remote controllers, base stations, etc, can nowadays be reconfigured by software.

@kay With the increasing number of radio equipment placed on the market and with the incoming advent of the Internet of Things, it is a priority to strengthen the legal certainty of the Digital Single and Internal Market, ... it is important to reinforce the trust of consumers and service providers towards new technological developments."

Ich lese das so: Militär-Funkzeugs ist jetzt in den Händen von Hackern. Verbrauchen vertrauen denen nicht, Umsatz geht verloren, also Flashen unmöglich machen

@pwunder And here we go again grandpas and lawyers regulating away the essential freedoms that make research, device reuse and competition possible. Then they go cry about e-waste, security problems etc.

And then there is this: If I bought a piece of hardware I'm free to do with it whatever I please, as long as I don't endanger third parties. Try legislate that only car manufacturers are allowed to do work on cars... half Germany would get their pitchforks and torches ready.

@gilgwath Pitchforks and torches are not the way democracy should work. The EU commission specifically asks for feedback because the grandpas know that there might be reasons for non-regulation. We are the ones who must provide that feedback. Democracy is a lot of work for everyone to allow everyone in the EU to live in freedom and peace.

Instead of moaning about "them" doing dumbass regulations we should do our homework.

@pwunder Well, I agree that pitch forks and torches are contra productive ;-) What bugs me, is that what is considered a bad idea with cars, suddenly is considered a good idea with electronics. ;-)

I also set a reminder to give feedback on the proposal tonight ;-)

@gilgwath

That's great! I've set my own reminder for feedback.

@pwunder Betrifft das auch LineageOS? Evtl. kann Mike @kuketzblog unterstützen um die Info in die Fläche zu bringen.

@sim_77
Baseband ist unabhängig vom Mobile-OS. Die von mir verlinkte "News" ist von 2014.
Deswegen meine Frage an @resist__berlin , ob die bekannten Baseband-Sicherheitslücken gefixt sind.
Und ja, ich gehe doch sehr davon aus, dass @kuketzblog mehr darüber weiß. Aber einen Artikel darüber habe ich bei ihm leider nicht gefunden, das Thema ist vermutlich sehr schwer in der Tiefe und Breite zu recherchieren.

@pwunder @sim_77 @kuketzblog

Hier sind ein paar Links, die sich zu lesen lohnen:

replicant.us/freedom-privacy-s

redmine.replicant.us/projects/

redmine.replicant.us/projects/

kümmert sich wenigstens um solche Dinge und spricht sie an, auch wenn sie nicht (oder nur sehr schwer) zu lösen sind. Bin mal auf die nächste Version (basierend auf Android 9.0) gespannt. Außerdem ist momentan eine Portierung auf das Necunos NC_1 in Arbeit, das keinen Baseband-Chip hat.

@pwunder
Zombie? Das hatten wir doch erst vorletztes Jahr?

@kirschwipfel
War das nicht in den USA? In der EU ist das mWn das erste Mal.

@pwunder Habe mein Feedback nochmal angepasst und jetzt auch hochgeladen. Danke nochmal für die Hilfe und vor allem für das Tooten!

Sign in to participate in the conversation
chaos.social

chaos.social - because anarchy is much more fun with friends.
chaos.social is a small Mastodon instance for and by the Chaos community surrounding the Chaos Computer Club. We provide a small community space - Be excellent to each other, and have a look at what that means around here.
Follow @ordnung for low-traffic instance-related updates.
The primary instance languages are German and English.