Quelle?
Paketverluste und hohe Pingausschläge ...
- Thread starter Polygon
- Start date
Polygon
Active Member
Ist das dein Ernst? Natürlich stellst du nur einen Teil deiner Server für Audits bereit. Wie hirnrissig wäre es, deine ganze Infrastruktur in fremde Hände zu geben? Denkst du mal ein bisschen nach? Auf den Audit-Servern lief exakt dieselbe Software wie auf allen anderen Servern. Nenne mir mal Quellen, die beweisen, dass es nicht so gewesen wäre.
Sehe da gerade nur Schwurbelei.
Honk
Member
Ein Kunde kann seinen Vertrag nicht kündigen und von Kündigung hat der Kunde auch garnicht gesprochen. Du laberst Scheiße, mein Lieber, daher Klappe halten, ok!
kafka
Active Member
Es ist möglich, durch Kulanz von Seiten PP aber auch rechtlich, wenn ein gebotener Service in der Form nicht geboten wird. Wobei ich "kündigen" weniger vom Wortsinne sondern im Sinne von "Dann geh doch!" meinte. Ansonsten, FY, so wie sonst auch.
Polygon
Active Member
Müssen so völlig grundlose Provokationen sein?
Verstehe nicht was das soll oder du davon hast ...
PP Christian
Staff member
Ich nicht. Ich sehe das auch kritisch. Entweder ist die gesamte Infrastruktur fein oder nur dieser eine Server.
Wir haben tatsächliche Beweise, dass bei uns nicht geloggt wird: Rotterdam. Der Umzug nach Deutschland und damit in die EU soll das noch einmal unterstreichen. Vorratsdatenspeicherung ist nicht mit unseren Grundwerten vereinbar.
Sollte sich das ändern, werden wir dazu aufgefordert, unsere Infrastruktur entsprechend umzubauen.
Das wird aber nicht von heute auf morgen gehen und die Administration wird erst einmal dagegen klagen, falls so etwas verlangt würde. Dies würden wir hier mit einem Lachen und einem Weinen im Gesicht verkünden. Denn wenn die Aussichten auf so einen totalitären Eingriff in unsere Privatsphäre Erfolg haben könnte, könnten wir immer noch unsere Dienste in der EU einstellen und den Firmensitz verlegen. Wir legen es darauf an für die Freiheit im Internet in Deutschland und in Europa zu kämpfen. Wenn die in Gefahr ist, erfahrt ihr das hier als die Ersten.
Der Umzug nach Deutschland ist quasi eine Vorwarnstufe was für uns und euch in Europa zu erwarten ist. Bis jetzt haben wir nur Anfragen erhalten ob das möglich wäre. Ist es derzeit aber nicht. ¯\_(ツ)_/¯
Stay tuned
Polygon
Active Member
Du Unterstützt also die Aussage von @hallowelt2 ?
'Mullvad. Wenn die sagen, das die aus den Audits lernen und ich lese, das die alle Mögliche (mögliche Schnüffel-) Software auf den speziell fürs Audid präparierten Server haben und nicht mal wissen, das diese Software nicht mal auf dem Server sein sollten, will ich nicht wissen, was auf den echten Servern los ist (von der Admin-Gruppe ganz zu schweigen).'
Dann möchte ich von dir auch eine Quelle haben @PP Christian !
Bis auf ein paar sicherheitslücken (mit dem Problem dürfte jede IT zu tun haben, auch ihr!), die Zeitnahe geschlossen wurden, wurde nichts gravierendes entdeckt.
Das audit bestätigte sogar die NoLog Politik, im gegensatz zu @hallowelt2 behauptung, so viel zum Thema schnüffellei. (Schwurbelei)
Extra manipulierte Server für den Audit Log. (Schwurbelei)
Verlangt indirekt das man praktisch die gesamte Infrasrtruktur in Fremde Hände geben sollte für's Audit Log. (Hrinrissig) ... Würdet ihr das tun @PP Christian ?
(Das wäre nämlich fahrlässig und absolut Kritisch)Und btw @PP Christian ein echter Audit log wäre der einzig wahre beweis! Wenn wir schon dabei sind.
Den habe ich bei euch noch nicht entdeckt. Was natürlich nicht bedeutet das ich euch nicht traue, sonst wäre ich nicht bei euch.
PP Christian
Staff member
Nein das würden wir nicht einmal mit einem einzigen Server machen. Die besten Geheimnisse unserer Infrastruktur werden wir natürlich niemals offenlegen. Das wäre ja in der Tat ziemlich dumm. Es ist eine Geheimformel, fast so wie in Bikini Bottom
Alles Andere wie TrackStop, RAM only, MultiHop etc. wurde von den anderen billig kopiert. Aber das Beste im Kern bleibt natürlich geheim.
PP Christian
Staff member
TunnelCrack: Eine Kombination von Sicherheitslücken in VPN-Sicherheit
Sicherheitslücke „Port Fail“ legt IP-Adresse offen
„Wrong Way“: Routing ‚Feature‘ demaskiert VPN-Nutzer
Mit den oben genannten auf jeden Fall nicht. Bei Port Fail waren wir aktiv daran beteiligt andere Anbieter zu warnen, um das Internet für alle sicherer zu machen (wir haben sie vorher angeschrieben bevor wir das veröffentlicht haben).
kafka
Active Member
Nur aus Interesse: Gab es da eine Resonanz? Ich meine, gefühlt 99% sind ja eh nur Joint-Venture Buden mit viel zusammen geschnorrtem Kapital, die juckt das doch nicht wirklich. Die Nutzerschaft bei denen ist da schon bei der Wahl des Anbieters etwas unbedarfter vorgegangen ^^.
Polygon
Active Member
Es gibt keine Software, die 100 % frei von Sicherheitslücken ist. Ein Audit würde mit hoher Wahrscheinlichkeit auch bei euch Schwachstellen finden; dafür sind Audits da.
Euer System ist vielleicht weniger anfällig, aber nicht absolut resistent!
Ein Unternehmen anzuprangern, weil es ein Audit veranlasst, um Sicherheitslücken zu finden und sie dann zu schließen, ist schlicht und ergreifend lost, erst recht wenn man versucht daraus noch ein strick zu drehen. Sich dann hier hinzustellen und zu suggerieren, 'wir haben keine Sicherheitslücken', obwohl man sich noch nie extern darauf prüfen lassen hat, ist ebenso lost. Und klingt auch nicht gerade authentisch!
PP Christian
Staff member
Ja, sie waren dankbar. Wir haben aber auch nicht die üblichen Verdächtigen angeschrieben, wie z.B. die die unter Kape Technologies vereint sind, sondern die, von denen wir glauben für die ähnliche Sache zu kämpfen. Namen werde ich aber nicht nennen.
Das mag stimmen. Aber immer wenn ich mit neuen Nachrichten an den Admin trete, grinst er mich nur an und hat an alles gedacht.
Finde Du doch mal eine Sicherheitslücke und sag mir bescheid.
Das kann natürlich passieren, ja - es ist aber bisher nicht vorgekommen.Ich prangere hier niemanden an. Ich bin eigentlich auch nicht hier, um über andere VPN Anbieter zu sprechen. Aber das lässt sich manchmal nicht vermeiden.
Polygon
Active Member
Das war auch auf den Kontext zu @hallowelt2 bezogen dessen Aussagen du ja verteidigt hast.
PP Christian
Staff member
Ich habe nur geschrieben dass ich die Auswertung von einem Server als nicht aussagekräftig empfinde und von solchen Audits generell nichts halte.
Und das wir das auch niemals machen - aus Gründen!
Aber um den Bogen wieder zu schließen: Paketverluste und hohe Pingausschläge sind leider unvermeidbar bei unserem Angebot - leider.
Wir versuchen aber dennoch das bestmögliche Erlebnis anbieten zu können - trotz aller Widrigkeiten.
hallowelt2
New Member
Eigentlich dachte ich, das wir miteinander Kämpfen und nicht gegeneinander. Und da ich auch jeden hier ernst nehme, werde ich mal ein paar Beispiele bringen. Verzeiht, das es nur aktuelle Beispiele sind bis auf 2, da ich auch noch andere Sachen erledigen muss.
www.computerbase.de
Da ich weiß, das du mit dieser Antwort nicht zufrieden bist:
www.computerbase.de
Die Liste der bekannten Probleme mit Windows 11 24H2 auf der hauseigenen Support-Seite wird immer länger. Das neueste Mitglied...
www.heise.de
Das Update eines Programms hat weltweit Windows-Computer zum Absturz gebracht...
www.computerbase.de
Bereits Anfang 2023 kursierten Berichte über Stabilitätsprobleme...
Also wird jetzt bei Intel besser getestet, das in Zukunft keine solchen Probleme mehr entstehen. Hahaha, verarscht!!!
www.computerbase.de
Fünf Probleme sollen Intel Core Ultra 200S zum Start gebremst haben...
www.computerbase.de
...Es ist inzwischen also davon auszugehen, dass sämtliche bisher in den Handel entlassene GeForce-Grafikkarten mit Blackwell-GPU potenziell betroffen sein können...
www.computerbase.de
...Testverlauf die Marke von 150 °C überschreitet, auf eine fehlende Lastverteilung der GeForce RTX 5090 FE sein...
Als alte Beispiele möchte ich zum einen äh Ultimate doom (oder war es Doom95?) nennen. Dort hat man vergessen, ein Item (Karte) in die map zu setzen das es nicht Möglich war, das spiel ohne Cheats durchzuführen.
Das andere alte Beispiel ist vom hochgeloben Grafikkartenherseller Nvidia. Ende der 90er hat die TNT2 so viel Strom geschluckt, das die Mainboards reihenweiße kaputt gegangen sind. Der Grafikkartenhersteller hat behauptet, seine Grafikkarte entspricht der Norm, die Mainboardhersteller hätten die Boards zu schwach gebaut. Sämtliche Mainboardhersteller haben gesagt, das die Mainboards exakt den Standart einhalten, die Grafikkarten ziehen zu viel Strom. Gezahlt hat keiner, und der Kunde war wie immer der Dumme. Und ich will jetzt mal verschonen, auf sämtliche Spiele einzugehen, die entweder am Day0 nicht spielbar sind oder updates mit vielen hunderten bugfixes haben. Das ist nicht das gleiche.
Tarnkappe link ist bekannt (https://tarnkappe.info/artikel/internet/mullvad-vpn-laesst-audit-durchfuehren-279396.html)
Das Setup war laut Mullvad identisch zu Produktivsystemen <- Das waren server, die laut Mullvad identisch mit den echten Servern sind. Mullvad hat weit über 600 Server auf der Welt. Ich finde es nur komisch das man davon nicht einen einzigen (vielleicht wenig genutzen) Server mal auf "offline/Wartung/sonstwas" stellen kann und dem Audit auf den drauf lässt. Meinetwegen den Zugang/Schlüssel für das restliche Mullvad netz sperren, das man keine anderen Server oder berechtigungen kapern könnte.
Das werde ich wohl bei dieser Anzahl an Servern und man nutzt das Audit direkt/indirekt als Werbung/Qualität sagen dürfen? Ich stelle nur fest, das mich das stutzig macht.
...Dadurch war der Traffic der User für die Pentester sichtbar und wurde – zumindest teilweise – im Rahmen der Beweisaufnahme mitgeschrieben.... & ...SSH-Login auf die Systeme überhaupt möglich war, da so z. B. Mitarbeiter Traffic mitschneiden könnten... <- Theoretisch und blablabla. Das alleine wäre ja jetzt nicht mal so extrem schlimm. Traffic mitschneiden? Ja aber wie? Dazu braucht man ja extra Programme, die eigentlich nicht darauf installiert sein sollten. Dann wäre es nicht so schlimm. Aber leider waren genau diese Programme laut Audit auch darauf installiert. Es gab auch keine Aussage, ob Mullvad das jetzt gemacht hat, um den Pentestern vom Audit die Arbeit etwas zu erleichtern (also auf den für das Audit präparierten Servern drauf ist was die echten server nicht haben) oder ob das alle server haben (der Audit server soll ja angeblich gleich zu den echten Servern sein. Deshalb wieder meine Frage, wieso man nicht einen Echten Server hergenommen hat oder dieses hoffentliche Missverständnis im nachhinein angesprochen hat).
Besonders eine Kombination von tcpdump und pastebinit könnte genutzt werden, um bei Systemzugriff Nutzer-Traffic direkt weiterzuschicken. <- Das macht die Situation nicht besser.
Die Tester untersuchten auch, ob und was auf den Systemen geloggt wird. Das Ergebnis: danted (ein Proxy) und bind (DNS-Server) loggen nicht. Auffällig ist hier die fehlende Erwähnung von OpenDNS und Wireguard. <- Das macht es ebenfalls nicht besser.
Das waren jetzt Ausschnitte. Und das war laut Mullvad Blog der 3te Audit gewesen (von RoS, der 4te bessere war von Cure53). Es ist ein 5ter Audit für 2025 angekündigt. Mal schauen, was der sagt und wer den macht.
Erfinden brauche ich nichts, ich bin eh hier bei PP und was die Konkurrenz macht schaue ich mir halt an.
edit: Das war jetzt über 1 Std an Zeit (da mir eine Antwort wichtig war) und irgendwie glaube ich, das wir back2topic gehen sollten. Wir wollen ma miteinander Kämpfen, und nicht gegeneinander.
www.heise.de
www.computerbase.de
Da ich weiß, das du mit dieser Antwort nicht zufrieden bist:
Nach Update auf Windows 11 24H2: Auto-HDR lässt Spiele abstürzen
Für Spieler entwickelt sich Windows 11 24H2 langsam zum Desaster: Nun stürzen Spiele ab, die von SDR zu HDR konvertiert werden.
www.computerbase.de
Weltweiter IT-Ausfall: Betrieb wird wieder aufgenommen
Das Update eines Programms hat weltweit Windows-Computer zum Absturz gebracht. Crowdstrike hat den Fehler mittlerweie gefunden und behoben.
Intel Raptor Lake: Sammelklage wegen instabiler Core-CPUs eingereicht
Qualitätsprobleme bei Raptor-Lake-CPUs haben diesen Sommer hohe Wellen geschlagen. Ein Käufer in den USA verklagt Intel nun.
www.computerbase.de
Also wird jetzt bei Intel besser getestet, das in Zukunft keine solchen Probleme mehr entstehen. Hahaha, verarscht!!!
Arrow Lake Performance-Update: Vier Probleme behoben, „mehr“ Gaming-Leistung ab Januar
Fünf Probleme sollen Intel Core Ultra 200S zum Start gebremst haben. Vier hat Intel behoben, der 5. Fix soll mehr Gaming-Leistung bringen.
www.computerbase.de
ROP-Defekt bei Gaming-Blackwell: Neben RTX 5090 & 5070 Ti ist auch die RTX 5080 betroffen
Sowohl GeForce RTX 5090 (D) als auch RTX 5070 Ti sind von Nvidia in Teilen defekt ausgeliefert worden. Das hat der Hersteller bestätigt.
www.computerbase.de
GeForce RTX 5090 FE: Schmelzende Stecker in Folge fehlender Lastverteilung?
Überhitzen Kabel und Stecker an der RTX 5090 FE wegen fehlender Lastverteilung? Ein Video von der8auer legt dies nahe.
www.computerbase.de
Als alte Beispiele möchte ich zum einen äh Ultimate doom (oder war es Doom95?) nennen. Dort hat man vergessen, ein Item (Karte) in die map zu setzen das es nicht Möglich war, das spiel ohne Cheats durchzuführen.
Das andere alte Beispiel ist vom hochgeloben Grafikkartenherseller Nvidia. Ende der 90er hat die TNT2 so viel Strom geschluckt, das die Mainboards reihenweiße kaputt gegangen sind. Der Grafikkartenhersteller hat behauptet, seine Grafikkarte entspricht der Norm, die Mainboardhersteller hätten die Boards zu schwach gebaut. Sämtliche Mainboardhersteller haben gesagt, das die Mainboards exakt den Standart einhalten, die Grafikkarten ziehen zu viel Strom. Gezahlt hat keiner, und der Kunde war wie immer der Dumme. Und ich will jetzt mal verschonen, auf sämtliche Spiele einzugehen, die entweder am Day0 nicht spielbar sind oder updates mit vielen hunderten bugfixes haben. Das ist nicht das gleiche.
Tarnkappe link ist bekannt (https://tarnkappe.info/artikel/internet/mullvad-vpn-laesst-audit-durchfuehren-279396.html)
Das Setup war laut Mullvad identisch zu Produktivsystemen <- Das waren server, die laut Mullvad identisch mit den echten Servern sind. Mullvad hat weit über 600 Server auf der Welt. Ich finde es nur komisch das man davon nicht einen einzigen (vielleicht wenig genutzen) Server mal auf "offline/Wartung/sonstwas" stellen kann und dem Audit auf den drauf lässt. Meinetwegen den Zugang/Schlüssel für das restliche Mullvad netz sperren, das man keine anderen Server oder berechtigungen kapern könnte.
Das werde ich wohl bei dieser Anzahl an Servern und man nutzt das Audit direkt/indirekt als Werbung/Qualität sagen dürfen? Ich stelle nur fest, das mich das stutzig macht.
...Dadurch war der Traffic der User für die Pentester sichtbar und wurde – zumindest teilweise – im Rahmen der Beweisaufnahme mitgeschrieben.... & ...SSH-Login auf die Systeme überhaupt möglich war, da so z. B. Mitarbeiter Traffic mitschneiden könnten... <- Theoretisch und blablabla. Das alleine wäre ja jetzt nicht mal so extrem schlimm. Traffic mitschneiden? Ja aber wie? Dazu braucht man ja extra Programme, die eigentlich nicht darauf installiert sein sollten. Dann wäre es nicht so schlimm. Aber leider waren genau diese Programme laut Audit auch darauf installiert. Es gab auch keine Aussage, ob Mullvad das jetzt gemacht hat, um den Pentestern vom Audit die Arbeit etwas zu erleichtern (also auf den für das Audit präparierten Servern drauf ist was die echten server nicht haben) oder ob das alle server haben (der Audit server soll ja angeblich gleich zu den echten Servern sein. Deshalb wieder meine Frage, wieso man nicht einen Echten Server hergenommen hat oder dieses hoffentliche Missverständnis im nachhinein angesprochen hat).
Besonders eine Kombination von tcpdump und pastebinit könnte genutzt werden, um bei Systemzugriff Nutzer-Traffic direkt weiterzuschicken. <- Das macht die Situation nicht besser.
Die Tester untersuchten auch, ob und was auf den Systemen geloggt wird. Das Ergebnis: danted (ein Proxy) und bind (DNS-Server) loggen nicht. Auffällig ist hier die fehlende Erwähnung von OpenDNS und Wireguard. <- Das macht es ebenfalls nicht besser.
Das waren jetzt Ausschnitte. Und das war laut Mullvad Blog der 3te Audit gewesen (von RoS, der 4te bessere war von Cure53). Es ist ein 5ter Audit für 2025 angekündigt. Mal schauen, was der sagt und wer den macht.
Erfinden brauche ich nichts, ich bin eh hier bei PP und was die Konkurrenz macht schaue ich mir halt an.
edit: Das war jetzt über 1 Std an Zeit (da mir eine Antwort wichtig war) und irgendwie glaube ich, das wir back2topic gehen sollten. Wir wollen ma miteinander Kämpfen, und nicht gegeneinander.
Polygon
Active Member
Ja, die Tarnkappe eskaliert gerne mal in Sachen Dramatik, ich erinnere an den Artikeln wo das PP Team im Sommerurlaub war! Wobei Tarnkappe seinen Dramatischen aufrtitt am Ende selbst noch entschärft und klarstellt:
Zitat: Zusammenfassend lässt sich sagen, dass die Liste bei Mullvad noch verhältnismäßig kurz ist und die Verteilung von Problemen sich doch eher in Maßen hält. Listen mit Hunderten von Issues sind gängige Praxis, da Pentester mit Systemzugriff eine Menge Schabernack treiben können.
Und ja, ich sage es gerne noch einmal: Audits sind genau dafür da, um Lücken aufzudecken, die das Unternehmen selbst nicht auf dem Schirm hat. Das kann hier genauso gut passieren! Werden wir aber nie erfahren, da hier erst garkeine gemacht werden.
hallowelt2
New Member
Gut, dann würde ich sagen schließen wir dieses Thema ab? Zumindest diesen Teil?