Serverbeschlagnahmung in Rotterdam

PP Frank

Staff member
@PP Frank Von den Opera VPN dienst halte ich auch ziemlich genau 0 :) ... hab den schon ausprobiert. Aber von kostenlosem VPN zeugs halte ich sowieso nicht viel, denn sie verdienen an andere stelle geld meist auf kosten der sicherheit ....


Richtig. War nur mal ein Vorschlag was man testen kann. Mehr als nen easy Proxy ist das DIng ja nich, wenn das aber nicht mal für Youtube taugt, dann ist das aber nich mal das kann das ist der Wert wirklich absolut 0. Ansonsten da echt Finger von weg
 

theoth

Active Member
Also ich bin mir ziemlich sicher das sie keine Coldboot-Attack gemacht haben die wahrscheinlichkeit ist zumindest sehr gering, aber wenn wie geschrieben I3D schon stunden vorher vom Netz genommen hat, dann bringt ja nichtmal die attacke was, da ja keiner mehr eine connection hatte :) .... oder liege ich da falsch ? ^^
Glaubst Du, daß das OS die benutzen RAM-Bereiche löscht? Wenn keine neuen Verbindungen mehr auftreten bleibt das natürlich alles dort im Stack/Heap stehen und wird nicht überschrieben. Ist zwar aufwändig, aber mit genug know-how sollte man den Status vor Netztrennung evtl. herauskriegen. Dazu mußt Der Verdächtige aber schon den 3. Weltkrieg planen, um den Aufwand zu rechtfertigen. Für Urheberkrempel und Betrug lohnt das nicht
 

Chegga87

Member
Naja ich hoffe ja nicht das irgend jemannd den 3. Weltkrieg geplant hatte ... das wäre ziemlich blöd für alle beteiligten :) auf diesen Planeten :D
 

Nytro87

Junior Member
@theoth
So etwas kam mir ja auch in den Sinn, Restspuren, Fragmente, Metadaten. Keine Sorge irgendwas finden die immer. Ob das dann gerichtlich verwertbar ist, eine andere Frage oder ob es sie weiter bringt in den Ermittlungen.

Und zudem was Chegga87 geschrieben sehe ich auch so. Glaube das sich kaum ein normaler Mensch hier um die Sicherheit sorgen macht, wenn sie einen von diesen "Terror-Spastis" erwischen. Ganz im Gegenteil das ist im Interesse aller! Selbst wenn sie da IPs finden wo sich Leute zu Torrent-Netzwerken verbunden haben oder irgendwo mal Warez hochgeladen, glaube ich nicht das die das interessieren würde ^^
Dafür nehmen die keinen Server mit :p
 

byomiger_tag_heute

Junior Member
"Vom Netz genommen" wird in diesem Fall wohl bedeuten, dass der Server komplett abgebaut wurde, um ihn der Polizei zu übergeben und nicht, dass lediglich der Netzwerkstecker gezogen wurde. Wie sollte denn die Polizei das gesamte Gerät mitnehmen, wenn da noch der Netzstecker angeschlossen ist? Und wenn sämtlicher Strom schon Stunden vorher gekappt wurde, was soll denn dann aus dem RAM ausgelesen werden? Könntet ihr mir das mal erläutern?
 

Chegga87

Member
@byomiger_tag_heute das ist es ja ... I3D wird das ding nich runtergefahren haben was vermutlich auch garnicht ging und auch garkein sinn macht bei einer Ram-Disk, sondern hat den Netzstecker gezogen (Strom) und dat wars dann :) .... Behörden gehen nicht davon aus das da ne Ram-Disk läuft, sondern ne Festplatte wie in 99,90% der fälle üblich ist. Deswegen bin ich der festen überzeugung davon das sich hier auch keiner einen Kopf machen brauch, letztendlich kann man diskutieren wie man will erfahren werden wir es sowieso nie :) was im übrigen sehr positiv ist :)
 

byomiger_tag_heute

Junior Member
@Signer7

Die haben 17 Uhr auf Anweisung die Netzkabel gezogen

Und als Kunde würde ich auch anfragen, ob man genau diese Verfahrensweise immer anwenden könnte, d.h. den Serveradmin den Server abbauen lassen und dann der Polizei wie gefordert übergeben. Ich denke nicht, dass die Polizei sich je nach Größe des Rechenzentrums da selbst auf die Suche begibt und dann irgendeinen Server abbaut, der vielleicht doch nicht der richtige sein könnte. Das wäre ein einziges Chaos und würde den Betrieb erheblich stören.
 

Chegga87

Member
@Signer7 Ja die sache hat nur einen Haken ... Im Rechenzentren stehen keine Desktop PCs , sondern server die im Serverrack stecken und rausgezogen werden müssen :) ... aber selbst wenn, fehlen trotzdem die loggs und eine Verbindung bestand auch nicht mehr :)

@byomiger_tag_heute Genau denke ich auch.
 

Signer7

Junior Member
@Signer7 Ja die sache hat nur einen Haken ... Im Rechenzentren stehen keine Desktop PCs , sondern server die im Serverrack stecken und rausgezogen werden müssen :) ... aber selbst wenn, fehlen trotzdem die loggs und eine Verbindung bestand auch nicht mehr :)

@byomiger_tag_heute Genau denke ich auch.

Meiste RackServer haben ja 2 Power Supplies nah ;-) Einfacher können wir es nicht machen. Aber ist ja alles Theoretisch, die Behörden haben verlangt die Maschinen runter zu fahren... Noch besser.
 

IT-Gott

Junior Member
Also wenn stimmen sollte was ich auf ner anderen Seite gelesen habe ging es bei den Rotterdam Servern darum beweise zu sichern gegen einen Ki Po webseiten Betreiber den sie zerschlagen wollen bzw haben und viele der Täter haben wohl die Rotterdam Server genutzt um ihre Spuren zu vertuschen. Ich weiß nicht ob es stimmt aber es würde sinn ergeben es soll auch das FBI da mitgespielt haben.

Die Angaben sind ohne Gewähr

http://board.3dl.tv/Thread/65951-Pe...t/?s=5177c486dfa37a963bba64702e0e12f79c3e6dcc
 

Wcon

Member
Erst einmal Danke für die Benachrichtung. Das ist ein guter Service :).
Ich denke die Geschichte kann durchaus anders ablaufen:

Wenn ein RZ dazu augefordert wird IP-Verbindungsdaten (Entry/Exit) aufzuzeichnen (also IP in den Server und IP aus dem Server) ist das relativ leicht machbar und i.d.R. darf das RZ den Betreiber des Servers (sprich PP) hierüber gar nicht informieren. Das wird dann 1-2 Wochen praktiziert und erst dann der Stecker gezogen! Ob es Anordnungen zur Überwachung der neuen Server gibt, kann gar nicht ausgeschlossen werden und hat nichts mit Übertreibung zu tun. Wir wissen es nicht und es kann nicht ausgeschossen werden!

Fakt ist also, dass die Server bereits über einen längeren Zeitraum hätten überwacht werden können. Das ist durchaus ein realistisches Szenario und hat nichts mit "extremen Aufwand" zu tun. In den meisten Fällen ist es ausreichend zu wissen, welcher Personenkreis den Server kontaktiert (Entry) und welche Inhalte darüber abgerufen werden (Exit). Daraus lassen sich erste Ermittlungsansätze ableiten. Beispiel: Vorermittlungen aufgrund Sprachmuster oder bestimmten Zielgruppe, Inhalten weisen auf eine Person in den USA hin, die KiPo-Inhalte über den Fileserver "ABC" tauscht. Durch Abgleich fällt auf, dass am 23.08.2016 um 15:22 genau 3 Personen (im ungünstigen Falle weniger) Personen aus dieser US-Region zu dem PP-Server in den Niederlanden Kontakt hatten... usw. Natürlich ist das noch kein Beweis, keine Zuordnung möglich, aber diese Richtung ist beliebig ins Detail zerlegbar und gibt gute Ansätze für bspw. Hausdurchsuchungen.

Hier greif der Vorteil von PP. VPN-Kaskade/Multihop von PP gegenüber einfachen VPN-Anbietern. Z.B. über 2 Hops.

Rückfrage an PP oder @Lars:
Es gibt ja im Client die Möglichkeit einzustellen, eine zufällige IP des jeweiligen Servers sich zuordnen zu lassen. Ich frage mich jetzt allerdings ob bei Perfect-Privacy dann die "Einwahl-IP" zum Server (beispielsweise von Keyweb 112.112.110.71) und die zugeteilte IP-Adresse (also die, mit der ich dann im Internet surfe: 112.112.110.74) immer verschiedene IP-Adresen sind. Das ist nämlich bei AirVPN der Fall und ich frage mich, ob bei PP dann sowohl die Einwahl-IP als auch die zugeteilte IP-Adresse des Servers identisch oder doch verschieden sind? Bei EarthVPN war das nicht der Fall, auch gab es keinen MultiHop und so konnten Nutzer ermittelt werden!

Grüße
 
Last edited:

an0myzer

Junior Member
Was mich interessiert ist ob man nicht eine Art künstliches Netzrauschen verursachen kann, das solche Zuordnungen schwerer möglich macht.
 

Salat

Active Member
Rückfrage an PP oder @Lars:
Es gibt ja im Client die Möglichkeit einzustellen, eine zufällige IP des jeweiligen Servers sich zuordnen zu lassen. Ich frage mich jetzt allerdings ob bei Perfect-Privacy dann die "Einwahl-IP" zum Server (beispielsweise von Keyweb 112.112.110.71) und die zugeteilte IP-Adresse (also die, mit der ich dann im Internet surfe: 112.112.110.74) immer verschiedene IP-Adresen sind.

Grüße

Das interessiert mich jetzt auch einmal.

Ansonsten @Wcon : So wie du das erklärt hast halte ich das für durchaus überzeugend und gehe davon aus das regelmäßig so vorgegangen wird. Dies schon allein aus dem Grund, da man im Fall der Fälle auch mal eine konkrete Zuordnung haben kann, nämlich wenn nur 1 User online ist. Dies wird nicht häufig sein, aber möglich ist alles. Das ist ebenfalls der Grund, warum man sich mal die Privacy Policy anderer Anbieter anschauen sollte. Die meinen zwar u.a. sie loggen nicht, schreiben dann aber, dass sie den Server protokollieren zu dem verbunden wurde - wenn dann da nur 1 User ist reicht das schon.
 

PP Frank

Staff member
Meines Wissens nach sind die IP identisch.

So wie du das erklärt hast halte ich das für durchaus überzeugend und gehe davon aus das regelmäßig so vorgegangen wird. Dies schon allein aus dem Grund, da man im Fall der Fälle auch mal eine konkrete Zuordnung haben kann, nämlich wenn nur 1 User online ist.

Gerade bei den genannten beiden Servern ist dies ausgeschlossen. Da sind immer mehrere hundert Nutzer gleichzeitig unterwegs. Bei den Offshore-Locations sieht die Sache aber schon anders aus.
 

Salat

Active Member
Hmm, aber erfurt.perfect-privacy.com / .net löst doch immer unter der gleichen IP auf (was ja klar ist). Daher denke ich nicht, dass die identisch sind.
 

Wcon

Member
Meines Wissens nach sind die IP identisch.

Dann lasse ich diese Frage noch einmal für PP Lars stehen. Denn das ist u.a. eine (es gibt mehrere) kritische Statements von AirVPN gegenüber den VPN-Mitbewerbern. Sollte das, wie PP Frank angedeutet hat, so der Fall sein, dann ist es sehr empfehlenswert, dass jeder Kunde mindestens über 2 Hops geht.

Gerade bei den genannten beiden Servern ist dies ausgeschlossen. Da sind immer mehrere hundert Nutzer gleichzeitig unterwegs.
Daher appelliere ich schon länger für die Hinzufügung der Anzahl der Nutzer/Logins, die sich momentan auf einer Location befinden. Die meisten VPNs verweigern dies, da man bei unternehmensinternen Dingen nicht so transparent sein möchte. Dass das durchaus möglich ist, beweist AirVPN. PP sollte hier nicht ewig rückstehen.



 

PP Frank

Staff member
Daher appelliere ich schon länger für die Hinzufügung der Anzahl der Nutzer/Logins, die sich momentan auf einer Location befinden. Die meisten VPNs verweigern dies, da man bei unternehmensinternen Dingen nicht so transparent sein möchte. Dass das durchaus möglich ist, beweist AirVPN. PP sollte hier nicht ewig rückstehen.

Ich sehe darin nicht wirklich einen Sicherheitsgewinn. Und um ehrlich zu sein interessiert mich jetzt auch nicht wirklich was AirVPN sagt. ;) Wer in die Richtung denkt, dem reicht eigentlich auch die Auslastungsseite. Ich sehe hier jedenfalls keinen Handlungsbedarf.

Dann lasse ich diese Frage noch einmal für PP Lars stehen. Denn das ist u.a. eine (es gibt mehrere) kritische Statements von AirVPN gegenüber den VPN-Mitbewerbern. Sollte das, wie PP Frank angedeutet hat, so der Fall sein, dann ist es sehr empfehlenswert, dass jeder Kunde mindestens über 2 Hops geht.

Und da soll wo genau der Sicherheitsgewinn sein?

NACHTRAG: Ich habe das gerade mit Amsterdam und OpenVPN getestet. Die IP des Tunnels geht zu 37.48.74.75 und die Ausgangs-IP ist 37.48.74.82. Lässt sich ja ganz einfach im Log sehen. Ich habe nur nie wirklich darauf geachtet, da die Eingangs-IP nicht wirklich relevant ist, sondern nur die Ausgangs-IP.
Beim test 2. hatte ich als Ausgang 37.48.74.77 und als Eingang wieder 37.48.74.75
 
Last edited:

Gerhard

Junior Member
ich habe auch eine Frage, tarnkappeinfo hat auch darüber informiert und ein User schreibt folgendes, dass man eben doch nicht sicher sein kann, ich zitiere:

"Wenn dabei aber 75 Männer gefasst wurden, die wohl teilweise Perfect-Privacy eingesetzt haben würde ich mir Gedanken machen. Polizei muss nur diesen einen Server überwachen / infizieren und hat haufenweise interessanten (höchst wahrscheinlich illegalen) Traffic. Haltet euch das mal vor Augen! Selbst wen PP nichts loggt wird das Rechenzentrum die eingehenden IPs loggen, die stehen dann so oder so auf der Überwachungsliste!"

ein anderer schreib dann folgendes, ich zitiere:

"Dann spannen wir deine Geschichte mal weiter,,, das Rechenzentrum loggt alle eingehenden IPs und hat somit einen Pool von IP’s die diesen VPN Server nutzen. Nun vergibt PP allerdings keine Dedicated IPs an die Nutzer des VPN Servers, sprich es nutzen immer ein Haufen Menschen die gleiche VPN Server IP. Was fängt das Rechenzentrum nun mit der Info an, dass sich z.B. 800 IPs auf dem Rotterdam VPN Server eingeloggt haben und IRGENDJEMAND(nicht nachvollziehbar) von den 800 Menschen hat mit diesem Server „böse WebseiteXY“ angesteuert, wie geht es dann weiter? Hilf uns bitte auf die Sprünge!"


und die Frage die ich mir stelle ist: wenn ich über PP ins Netz gehe, einen Server auswähle, loggt doch der Anbieter des Server Zentrums unsere richtige IP, also unsere Einwahl IP, die vom ISP vergeben wird. WIe ich gelesen habe, muss er dass sogar.
 
Top