Beantwortet: Vorratsdatenspeicherung

[an0myzer]

Hallo,

ich wollte mal die User und Betreiber fragen, wie ihr das mit der VDS seht. Werden VPN Dienste bald sinnfrei, weil aus den Logs von Allem sowieso rausgefunden werden kann, wer was macht? Wenn ich 10 Wochen mit klugen Regeln allen Traffic zu, zwischen und von den VPN Servern beobachte, dürften da doch durchaus Rückschlüsse möglich sein? Kaskadieren bringt doch dann auch nur noch teilweise was, außer man nimmt wirklich jedes mal andere Routen und +3 Hops, was dann ziemlich holperig werden kann? Welche Möglichkeiten können User, welche die Betreiber, unternehmen um dem vorzubeugen? Kann man aus Betreibersicht random Netzrauschen erzeugen, der das erschwert? Ich sehe irgendwie ein bisschen schwarz angesichts des neuen BND Gesetztes und der Marschrichtung Europas zu einem totalitären, legitimierten Überwachungsstaat. Was denkt ihr dazu?

 

[PP Frank]

Irgendwie ist dein Beitrag wenig nachvollziehbar und etwas verwirrt

1. Gerade gegen die VDS ist doch ein VPN sinnvoll. Einfach weil der ISP nur noch sieht Verbindung zu PP Zeit XY und Ende.... Also gerade mit VDS werden VPN Dienste immer sinnvoller. je schärfer die VDS ist, desto sinnvoller werden diese. Würden die auf solche Massnahmen komplett verzichten, die ISP wären Log-Frei, dann werden VPN eher verzichtbarer, aber nicht anders rum

2. Und Kaskadierung ist mit 2 Hops am sinnvollsten. Mit 3 Hops oder mehr macht das unnötig langsam und ist natürlich Fehleranfälliger, bringt aber kaum Sicherheistgewinn. Ist mal nett das zu können, aber tut eben auch nicht Not.
Und selbst wenn die RZ loggen würden was an einem Server passiert, dann können die das immer noch nicht zuordnen welcher von hunderten Nutzern Seite XY angewählt hat. Wenn man dann noch über 2 Stationen kaskadiert ist komplett Schicht.

3. Die VDS besagt das INTERNETZUGANGSANBIETER speichern müssen. Weder das Rechenzentrum noch der VPN Anbieter sind ein Internetzugangsanbieter. Um uns zu benutzen brauchst du schliesslich bereits Internet. Wir bieten kein Internet an, sondern verarbeiten es nur. Wir leiten Daten um und verschlüssen diese. Um das mal einfach auszudrücken. Die VDS gilt also für uns nicht.....

 

[an0myzer]

Ja gut, aber wir wissen doch in welchem Ausmaß die inzwischen schnorcheln (NSA jetzt schon, BND bald) Theoretisch wäre es also doch kein Thema alle Kunden des Dienstes in eine DB zu schreiben (Indikator: Baut eine Verbindung zu einem PP Server auf, ist Kunde) Das ist Fakt.


Wenn jetzt eine Behörde gerne wüsste, wer über den VPN auf Server xy zugreift, der könnte durch die Logs der VDS schnell auf den Kunden kommen, der auf Server x verbunden ist. Sicher nicht eindeutig, aber für einen Indiz könnte das schon reichen.

Ein Beispiel: Ich baue über Zürich eine SSH Verbindung auf, die Behörden beobachten den Server und sehen natürlich von welchem PP Server ich komme. Man könnte doch jetzt sowohl loggen, wann eine Verbindung von PP auf den Server stattfindet und dann schauen, welche der Kunden die man kennt gerade mit diesem (keine Kaskadierung) oder einem beliebigen PP Server verbunden sind. Natürlich würde das einige Zeit dauern aber ohne Kaskadierung wäre da, bei einem wenig genutzten Server, recht schnell ein Erfolg zu erzielen. Wäre letztlich noch kein eindeutiger Beweis, da der Traffic ja verschlüsselt ist, aber man könnte den Kreis der Leute die in Frage kommen sicher eingrenzen.

Konkreter: Ich bin Nachts um 5:30 mit wenigen Leuten auf Server X von PP verbunden. Sagen wir es sind 40.

36 Leute machen nix, schlafen. Man sieht die verschlüsselte Verbindung zum PP Server über den aber kein Traffic geht, außer um die Leitung aufrech zu erhalten.
2 Leute surfen im Web, hier und da mal ein Burst von einigen MB, nix besonderes.
1 betreibt gerade Filesharing und lädt sich einen Porno von sonstwo, 5GB mit einer 100er Leitung.
1 hat nur eine SSH Verbindung

Den Typ, der gerade viel Traffic verursacht, könnte man als Ermittlungsbehörde nun an dem Traffic erkennen. Er wäre zu dem Zeitpunkt der einzige, der viel Daten (verschlüsselt) empfängt und der am Ende mit dem PP Server dazwischen unverschlüsselte Anfragen an beispielsweise einen OCH oder seeds von torrents sendet. Um das zu verhindern sprach ich ja "Netzrauschen" an, weil aus den PP Servern ja nur die Requests rausgehen, die von dem Kunden verschlüsselt gestellt werden. Wenn jemand vor und nach dem VPN Server gucken kann, live, ist das eine andere Qualität als wenn ein Seitenbetreiber gehackt wird und nichts außer der PP IP sehen kann.




Das ist alles recht theoretisch und ich habe auch keine Panik, dass das in den nächsten 1 oder 2 Jahren der Fall sein wird. Ich finde solche theoretischen Gedanken trotzdem wichtig, da die Zeiten in denen Ermittlungsbehörden so dumm waren nach IP xy zu fragen und dann aufgaben, wenn sie da nix mit anfangen könnten, früher oder später vorbei sind. Bevor die so einen Aufwand betreiben, werden sie wohlmöglich einfach VPN Anbieter verbieten. Es geht mir hier auch nicht darum Panik zu machen sondern den Aspekt der VPN Nutzung in diesen überwachten Zeiten zu besprechen. Je mehr Leute übrigens kaskadieren desto unwahrscheinlicher wird dieses theoretische Szenario. Ich lade übrigens weder Sachen per Torrent noch bin ich Terrorist sondern interessiere mich einfach für die Möglichkeiten die PP bietet und die Grenzen. Ich hoffe das war jetzt etwas klarer

 

[PP Frank]

Wenn jetzt eine Behörde gerne wüsste, wer über den VPN auf Server xy zugreift, der könnte durch die Logs der VDS schnell auf den Kunden kommen, der auf Server x verbunden ist. Sicher nicht eindeutig, aber für einen Indiz könnte das schon reichen.

Und wie soll man das machen? Die Logs sagen nur das Person XY zu PP verbunden ist und nicht mehr. Da gibts nichtmal Indizien...

Ein Beispiel: Ich baue über Zürich eine SSH Verbindung auf, die Behörden beobachten den Server und sehen natürlich von welchem PP Server ich komme. Man könnte doch jetzt sowohl loggen, wann eine Verbindung von PP auf den Server stattfindet und dann schauen, welche der Kunden die man kennt gerade mit diesem (keine Kaskadierung) oder einem beliebigen PP Server verbunden sind. Natürlich würde das einige Zeit dauern aber ohne Kaskadierung wäre da, bei einem wenig genutzten Server, recht schnell ein Erfolg zu erzielen. Wäre letztlich noch kein eindeutiger Beweis, da der Traffic ja verschlüsselt ist, aber man könnte den Kreis der Leute die in Frage kommen sicher eingrenzen.

Dieses Beispiel hat mit der VDS Null zu tun, sondern mit einer Einzelmassnahme. Die VDS gibt das überhaupt nicht her. Und selbst wenn man diese Einzelmassnahme bei irgend jemanden machen würde, so müsste man dann praktisch in 3 Ländern Server überwachen, wo man vorher überhaupt nicht weis welche du benutzt. Also das ist schon sehr Realitätsfremd

Also egal wie die VDS aussehen würde, das gibt die einfach nicht her. Das Ganze wäre selbst beim Terrorismusverdacht für die Behörden extrem schwer durchzusetzen. Die müssten im Endeffekt echt alle Server die wir haben überwachen können, denn im Vorfeld ist überhaupt nicht ersichtlich welchen Server die überhaupt überwachen müssten. Selbst wenn die deine Heimleitung überwachen und sehen: Ah der verbindet zur Schweiz. Dann rennen die in die Schweiz und sehen dort erstmal.... Puh naja gar nix. Also fangen die an dort alles zu loggen und VERMUTEN dann, ah die Kaskade geht nach Amsterdam. Also rennen die jetzt nach Amsterdam... Ja scheisse, der hat den ersten Hop gewechselt und nimmt nicht mehr die Schweiz.

Also das Szenario ist völliger Blödsinn.

100 Prozentige IT Sicherheit gibt es nicht. In der IT Sicherheit geht es darum den Aufwand für den Angreifer in die Höhe zu treiben, so weit das sich der Angriff nicht mehr lohnt. Und dein theoretischer Angriffsversuch lohnt für die Null. Da lohnt es sich eher den Pseudo-Bundestrojaner dir auf den Rechner zu pappen und an der Quelle zu überwachen. Schon alleine weil es juristisch unmöglich ist, alle Server zu überwachen. Direkt auf die Server kommen die nicht, ohne das wir das merken. Sprich die müssten davor und danach loggen. Das ist bei einem Server schon Aufwand den kein mensch betreibt, weil es kein Szenario gibt wo sich das lohnt.