CryptoParty #4: VPN und CryptoKekse

CryptoParty

Das Thema der CryptoParty war von Anfang klar. Da der 29. Chaos Communication Congress (29C3) bevorstand und sich niemand neben einem schlecht abgesicherten System auch noch die Blöße eines ungesicherten Netzwerkzugangs geben wollte, lautete die zentrale Frage: Wie bewege ich mich in unsicheren Netzwerken und wie kann ich meinen Laptop für den 29C3 vorbereiten?

VPN (Virtual Private Network) ist das für die Beantwortung der Frage relevante Schlagwort, und VPN war auch, worüber in Kleingruppen gesprochen wurde. Ein besonders spannendes Thema, da ein VPN neben dem Client immer auch einen Server benötigt, um eine sichere Verbindung überhaupt aufbauen zu können. Diesen Server muss man sich entweder selbst aufsetzen, einrichten, konfigurieren und hosten oder man verlässt sich auf die Versprechungen diverser Anbieter von VPN-Zugängen. Spätestens dann aber ist der Moment gekommen, an dem es Vertrauen in die Leistung und Arbeitsweise des Anbieters bedarf und das Gefühl von Sicherheit nicht mehr mit Validierungen, Zertifikaten, Verschlüsselung, Software, Algorithmen und deren Codes begründet wird, sondern sich aus individuellen und aus persönlichen Erfahrungen gespeisten Annahmen über Fairness, Ehrlichkeit, Kompetenz, Diskretion und vor allem Loyalität gegenüber dem Anbieter bilden muss.

Soweit waren wir aber nicht. Stattdessen ging es um fast schon banale Fragen: Ab wo ist mein Computer unsicher? Was sollte ich in unbekannten Netzwerken besser nicht tun? Was ist und wie funktioniert ein VPN? Welche VPN-Protokolle gibt es und wie unterscheiden sie sich voneinander? Wie richte ich ein VPN auf meinem Notebook ein? Wie priorisiere ich VPN gegenüber anderen Verbindungen (unter Mac OS X)? Welche Tools gibt es, um meine Daten – und zwar sämtliche! – durch ein VPN zu leiten? Was ist OpenVPN, wann soll ich Tunnelblick, Viscosity oder das systeminterne VPN-Tool verwenden? Das waren die Fragen1, die angeregt, diskutiert und größtenteils beantwortet wurden.

Nach einem etwas holprigen und ein wenig unterkühlten Start (ein neuer Interessent wurde mit einem „Nein, so läuft das hier nicht!“ samt langem Sermon über die ortsübliche Vorgangsweise entnervt zurechtgewiesen, nachdem er gefragt hatte, wo und unter wessen Leitung die CryptoParty stattfinden würde) habe ich mich, wie immer, bei den Mac-Usern unter maclemonscher Leitung niedergelassen. In der Gruppe hatten fast alle schon Erfahrungen mit VPN-Verbindungen gemacht und wussten daher ganz gut über die Einrichtung und Konfiguration mit von Firma oder Uni bereitgestellten Daten bescheid. Die meisten haben diese VPN-Zugänge genützt, um als Teil eines internen Netzwerks aufzuscheinen und damit Zugriff auf von außerhalb verschlossene Ressourcen zu erlangen. Nur wenige haben VPNs unter dem Aspekt der Datensicherheit genutzt, wenngleich diese Funktion eines VPN allen bekannt war.

Pepi ging mit uns eine Art geistige Checkliste für die Überprüfung und Sicherung einer VPN-Verbindung durch. Drei Punkte dieser Liste waren (zumindest) mir so nicht bewusst: Zum einen sollte man in den Netzwerkeinstellungen bei Nutzung eines VPN sicherstellen, dass der gesamte Verkehr über das VPN gesendet wird. Was logisch klingt, ist nicht unbedingt Standardeinstellung. Zum anderen sollte das VPN (bei Verfügbarkeit) in der Reihenfolge der Netzwerke an erster Stelle stehen, um auch als primäres Ziel von Verbindungen zu gelten. Auch das muss von Hand konfiguriert werden. Drittens wies uns Pepi auf die drei VPN-Verbindungsprotokolle PPTP, L2TP und OpenVPN hin, wobei es natürlich so ist, dass gerade letzteres als das sicherste gilt, unter Mac OS X aber nicht von Haus aus unterstützt wird.

Um OpenVPN dennoch nützen zu können, bedarf es eines VPN-Verbindungstools wie Tunnelblick oder Viscosity. Ganz nach CryptoParty-Lehrbuch haben wir Tunnelblick gemeinsam heruntergeladen und installiert. Bei der Konfiguration des Zugangs zu einem vorhin im Metalab aufgesetzten VPN-Server gab es jedoch Probleme, die ich als massiv bezeichnen würde, da ihre Lösung exakt 47 Minuten in Anspruch nahm. Irgendetwas, ich kann es nicht näher beschreiben, stimmte mit den Zertifikaten und den dazugehörigen Keys bzw. den Tunnelblick-Konfigurationsdateien2 nicht. Irgendwann gelang dann die Verbindung, zu dem Zeitpunkt war ich aber nicht mehr vor Ort, da ich die CryptoParty frühzeitig verlassen musste. Das Konfigurationsproblem stellte für mich aber eine Hürde dar, die ich außerhalb des geschützten Umfelds einer CryptoParty nicht nehmen würde: Sobald eine Verbindung nicht einwandfrei und ohne Probleme zustandekommt, schrillen bei mir die Alarmglocken und ich lasse die Finger davon. Die Sorge, einen unerkannten Fehler in einer als sicher wahrgenommenen Verbindung zu haben, ist in meinen Augen ein sicherheitstechnischer Super-GAU.

Während der 47 Minuten versuchte ich anfangs den Lösungsversuchen zu folgen, entschied mich dann aber nach einem VPN-Anbieter zu suchen, der Tunnelblick-Konfigurationsdateien zum Download anbot und die Verbindung über OpenVPN herstellte. Ich wurde im kostenlosen VPNBook fündig, mit dem ich mich auch problemlos verbinden konnte. – Damit war mein Verbindungstest über OpenVPN schon wieder beendet. Die anfangs gestellte Frage jedoch blieb, jetzt umso mehr, bestehen: Aufgrund welcher Inputs konnte ich einem VPN-Anbieter wie zB VPNBook trauen? Sind es die Datenschutzbedingungen? Die Geschäftsbedingungen? Die Kosten? Der Firmensitz? Die Betreiber?

Sicherlich, und diese Frage hat mir Pepi gestellt, während ich meine Sachen schon zusammenpackte, sind diese Fragen auch immer von den an einen Service erhobenen Erwartungen abhängig. Dient das VPN lediglich dazu, sich innerhalb eines (drahtlosen) Netzwerks sicher zu bewegen, dann erfüllt diese Anforderung wahrscheinlich auch ein zuhause aufgestellter und zu einem VPN-Server konfigurierter Raspberry Pi. Sind die Erwartungen aber höher, ich denke hier an Dienste mit denen man Filter-Bubbling vermeiden oder auf länderspezifische Ressourcen zugreifen kann, dann wächst die Unbekannte auf ein dem Glück nicht entferntes Niveau. Entweder man hat Glück und gerät an einen seriösen Anbieter legaler VPN-Zugänge oder man endet in den Armen von illegalen oder aber zumindest im Graubereich des Legalen agierenden Gruppen und Individuen, die man mit seinem Abonnement auch noch finanziell unterstützt. Es könnt‘ einem der Kopf über solchen Fragen zerbrechen!

Doch zurück auf den Boden. Einen Aspekt der vierten CryptoParty habe ich noch gar nicht erwähnt, nämlich den der lukullischen Genüsse. Während ich mich mit VPNBook vertraut machte und der Rest der Gruppe nach Fehlern in den Tunnelblick-Konfigurationsdateien suchte, standen plötzlich CryptoKekse auf dem Tisch. Sie wurden als geschmacklich ambivalent angekündigt – jeder konnte selbst entscheiden, ob sie süß oder pikant waren – schmeckten aber so gut, dass die Schale, in der sie aufgetischt wurden, bald schon leer und die Tastatur eines jeden MacBooks bröslig war. Pepi, bitte richte meinen Dank an die Spenderin aus!

Hier sollte ein Schlusssatz stehen. Stattdessen aber wünsche ich euch, liebe CryptoPartyPeople, Frohe Weihnachten, einen interessanten 29C3 und einen schönen Jahreswechsel!


  1. Nicht ganz! Es gab noch zwei weitere Themen (Bitcoin und Retroshare), die aber aufgrund des stark begrenzten Interesses zu 4-Augen-Gesprächen wurden. 
  2. Danke für Tunnelblick. Wirklich und ehrlich! Aber die Usability, vor allem im Bereich des Einspielens von Konfigurationsdateien, ist mehr als verbesserungswürdig. 
Wo niemand klickt