Meide VPN-Services

Einer der Mitgründer des VPN-Anbieters „Private Internet Access“ behauptet, ProtonVPN und NordVPN würden von einer litauischen Data-Mining-Company betrieben werden. Ein Mitarbeiter von ProtonVPN antwortet. Popcorn. Hier geht’s zum Thread auf Hacker News.


Dieser Thread auf YCombinator ist nur ein weiteres Beispiel dafür, wie dubios das gesamte VPN-Business agiert und wie sehr sich die Hausverstandsregeln immer und immer wieder bewahrheiten:

  1. Verlasse dich niemals darauf, dass ein kommerzieller VPN-Service Sicherheit und Anonymität bietet.
  2. Verlasse dich niemals auf die Ergebnisse von Websites, die VPN-Services testen. Die meisten werden entweder von den Anbietern selbst betrieben oder ein Anbieter stellt sich als Hauptsponsor einer Publikation heraus.
  3. Die Nutzung kommerzieller VPN-Services basiert auf der Vermeidung bzw. dem Löschen von Serverlogs. Das Löschen wird vom VPN-Provider versprochen, ist also Vertrauenssache. Vertrauen ist gut, Kontrolle ist besser, aber unmöglich. Ergo…

Nutze niemals VPN-Services für den Zweck der Anonymität und Sicherheit, sofern du das gesamte VPN nicht selbst kontrollierst. Ähnlich auch Kenn White, der eine Sammlung von Argumenten gegen die Nutzung von externen, kommerziellen Anbietern unter dem wenig freundlichen Titel „Most VPN Services are Terrible“ veröffentlicht hat. Meine Güte, wenn ich mir die Beiträge ansehe, die ich unter dem Schlagwort „VPN“ hier veröffentlicht habe, braucht man ja gar nicht mehr darüber nachzudenken! #

Onavo-VPN überträgt Daten an Facebook #

Facebook nutzt die Daten des zugekauften VPN-Anbieters Onavo, um Konkurrenzangebote frühzeitig erkennen zu können.

Das Wall Street Journal hat herausgefunden, dass der ursprünglich israelische VPN-Anbieter Onavo sehr genau analysiert, was seine Nutzer im Internet tun und über seine Server leiten. Und dass von den daraus gewonnenen Erkenntnissen vor allem ein Unternehmen profitiert: […] Facebook bekommt über Onavo Informationen auch über Menschen, die gar nicht Mitglied des sozialen Netzwerks sind. Mehr als zehn Millionen Menschen haben allein die Android-Version der kostenlosen App installiert. Vor allem aber bekommt Facebook auf diesem Wege frühzeitig Einsicht in die Nutzung von Konkurrenzangeboten wie Snapchat oder aufstrebenden Start-ups wie Houseparty. Die kauft oder kopiert Facebook dann zu Tode, bevor sie eine Nische besetzen, in die auch Facebook will.

Die Nutzung eines kommerziellen VPNs basiert auf dem Vertrauen des Kunden in die Versprechen des Anbieters. Wenn der aber den Datenschutz übernehmen soll, wird’s brenzlig, denn dann ist das Vertrauen das Geschäftsmodell. Im Fall Onavo findet sich der Hinweis, „dass personenbezogene Daten für verschiedene Zwecke an Dritte, darunter Facebook, übertragen werden, […] nur in der Datenschutzerklärung […] die natürlich kaum jemand liest. Nicht einmal in den Frequently Asked Questions (FAQ) auf der Website steht irgendetwas von Facebook.“

Mich wundern solche Praktiken nicht einmal mehr. Und sie sind es auch, die zB TunnelBear zu einem externen Audit bewogen haben. Es gibt sie also doch noch irgendwo, die Guten. #

TunnelBear hat sich einem Audit unterzogen #

Der VPN-Anbieter TunnelBear hat sich einem Audit der deutschen cure53 unterzogen und will damit einen Gegenpol zum verwilderten, unkontrollierten und in vielen Fällen schlichtweg gefährlichen Markt von VPN-Anbietern schaffen.

Consumers and experts alike have good reason to question the security claims of the VPN industry. Over the last few years, many less reputable VPN companies have abused users‘ trust by selling their bandwidth, their browsing data, offering poor security or even embedding malware. […] Being within the industry, it’s been hard to watch. We knew TunnelBear was doing the right things. We were diligent about security. We deeply respected our users‘ privacy. While we can’t restore trust in the industry, we realized we could go further in demonstrating to our customers why they can, and should, have trust in TunnelBear.

cure53, die deutsche Pentesting-Firma, die den Audit in zwei Durchläufen von Mitte 2016 bis Anfang 2017 durchgeführt hat, kommt in der Conclusio zu einem durchaus positiven Ergebnis, was die Bereitschaft und Geschwindigkeit zur Verbesserung der Services von TunnelBear angeht:

The progress made by TunnelBear over the course of half a year [zwischen dem ersten und dem zweiten Audit] demonstrates how the potential of a security audit and advice in the VPN realm may be harnessed to hoist up the safeguarding strategies within the entire software compound. After undergoing the first challenging security test which ended with several critical & high severity findings, the TunnelBear team seems to have redoubled efforts on security. The results of the second audit clearly underline that, and TunnelBear deserves recognition for implementing a better level of security, for both the servers and infrastructure, as well as the clients and browser extensions for various platforms.

Man mag von VPN-Anbietern halten, was man will, dieser Schritt – Audits durch externe Anbieter – ist aber definitiv einer in die richtige Richtung. Ob das Marketing von VPN-Anbietern hier auch nachzieht und dem Kunden verständlich macht, was ein VPN leisten kann (und was nicht), ist eine andere Sache.


Die Nutzung der Services eines VPN-Anbieters kann von Vorteil sein, ist aber in den meisten Fällen nicht die Lösung für Probleme, die das Marketing des Anbieters nennt. Wer der Meinung ist, VPNs nutzen zu wollen – und es gibt gute Gründe, dies zu tun – sollte sich gründlich über die Funktionsweise und die sich daraus ergebenden Möglichkeiten (und Unmöglichkeiten) informieren. Es gibt einige gute Informationsquellen zum Thema, wie zB prism-break.org/de, privacytools.io oder das Surveillance Self-Defense-Tutorial der EFF, sowie diverse Satements von Security-Spezialisten wie Zeynep Tufekci oder Kenn White, ich kann der interessierten Leserschaft jedoch aus eigener Erfahrung nur den Besuch einer Cryptoparty empfehlen, bei der man im Gespräch eruieren kann, welches Problem man eigentlich hat und ob ein VPN dafür die richtige Lösung ist. #

Hola-Erweiterung sofort deinstallieren!

Hola wird häufig und gerne eingesetzt, um Geo-Restriktionen diverser Inhalteanbieter wie zB Netflix zu umgehen. Man installiert die Erweiterung, wählt das Zielland aus und schon hat man vollen Zugriff auf das dortige Angebot. Was allerdings kaum jemand weiß: Sobald ein User Hola nutzt, stellt er dem Hola-Netzwerk seine eigene IP zur Verfügung. Das macht Hola für Seitenbetreiber und für einzelne User gefährlich, wie auf 8chan erstmalig thematisiert wurde, denn:

When a user installs Hola, he becomes a VPN endpoint, and other users of the Hola network may exit through his internet connection and take on his IP. This is what makes it free: Hola does not pay for the bandwidth that its VPN uses at all, and there is no user opt out for this. On the other hand, with the Tor onion router, users must specifically opt in to be exit nodes and are aware that completely anonymous traffic can pass through their connections, which means they should be ready for abuse reports for child porn, spam, copyrighted content and other ills that come with the territory.

Die Lösung des Problems: Hola sofort deinstallieren! Wie das geht und welchen Risiken man ausgesetzt ist, solange Hola installiert bleibt, kann man unter Adios, Hola! prüfen. #

CryptoParty #16: Unterwegs absichern

CryptoParty

Ungewohnt früh, nämlich bereits am 16. Dezember, fand die sechzehnte CryptoParty unter nicht unbekannter, aber ebenso ungewohnter Leitung von Lynx im nicht unbekannten, aber ungewohnten Raum 2 des Metalab statt. Wie sichere ich meinen Laptop, mein Handy, meine externen und internen Datenträger auf Reisen ab? Weiterlesen

VPN Transparenzbericht #

proxy.sh, der VPN-Anbieter, der den Traffic auf einem seiner Server kontrolliert und damit eine Glaubenskrise unter VPN-Jüngern ausgelöst hat, tritt die Flucht nach vorne an. Ab sofort veröffentlicht der VPN-Anbieter eingelangte Missbrauchsanzeigen, sowie die dazugehörigen Reaktionen innerhalb maximal 24 Stunden.

From now on, we will publish absolutely all the abuse notices we receive, as well as how (and why) we respond to them. We believe this will help our users both get alerted about what happens behind the scenes, as well as get secure in case some abuse might (wrongfully) affect them. We will never agree to act as a honey pot: let the bees be free, as one might say.

Zu den (täglich eingelangten) Missbrauchsanzeigen geht’s hier lang. #

VPNs bieten keinen technischen Schutz vor Deanonymisierung #

Dass VPNs keinen technischen Schutz vor Spionage durch den VPN-Anbieter bieten, sollte jedem klar sein. Neuestes Beispiel: proxy.sh.

In the absence of third-party auditing, at the moment it is probably a case of a user assessing a VPN provider’s attitudes, relying on feedback from existing customers, and then making an educated decision on perceived risks versus potential benefits. […] On Saturday VPN provider Proxy.sh, a company that has built up a decent reputation with good pricing, quality of service and a no-logging policy, made a surprise announcement. […] “We are unfortunate [sic] to announce that there have been abuse complaints about hacking activities on our U.S. Illinois 1 node. […] As a result, we will […] monitor it with Wireshark for a period of 7 days,” Proxy.sh announced.

Und wieder ein Thema für die CryptoParty. Es wird Zeit für den eigenen VPN-Workshop. #

Bullrun #

Scheinbar ist es der NSA gelungen, SSL bzw. HTTPS-Verbindungen zu knacken, internationale Verschlüsselungsstandards zu beeinflussen und die Zusammenarbeit mit Technologiekonzernen auszubauen. Der Name dieses Angriffs auf die dem Internet zugrundeliegenden Verschlüsselungstechnologien: Bullrun.

Some of the agency’s most intensive efforts have focused on the encryption in universal use in the United States, including Secure Sockets Layer, or SSL; virtual private networks, or VPNs; and the protection used on fourth-generation, or 4G, smartphones.

Datenschutz: nicht mehr existent. Sicherheit: nicht mehr existent. Am besten, jemand verlinkt den Artikel nun auf Facebook. Oh, wait. #