Hallo Leute,

ich beschäftige mich zurzeit mit dem Thema Anonymität im Internet. Dazu habe ich ein paar Fragen.

Ich lese oft, dass Cyberkriminelle oder einfach nur totale Sicherheitsfanatiker einen VPN in Verbindung mit extra SSH Tunneling und dahinter noch einen Socks5 Proxy hängen haben. Dies alles realisieren sie mit einem Zusatz Tool Proxifier. Hierbei interessiert mich, wie diese ganzen Techniken funktionieren und was die Komponenten im Zusammenspiel bewirken.

Also:

der VPN Tunnel (Layer2) verschlüsselt ja meinen kompletten Traffic, der über die Leitung geht. Desweiteren surfe ich ja mit einer anderen öffentlichen IP Adresse.

->Folgerung: Traffic kann nicht mitgeschnitten werden, meine Ip Adresse ist lediglich dem VPN Anbieter bekannt, oder ?

Jetzt kommt es zum Verständnisproblem. Was macht jetzt das zusätzliche SSH Tunneling und wie bzw. wo wird dieser konfiguriert ?

Dahinter soll noch einen Socks5 Proxy geschaltet werden (Der Proxy nimmt ja die Anfrage an und leitet Sie weiter, umgekehrt genau so).

Wie kann ich mir das vorstellen, warum wird das so gemacht ?

also Reihenfolge: VPN -> SSH Tunnel -> Socks5 Proxy

Ich hoffe jemand versteht meine Frage

Also:

der VPN Tunnel (Layer2) verschlüsselt ja meinen kompletten Traffic, der über die Leitung geht. Desweiteren surfe ich ja mit einer anderen öffentlichen IP Adresse.

Soweit richtig.

->Folgerung: Traffic kann nicht mitgeschnitten werden, meine Ip Adresse ist lediglich dem VPN Anbieter bekannt, oder ?

Der VPN-Anbieter kann deinen Traffic mitschneiden.

Jetzt kommt es zum Verständnisproblem. Was macht jetzt das zusätzliche SSH Tunneling und wie bzw. wo wird dieser konfiguriert ?

Der ssh-Client baut eine weitere verbindung zu einem weiteren Server auf über den die verbindung zusätzlich verschlüsselt wird.

Dahinter soll noch einen Socks5 Proxy geschaltet werden (Der Proxy nimmt ja die Anfrage an und leitet Sie weiter, umgekehrt genau so).

Dann wird eine zusätzliche Verbindung zum Socks5-proxy aufgebaut über den der Verkehr ebenfalls verschlüsselt wird.

Wie kann ich mir das vorstellen, warum wird das so gemacht ?

Wie oben beschrieben, wenn ich es richtig verstanden habe. Und gemacht wird es weil es Sicherheit geben soll.

Okay das heißt man möchte sozusagen erreichen, dass z.B die NSA erst die IP vom Proxy erkennt, wiederrum der Proxy der NSA ja vor vorgaugelt, dass er vom SSH Server kommt..... oder ?

Was meinst du mit dem SSH Server und zusätzliche Verschlüsselung was kann noch mehr verschlüsselt werden ?

Ob man nun über 50 Server geht oder seine Anbindung zum Proxy 5x verschlüsselt - wenn die NSA herausfinden will, von wo du ins Internet gehst, dann kommt sie unter nahezu allen Umständen auch an die info.

Auch das TOR-Netzwerk z.B. ist kein wirklicher Schutz (auch wenn das oftmals suggeriert wird), denn auch dabei kann durchaus meistens nachvollzogen werden, über welche Server die Verbindung geleitet wird und von wem die Anfrage kam. Je mehr das Netzwerk genutzt wird, um so einfacher ist es afaik sogar.

Ergo:

Egal wie viel Aufwand man treibt - man kann nicht 100%ig verschleiern, woher man die Verbindung aufbaut. Wer das glaubt ist naiv.

Die Frage ist aber auch, wieso man das überhaupt machen sollte.

Wenn man unbedingt "anonym" surfen will, geht man halt über einen ausländischen Proxy rein, deaktiviert Cookies und surft im privaten Modus des Browsers. Mehr ist eigentlich nicht notwendig.

Sollte man eine Straftat begehen und verfolgt werden (natürlich je nach Schwere der Straftat) hat man eh keine wirkliche Chance, wenn man nicht gerade von einem öffentlichen Zugang (WLAN Cafe, öffentliches Terminal, ...) zugreift zu verschleiern, woher man aufs Internet zugreift.

Aber selbst da gibt es oftmals Logfiles zur Absicherung des Betreibers, da er ansonsten für Straftaten, die über seinen Anschluß stattgefunden haben, haftbar gemacht werden könnte.

Von daher - ja, vom Proxy bis zu dir ist die Verbindung sicher. Ob sie nicht vorher von der NSA infiltriert / abgefangen / weitergeleitet wird, ist dann nochmal eine andere Frage.

Wenn man unbedingt "anonym" surfen will, geht man halt über einen ausländischen Proxy rein, deaktiviert Cookies und surft im privaten Modus des Browsers. Mehr ist eigentlich nicht notwendig.

Leider hilft das im Zweifel dank flash cookies, automatischem Facebooklogin, brwoser id und co auch nicht

Mehr bringen tun einem die zusätzlichen Massnahmen aber auch nicht wirklich.

Flash-Cookies werden dennoch lokal gespeichert. Man kann sie aber auch einfach regelmässig löschen (dafür muss man natürlich wissen, wo diese abgelegt werden).

Browser-ID und Co bleiben weiterhin problematisch.

dem VPN Anbieter

mich stört der ausdruck ein wenig. Besser ist es sie VPN gegenstelle zu nennen.

Wieso stört dich der Ausdruck?

Da sie eine VPN-Einwahl als käuflichen Dienst anbieten, sind es VPN-Provider, also Anbieter von VPN-Einwahlmöglichkeiten - kurz VPN-Anbieter.

weil ich auch meinen router als vpn gegenstelle benutzen kann.

weil ich auch meinen router als vpn gegenstelle benutzen kann.

Dabei bist du aber kein Anbieter.

Cyberkriminelle nutzen keine Proxies und VPN-Anbieter, sondern nutzen die Hintertüren schlecht konfigurierter Server mit Hintertüren aus. Das kann ein Proxy-Server einer Firma sein, der eigentlich von außen garnicht erreichbar sein sollte oder es wird ein Server genutzt, von dem aufgrund von Sicherheitslücken das Passwort bekannt ist und dort ein VPN- oder Proxyserver per Fernzugriff heimlich installiert.

Nicht jeder Cyberkriminelle beschäftigt sich dabei damit, Hintertüren selbst ausfindig zu machen. Es gibt haufenweise dubiose Webseiten, auf denen Root-Passwörter und offene Dienste auf den Servern von Hinz und Kunz gelistet sind.

Nun... Es wird ein fremder Server (oder Mehrere) genutzt, um darüber einen Cyber-Angriff zu starten (z.B. DDOS-Attacken). Das eigentliche Opfer merkt dann, dass es von bestimmten Absender-IPs angegriffen wird und reagiert in irgend einer Weise (Anzeige bei der Polizei; Beschwerde beim Provider oder direkt beim Inhaber der Absender-IP). Nun lässt sich aber darüber nicht die Identität des Angreifers ausfindig machen, sondern ein Opfer, das gehackt worden ist. Dieses merkt dann, dass der eigene Server gehackt worden ist und findet unter Umständen sogar die Absender-IP des eigentlichen Angreifers heraus - vielleicht aber nur einen anderen Server, der ebenfalls gehackt worden ist und damit nur ein weiteres Glied in einer langen Kette.

Ermittelt die Polizei, vergeht auf jeden Fall sehr viel Zeit, bis der eigentliche Hacker ausfindig gemacht werden kann. Mit nicht zu geringer Wahrscheinlichkeit kann aber irgend ein Glied dieser Kette keine relevanten Informationen (mehr) liefern - z.B. weil der Hack-Angriff schon bemerkt worden ist und der betroffene Server bereits neu installiert wurde. Cyber-Kriminelle erreichen damit vor allem, dass die Wahrscheinlichkeit nicht nur gering ist, jemals enttarnt zu werden. Selbst wenn die Ermittlungen soweit erfolgen, dass am Ende z.B. die IP eines DSL-Anschlusses steht, würde die Identität beim ISP erst nach so viel Zeit erfragt werden, dass die Daten schon längst gelöscht sind.

Ein kommerzieller Proxy- oder VPN-Anbieter müsste im Rahmen der gesetzlichen Vorschriften mit der Polizei kooperieren, wie es ISP auch tun müssen.

Cyberkriminelle nutzen keine Proxies und VPN-Anbieter, sondern nutzen die Hintertüren [...]

Ja gut, es werden natürlich auch private oder auch öffentlich zugängliche WLANs mitgenutzt. Finde mal denjenigen, der bei McDonalds mitgesurft hat oder an einem öffentlichem Platz mit öffentlicher WLAN-Versorgung ohne Loginsicherung online war. Quasi unmöglich wenn sich mehrere Leute mit Notebook o.ä. dort aufhalten.

[...]Ein kommerzieller Proxy- oder VPN-Anbieter müsste im Rahmen der gesetzlichen Vorschriften mit der Polizei kooperieren, wie es ISP auch tun müssen.

Das gilt in Deutschland. Im Ausland gilt dies teilweise jedoch nicht, teilweise sind die Datenspeicherfristen höher, teilweise muss gar nicht mitgeloggt werden, manche Anbieter loggen einfach nicht mit, auch wenns vorgeschrieben wäre, ... amerikanische oder englische Dienste sollte man da natürlich meiden.

Davon abgesehen "hätte, wäre, wenn" ... nur weil man etwas rein theoretisch müsste, heisst das nicht zwingend, dass es auch immer gemacht wird. Wenn die Polizei nachfragt, sind die Daten halt ganz zufälligerweise aufgrund eines Hardwaredefekt nicht mehr verfügbar oder wurden irrtümlich gelöscht oder sonst etwas... im Zweifel wurde sich halt unbemerkt Zugang verschafft und es gelöscht...

Bearbeitet 30. Juni 201411 j von Crash2001