Privacy Handbuch
Aus der Werbung eines angeblichen VPN-Anonymisierungsdienstes:
"Verbergen Sie Ihre Online-Identität und surfen Sie anonym im Netz!"
Bullshit! VPNs wurden NICHT als Anonymisierungsdienste konzipiert sondern für die Verbindung zwischen vertrauenswürdigen Endpunkten über unsichere Netze. Das Angreifermodell, gegen das VPNs schützen sollen, geht davon aus, dass ein Angreifer nur den VPN-verschlüsselten Datenverkehr beobachten oder angreifen kann und nicht den unverschlüsselten Datenverkehr hinter einem der beiden Knoten sieht.
Einen VPN Anbieter als Anonymisierungsdienst zu nutzen, ist wie Suppe mit der Gabel löffeln. Es wird das falsches Tool für für eine Aufgabe genutzt, dass nur einen Teil der Probleme löst.
Für den Einsatz als Billig-Anonymisierer sind VPNs konzeptuell nicht geeignet, weil:VPNs verändern lediglich die IP-Adresse eines Internetnutzers. Für Trackingdienste ist die IP-Adresse aber nur ein geringwertiges Trackingfeature. Durch die Verbreitung mobiler Internetnutzung mit ist der Wert dieses Merkmals weiter gesunken. Modernes Tracking verwendet Browser Fingerprinting und EverCookies, gegen die VPNs nicht schützen. Somit ist durch VPNs keine Anonymität bei Surfen gegeben.
(Anonymisierungsdienste wie Tor Onion Router adressieren das Problem durch eine einheitliche Browserkonfiguration (TorBrowser), die eine Anonymitätsgruppe schafft, in der einzelne Surfer nicht unterscheidbar sind.)
Ein Angreifer, der neben dem verschlüsselten VPN Traffic auch den Datenverkehr beobachten kann, der hinter dem VPN Server raus kommt, kann die IP-Anonymisierung einfach durch Traffic Korrelation aushebeln. Die mathematischen Grundlagen lernt man im Mathe Grundkurs.
Hermann/Wendolsky/Federrath haben bereits 2009 in dem Paper Attacking Popular Privacy Enhancing Technologies with the Multinomial Naïve-Bayes Classifier gezeigt, dass man die Nutzer eines OpenVPN Anonymisierers zu 95% durch Beobachtung des Eingangs- und Ausgangstraffics des VPN-Servers deanonymisieren kann ohne die Krypto zu knacken.
In der Praxis werden vergleichbare Techniken beispielsweise von der Firma Team Cymru eingesetzt, um sogenannte Bad Actors im Internet zu identifizieren, die der Meinung sind, sie könnten sich hinter einem VPN Server verstecken und wären dann anonym. Man muss dabei nicht alle VPN Server weltweit selbst beobachten sondern kann die benötigten Daten von den Backbone Providern kaufen und dann zur Deanonymisierung von VPN Nutzern auswerten.
US-Behörden wie die Spionageabwehrbehörde Defense Security Service (DSS) sollten die Netflow Daten zur Deanonymisierung von VPN Nutzern eigentlich bei der NSA abrufen und dann selbst auswerten. Routine für die Auswertung ist vorhanden. Weil die NSA aber zu langsam reagiert und oft einige Tage für eine Antwort braucht, kauft beispielsweise das DSS häufig die akkumulierten Netflow Daten von der Firma Team Cymru.
- Ein VPN Betreiber hat wie ein Internet Zugangsprovider Zugriff auf das gesamte Nutzungsverhalten. Das erfordert ein hohes Maß an Vertrauen in den VPN Betreiber, was bei vielen Betreibern nicht gerechtfertigt ist.
- Der von Facebook betriebene VPN-Dienst Onavo spioniert seine Nutzer aus und speichert, welche Apps und Internetdienste die Nutzer verwenden. Damit kann Facebook frühzeitig Konkurrenten erkennen und darauf reagieren.
- Der VPN Dienst AnchorFree verwendet JavaScript im Angebot Hotspot Shield Free, um IFrames mit personalisierten Werbeanzeigen zu injizieren und außerdem den Standort des Nutzers zu tracken. Eindeutige Merkmale wie MAC-Adressen und IMEI-Nummern werden an Werbenetzwerke weitergegeben und damit sind die Nutzer deanonymisiert.
- Bei vertrauenswürdigen VPN Providern ist zu beachten, dass sie den Gesetzen des jeweiligen Landes folgen müssen. Da diese Dienste wie Zugangsprovider zum Internet arbeiten, kann sich daraus eine deutliche Absenkung der Sicherheit und Privatsphäre ergeben, wenn die Gesetze des Heimatlandes des VPN Anbieters eine Vorratsdatenspeicherung fordern oder unlimitierten Zugriff auf den entschlüsselten Datenverkehr für Geheimdienste.
- HideMyAss (Testsieger beim VPN Magazine) hat z.B 2011 den LuzSec Hacker Cody Kretsin, der dem Anonymitätsversprechen von HideMyAss vertraute, an das FBI verraten. Dabei hat HideMyAss im Rahmen der gesetzlichen Vorgaben kooperiert.
- PureVPN ist ebenfalls ein hoch bewerteter und oft als besonders vertrauenswürdig gelobter VPN Dienst. PureVPNs Privacy Policy:
We do NOT keep any logs that can identify or help in monitoring a users activity.
Außerdem:PureVPN specifically chose Hong Kong (HK) for its headquarter because there are "No Mandatory Data Retention Laws" in Hong Kong.
Trotzdem hatte PureVPN die Logdaten und die Hilfsbereitschaft gegenüber dem FBI, um anhand von IP-Adressen einen Stalker aus den USA zu identifizieren.