Der Schlachtplan zur Bekämpfung der IPTV-Piraterie in Europa ist da!

Der Schlachtplan zur Bekämpfung der IPTV-Piraterie in Europa ist da !!

Die Europäische Kommission hat ihre Empfehlung zur Bekämpfung der Live-Sportpiraterie in der Europäischen Union offiziell vorgestellt. Rechteinhaber und Sender waren letztes Jahr enttäuscht, als die Europäische Kommission neue Gesetze und Vorschriften ausschloss. Gibt es also irgendetwas in der heutigen Veröffentlichung, das das Machtgleichgewicht weg von billigen All-you-can-eat-Piraten-IPTV-Abonnements verschieben könnte?

Unbefugte Lieferung, technische Herausforderungen

– Der Hauptwert von Live-Sportübertragungen liegt in der Verwertung von Live-Übertragungen
– Illegale Weiterübertragungen können zu erheblichen Verlusten für Rechteinhaber/Sender führen
– Immer raffiniertere Mittel machen Inhalte über IPTV/Apps/Websites verfügbar
– Streaming-Piraterie ist ein globales Phänomen, das zunehmend auf „ Offshore-Hosting“
– Offshore-Hosting minimiert die Gefährdung von Piraten durch Urheber- oder Strafgesetze in der EU
– „Piracy-as-a-Service“ macht es einfach, Piratenseiten zu erstellen und Einnahmen zu generieren
– Einige rechtsverletzende Dienste spiegeln legitime Streaming-Dienste wider
– CDNs/ Reverse Proxys werden oft missbraucht, um Quellen von Piraten-Streams zu verschleiern

Rolle von ISPs und anderen Vermittlern, relevantes Recht

– ISPs bieten Konnektivität für Endnutzer und ein Tor zu allen Online-Inhalten
– Vermittler spielen eine entscheidende Rolle bei der Unterstützung beim Entfernen/Deaktivieren von Raubkopien
– Im EU-Recht gibt es bereits Instrumente zur Bekämpfung unbefugter Weiterverbreitung:
– Unterlassungsklagen Art. 8(3) der Richtlinie 2001 /29/EG / Artikel 9 und 11 der Richtlinie 2004/48/EG
– Allgemeiner Rahmen zur Gewährleistung einer sicheren Online-Umgebung ( Verordnung (EU) 2022/2065 )
– Bestimmte Vermittler können Inhalte nach Erhalt einer Benachrichtigung entfernen
– nur ISPs verpflichtet auf der Grundlage einer einstweiligen Verfügung handeln

In der gesamten Empfehlung stellt die EK fest, dass die Mitgliedstaaten dazu „ermutigt“ werden sollten, bestimmte Maßnahmen zu ergreifen, oder dass Vermittler möglicherweise den Weg zur Hilfe sehen, aber es gibt selten auch nur einen Hinweis darauf, dass diese Maßnahmen gesetzlich vorgeschrieben sind.

Zum Thema VPNs und DNS zur Umgehung von Sperrverfügungen sagt die EK, dass „Anbieter von Vermittlungsdiensten prüfen sollten, ob sie weitere freiwillige Maßnahmen ergreifen könnten, um den Missbrauch ihrer Dienste zu verhindern“.

Während die Anfrage einerseits vernünftig erscheinen mag, konzentrieren sich die Geschäfte von VPN-Anbietern in der Regel auf den Datenschutz, sodass die Kommunikation ihrer Abonnenten standardmäßig weder sie noch irgendjemand etwas angeht. Jeder VPN-Anbieter, der freiwillig an einem Sperrprogramm teilnimmt, würde wahrscheinlich seinen eigenen Untergang einläuten.

Maßnahmen zur Bekämpfung der Online-Piraterie von Sport- und anderen Live-Events

1 „Gefällt mir“

Jop, ich verwende ganz freiwillig vertrauenswürdige DNS-Server!

Öhm, nein! Virtual Private Networks (VPNs) wurden entwickelt, um vertrauenswürdige Endpunkte über unsichere Netzwerke zu verbinden. VPNs sind also NICHT als Anonymisierungsdienste geeignet, das ist ein Mythos. Aber hey, für 2000 Tacken/h erkläre ich das der Kommission gerne ausführlich.

Kurze Zusammenfassung der Empfehlungen des BSI und der NSA für sichere VPNs:

Die Verwendung von TLS-Tunneln auf dem OSI-Layer 4 für VPN-Verbindungen sollte vermieden werden. Dies gilt auch als Fallback (also kein OpenVPN). Die Verschlüsselung muss auf Layer 3 erfolgen, so dass auch die TCP-Header verschlüsselt werden.

Hinweis: Bei der Verwendung von VPN-Providern gilt die umgekehrte Empfehlung. In diesem Fall sollten bevorzugt TLS-Tunnel auf Layer 4 verwendet werden, da Webdienste hinter dem VPN-Server bei Layer 3 VPNs anhand der reduzierten MTU erkennen können, dass ein VPN verwendet wird. Einige Webseiten nutzen diese Information, um den Zugang zu blockieren. Zusätzlich erschwert man dem Internet Service Provider das Erkennen der VPN-Nutzung, wenn man einen TLS-Tunnel auf Port 443 (TCP) auf dem VPN-Server verwendet.

Für hohe Sicherheitsanforderungen wird IPsec/IKEv2 mit aktuellen Cipher Suites empfohlen.

Die IP-Adressen der Endpunkte sollten fest konfiguriert sein und nicht von der DNS-Namensauflösung von DNS-Servern abhängen, über die man keine Kontrolle hat.

Die Authentifizierung der Benutzer sollte nicht über Passwörter erfolgen, sondern über Zertifikate, die in einem externen Hardware Security Module (z.B. Nitrokey HSM) gespeichert sind. Die PKI, die die Zertifikate für die Benutzer verwaltet, darf nicht dem Internet ausgesetzt sein.

Die Funktionen zur Remote-Administration der VPN-Server dürfen nur über VPN zugänglich sein und nicht im Internet offengelegt werden, unabhängig davon, welche Authentifizierung verwendet wird.

Ahaa…und das hat nichts mit dem Schutz der Daten zu tun :question:

Wirst du aus meinem Munde nicht hören! Wenn du weißt, wie hier die SuFu funktioniert, findest du genügend Themen und Posts von mir, die den ursprünglichen Gedanken und Zweck eines VPN in jeglicher Art darlegen ! Das die heutzutage übliche Definition, die ca. 99% der Internet-Nutzer darunter verstehen, nur noch im Ansatz etwas damit zu tun hat, musst du mir bestimmt nicht erklären :bangbang:
Und wenn du der Meinung bist, VPN mit seinen Protokollen und Sicherheitstechniken in 10 Sätzen umschreiben zu können, dann benutze zumindest die richtigen 10 Sätze, die dabei in dem riesigen Thema auch am Besten noch einen Zusammenhang ergeben!!

===================================================================================

Schutzziele in der Netzwerktechnik:

  • Daten gegen Verlust sichern (Datensicherheit)
  • Daten gegen Diebstahl sichern (Datenschutz)
  • Daten gegen Manipulation sichern (Datenintegrität)
  • unbefugten Informationsgewinn (Verlust der Vertraulichkeit)
  • unbefugte Modifikation von Information (Verlust der Integrität)
  • unbefugte Beeinträchtigung der Funktionalität (Verlust der Verfügbarkeit)

VPN-Tunnel

Für das Tunneling gibt es zwei Ansätze. Im ersten Ansatz wird auf der Schicht 3 des OSI-Schichtenmodells das Tunneling aufgebaut. Dabei wird zur Adressierung der Schicht bzw. der Datenpakete das Internet Protocol (IP) verwendet. Man spricht dann vom IP-in-IP-Tunneling. In der Regel wird IPsec für diese Lösung verwendet.
Ein anderer Ansatz greift direkt auf der Schicht 2 des OSI-Schichtenmodells ein. Hier wird das Datenpaket der Schicht 3 verschlüsselt und dann mit der physikalischen Adresse adressiert. In der Regel werden PPTP oder L2TP für diese Lösung verwendet.

Encapsulation

0

Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentification Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management). Authentizität, Vertraulichkeit und Integrität erfüllt IPsec durch AH und ESP.
Für den Aufbau eines VPN gibt es in IPsec den Authentication Header (AH) und den Encapsulating Security Payload (ESP). Beide können gemeinsam oder eigenständig genutzt werden. In beiden Verfahren findet eine gesicherte Übertragung statt.
Das AH-Protokoll sorgt für die Authentifizierung der zu übertragenen Daten und Protokollinformationen. Das ESP-Protokoll erhöht die Datensicherheit in Abhängigkeit des gewählten Verschlüsselungsalgorithmus.
IPsec setzt kein bestimmtes Verschlüsselungs- und Authentifizierungsverfahren voraus.

0

IKE und IKEv2:

Es gibt zwei Wege für die Verwaltung und Verteilung der Schlüssel innerhalb eines VPNs. Neben der reinen manuellen Schlüsselverwaltung, kann auch das Internet Key Exchange Protocol (IKE) eingesetzt werden.
Vor der geschützten Kommunikation müssen sich die Kommunikationspartner über die Verschlüsselungsverfahren und Schlüssel einig sein. Diese Parameter sind Teil der Sicherheitsassoziation (Vertrauensstellungen) und werden von IKE/IKEv2 automatisch ausgehandelt und verwaltet.
Das Internet-Key-Exchange-Protokoll dient der automatischen Schlüsselverwaltung für IPsec. Es verwendet das Diffie-Hellman-Verfahren zum sicheren Erzeugen von Schlüsseln über ein unsicheres Netz. Auf Basis dieses Verfahren wurden einige Schlüsselaustauschverfahren entwickelt, die zum Teil die Grundlage für Internet Key Exchange bilden.
IKE basiert auf dem Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP ist ein Regelwerk, das das Verhalten der beteiligten Gegenstellen genau festlegt. Wie das zu erfolgen hat, legt IKE fest. Die Flexibilität von IKE äußert sich in seiner Komplexität. Wenn unterschiedliche IPsec-Systeme keine Sicherheitsassoziationen austauschen können, dann liegt das meistens an einer fehlerhaften IKE-Implementierung oder fehlende Verschlüsselungsverfahren.

Version 2 des Internet-Key-Exchange-Protokolls (IKEv2) vereinfacht die Einrichtung eines VPNs. Es ist wesentlich einfacher, flexibler und weniger fehleranfällig. Insbesondere soll das Mobility and Multihoming Protocol (MOBIKE) dafür sorgen, dass IPSec-Tunnel in mobilen Anwendungen erheblich zuverlässiger funktionieren.
IKEv2 korrigiert einige Schwachstellen bzw. Probleme der Vorgänger-Version. Die Definition wurde in ein Dokument zusammengefasst, der Verbindungsaufbau vereinfacht und viele Verbesserungen hinzugefügt. Insgesamt ist IKEv2 weniger komplex als die Vorgänger-Version. Das erleichtert die Implementierung, verringert Fehler und erhöht somit die Sicherheit.

Das schonmal zu IPSec (Tunnel-Protokoll) und IKE (reine Schlüsselverwaltung) :exclamation:

Aber bevor man überhaupt mit diesen Themen anfängt, sollte man erstmal wissen, was für ein VPN zum Einsatz kommen soll :question:

Typische VPN-Szenarien:

  • Site-to-Site-VPN / LAN-to-LAN-VPN / Gateway-to-Gateway-VPN
  • End-to-Site-VPN / Host-to-Gateway-VPN / Remote-Access-VPN
  • End-to-End-VPN / Host-to-Host-VPN / Remote-Desktop-VPN / Peer-to-Peer-VPN

VPN-Verbindung / IPSec in der praktischen Umsetzung:

Die Netzwerkteilnehmer im LAN 1 können auf das LAN 2 zugreifen bzw. umgekehrt die Teilnehmer aus LAN 2 auf das LAN 1. Die Verbindung über das Internet läuft über einen verschlüsselten Tunnel ab.
Die beiden Firewalls müssen beim Verbindungsaufbau ihre Identität eindeutig nachweisen. Somit ist unberechtigter Zugang ausgeschlossen. Die Kommunikation über das Internet erfolgt verschlüsselt. Sollte ein Dritter die Datenpakete protokollieren erhält er nur Datenmüll.
Damit das Routing zwischen den Netzen funktioniert müssen die Adressbereiche innerhalb der Netze unterschiedlich sein. Da die Netze sich nach der Zusammenschaltung wie eines verhalten, dürfen IP-Adressen nicht doppelt vorkommen. Deshalb muss vorab auf beiden Seiten ein eigener Adressbereich, also unterschiedliche Subnetze, konfiguriert werden. (Thema Subnetting / Supranetting)
Wenn aber z.B. NAT-Router in beiden Netzen vorhanden sind, kann trotz legitimen Schlüsselaustausch über IKE die eigentliche VPN-Verb. immer noch an NAT scheitern (Stichwort: Verfälschung IPSec-Pakete durch neu zugewiesene IP-Adressen)
Um diesem Problem zu entgehen, wird die IPSec-Erweiterung NAT-Traversal eingesetzt, die Bestandteil von IKE / IKEv2 ist.

Damit IPsec-Verbindungen mit NAT-Traversal möglich sind, müssen die Firewalls auf beiden Seiten die verschlüsselten Datenpakete durchlassen. Die Authentifizierung erfolgt über den UDP-Port 500 oder 4500. In der Regel müssen diese Ports in der Firewall geöffnet werden.
Die verschlüsselten Datenpakete werden über das IP-Protokoll 50, dem ESP (Encapsulated Security Payload), oder dem IP-Protokoll 51, AH (Authentication Header), verschickt.
Der sichere Transport von UDP-Paketen wird durch geeignete Maßnahmen im ISAKMP erreicht. So kann man auf das verbindungsorientierte TCP verzichten. Auf diese Weise haben auch viele Angriffsversuche keine Chance.

BTW:

Nicht nur ausschließlich bei VPN sind die MTU-Werte geringer, als der restliche Netzwerkdurchsatz an Datenpaketen!!

Path MTU Discovery (RFC 1191)

Path MTU Discovery bei IPv4 sieht vor, dass das DF-Bit (Don’t Fragment) im IP-Header gesetzt wird. Mit diesem Flag bekommen die Router auf dem Weg zum Empfänger mitgeteilt, dass dieses Paket nicht fragmentiert werden darf. Wenn der Router es zerschneiden muss, dann verwirft er es und schickt eine Mitteilung an den den Absender mit der Fehlermeldung zurück, dass das Paket zu groß ist und wie groß das Paket maximal groß sein darf (MTU). Der Client schickt dann das Paket mit der kleineren MTU, in der Hoffnung, dass es jetzt durchgeht. Wenn nicht, dann muss der Client das Paket noch mal verkleinern. Solange, bis das Paket erfolgreich beim Empfänger ankommt.
(MTU = Maximum Transmission / Transfer - Unit)

Für die Fehlermeldung ist ICMP verantwortlich. Leider gibt es einige Paranoide Netzwerk-Administratoren, die in den Netzwerken, die sie betreuen, die ICMP-Pakete von Firewalls sperren bzw. verwerfen lassen. Das heißt, das ursprüngliche Datenpaket wird nie beim Empfänger ankommen und der wird nie erfahren, worin das Problem liegt.
Dieses Problem tritt zum Beispiel bei VPN-Verbindungen auf. Hier müsste wegen dem Tunneling die MTU meist kleiner sein.

P.S.

Natürlich meldet der Benutzer sich in Domänen-Netzwerken mit seinem Passwort an - das diesem Nutzer dann auch parallel Berechtigungen innerhalb seiner OU zufallen und das Zertifikat sowieso im Hintergrund abgerufen wird, nennt man blöde „Benutzerverwaltung“ ! Natürlich kann man das per Smartcard und / oder USB-Key (what ever) erledigen - trotzdem müssen alle Authentifizierungsmerkmale des Nutzers im Einzelnen im Netzwerk gegengeprüft werden, z.B. über eine interne CA usw.
Früher gabs in jedem Firmen-Laptop die Möglichkeit, sich per Smartcard im Unternehmensnetzwerk zu authentifizieren - macht heute keine Sau mehr, da viel zu kompliziert und fehleranfällig!! Und wenns Läppi geklaut wird inkl. SC, dann guckste nur noch dämlich… :exclamation:

Wie ich geschrieben habe: Virtual Private Networks (VPNs) wurden entwickelt, um vertrauenswürdige Endpunkte über unsichere Netzwerke zu verbinden. Die VPN-Anbieter werben mit Datenschutz/Anonymisierung, und das ist ein Mythos! So ist das. Es gibt keinen Grund, einem VPN-Anbieter mehr zu vertrauen als einem Internetprovider wie Telekom oder Vodafone oder …
Im Übrigen ist aus den Dokumenten, die Edward Snowden bei der NSA im Zauberwürfel rausgetragen hat, bekannt, dass es bei der NSA ein besonderes Team gibt, das für die Angriffe auf VPNs zuständig ist.
grafik

Kurze Zusammenfassung der Empfehlungen des BSI und der NSA für sichere VPNs

Stammt von BSI/NSA, ich lese das auch nur. Aber aufmerksam und weiß vor allen Dingen nicht alles besser, als das Fachpersonal bei NSA und BSI.

https://www.howtogeek.com/445096/what-does-military-grade-encryption-mean/

https://www.howtogeek.com/717587/does-a-vpn-really-make-your-online-activity-private/

usw

Ja nee, is klar. Du solltest vielleicht den Ball etwas flacher halten. Ursprünglich meinte ich auch die Kommission. Du musst mir Netzwerk jedenfalls nicht erklären.

Wieso den Ball flacher halten? Das sind alles nur Dinge, die ich mal von der Pieke auf gelernt habe, angefangen vor 2,6 Dekaden…
Ich hatte nicht vor, damit was raushängen zu lassen. Ich wollte nur mal ein paar Fakten auf den Tisch knallen!

Das ist noch nicht einmal ein Mythos. Das was man im Netz als Anonymisierung verkauft, ist schlichtweg ein „Abfallprodukt“ der eigentlichen VPN-Funktion, nämlich vom End-to-Site-VPN und beim Anbieter intern dann Site-to-Site-VPN
Nur weil die Provider halt die „Sites“ an zig verschiedenen Standorten hinstellen und somit die Länder-Kennung in den IPs nutzen, suggeriert man dem Kunde, er hätte ne ausländische IP.
Viel schlimmer dabei ist eigentlich, dass die Provider eigentlich gar nicht im „Besitz“ der entsprechenden IPs sind. Das ganze interne Netzwerk wird, gerade bei den großen Providern mit z.B. 7000 Servern, ausschließlich über Vlans gemanaged.
Und wenn man es nun weiterspinnen würde, würde ich denen teilweise auch zutrauen, dass die 7000 Server (IPs), dank wahnsinnig guter Virtualisierungsmöglichkeiten und zugehöriger Orchestratoren, in einem einzigen RZ beheimatet sind auf der gegenüberliegenden Straßenseite!! :joy:

BTW:

Was die Amis machen, machen wir Deutschen aber auch!! Das Kind muss halt nur einen Namen haben:

https://de.wikipedia.org/wiki/Kommando_Cyber-_und_Informationsraum

Seit April 2023 im Dienst → https://de.wikipedia.org/wiki/Kommando_Informationstechnik-Services_der_Bundeswehr

Ich habe dort von Herbst 2021 bis Januar 2023, durch nen ehemaligen Kollegen, der sich dort für 12 Jahre erstmal verpflichtet hat, die Möglichkeiten bekommen, in Teilprojekten des Aufbaus mitzuarbeiten.
Wenn du das live mitbekommst, sind die Amis und Edward ohne Scherenhände gaaanz weit weg! Was die dort nun auf die Beine gestellt haben, kann sich mehr als sehen lassen. Da wäre sogar die Prinzessin hier neidisch drauf…

image

:rofl: :rofl:

Das hat sich für mich etwas anders gelesen, deswegen habe ich auch so weit ausgeholt - obwohl das Thema so auch nur angerissen wurde…

Bei den Amis wird halt regelmäßig geleakt und somit ist vieles gut dokumentiert. Bei uns wissen viele gar nicht, dass der BND fett aufgerüstet hat. Inklusive HQ in Berlin.
grafik

Pressemitteilung von Patrick Breyer dazu:

Unautorisierte Livestreams: Netzsperren schaden Fans und Nutzern

Die Europäische Kommission hat heute Maßnahmen zur Bekämpfung von „Livestream-Piraterie“ empfohlen. Der Text befürwortet auch „Sperrungsverfügungen“, die sich an Internetdienstanbieter (ISPs) richten, einschließlich „dynamischer“ Sperrverfügungen, die es der Industrie erlauben würden, neue Sperrziele ohne gerichtliche Überprüfung hinzuzufügen.

Die Empfehlung knüpft an die Entschließung des Europäischen Parlaments aus dem Jahr 2021 an, in der strengere Maßnahmen gegen nicht genehmigte Livestreams von Sportveranstaltungen gefordert wurden. Solche radikalen Maßnahmen würden jedoch zu einer übermäßigen Sperrung führen und an der eigentlichen Ursache für die Nutzung nicht genehmigter Livestreams vorbei gehen, argumentiert der Europaabgeordnete Dr. Patrick Breyer, der Schattenberichterstatter für den JURI-Bericht 2021 war und gegen den Text gestimmt hat.

Breyer, Mitglied des Europäischen Parlaments für die Piratenpartei Deutschland, kommentiert:

"Der Einfluss der kommerziellen Sportlobby auf dieses Thema ist allgegenwärtig und führt dazu, dass die Kommission Maßnahmen empfiehlt, die nicht nur ineffektiv, sondern auch schädlich für Fans und Nutzer im Allgemeinen wären. Netzsperren sind für Nutzer zu leicht zu umgehen. Die Sperrung ganzer IP-Adressen führt aber zu massiven Kollateralschäden für die Informationsfreiheit, da damit auch der Zugang zu zahlreichen legalen Inhalten gesperrt wird.

Alles in allem ignoriert das profitorientierte Streben nach immer drakonischeren Maßnahmen das Offensichtliche: Der beste Weg, illegales Streaming einzudämmen, wäre ein grenzüberschreitender und erschwinglicher legaler Zugang zu Sport- übertragungen online, sowohl auf Abonnement- als auch auf Pay-per-view-Basis."