Kommentar von Lars Sobiraj:
#Transparenz: Hier sind die Fragen, die ich am Sonntag an Perfect Privacy geschickt habe.
Die Einrichtung auf einem Rechner mit Mac OS X gestaltet sich relativ einfach: Tunnelblick (OpenVPN-Frontend) installiert, Config-Dateien von der PP-Webseite heruntergeladen und importiert, fertig. Was muss ich grundsätzlich beachten, wenn ich wirklich anonym unterwegs sein will? Darf ich im Browser Flash, JavaScript oder JAVA anlassen? Muss ich mich bei meinem PC mit einem Gastzugang anmelden?
Wer braucht einen solchen Service wie PP? Dissidenten? Whistleblower? Oder primär Sauger und Cyberkriminelle?
Sollten die Nutzer einem Projekt vertrauen, welches Offshore gegründet und niedergelassen wurde? Warum gibt es kein deutsches Impressum oder ein Unternehmen innerhalb der EU?
Mal eine dumme technische Frage. Wie kriegen die über dieses Webtool meine exakte Position heraus? (Zugegeben: Ich habe vorher zugestimmt, dass meine Lokalisation übertragen wurde.) Das Beispiel zeigt doch, wie dünn das Eis ist auf dem wir uns bewegen.https://www.whatsmyip.org/more/ Was zum Henker ist standortbezogenes Surfen?
Die Vectura Datamanagement Limited Company im Schweizer Zug ist erst seit Februar 2015 im House of Companys eingetragen. Gibt es die Firma wirklich? Wie kam es zum Wechsel der Betreiberfirma?
Werden -wie versprochen- wirklich keine Logs angelegt?
Wie viele Personen sind aktuell am Betrieb von PP beteiligt?
In welchem Land wird die technische Infrastruktur gewartet? Welche rechtlichen Konsequenzen hat dies für Nutzer als auch Betreiber?
Womit wird eigentlich der hohe Preis von Perfect Privacy gerechtfertigt?
Ist dieser Dienst wirklich sicher? Und wenn ja, warum ist er sicherer als die Angebote der Konkurrenz?
Wäre ein oft genutzter VPN nicht auch ein idealer Honeypot für Ermittlungsbehörden und/oder Geheimdienste!? Die Betreiber können ja im Detail sehen, was die Anwender im Internet getrieben haben.
Perfect Privacy wird derzeit nach eigenem Bekunden von Personen betrieben, die politisch neutral eingestellt sind. Hat sich der rechte Hintergrund erledigt? Warum wurden die Administratoren mit rechtem Hintergrund nicht früher aus dem Projekt geworfen?
Nutzen noch immer rechte Kräfte mit eurem Wissen den Dienst? Kann man als Admin überhaupt in Bezug auf die Nutzer, zwischen richtig und falsch oder gut und böse unterscheiden?
Was hat sich bei Euch nach den ganzen Hausdurchsuchungen verändert?
Wie schafft ihr es euch vor weiteren Hausdurchsuchungen/Gerichtsverfahren zu schützen, wenn ihr bereits Hausdurchsuchungen hattet und den Ermittlern eure echten Daten bekannt sind?
Was geschieht mit den PP-Servern innerhalb der EU, sofern EU-weit die Vorratsdatenspeicherung eingeführt wird?
Welche Prozedur wird bei Anfragen von Behörden oder von Geheimdiensten eingeleitet und vollzogen? Was passiert dann im Detail?
Bei welchen strafrechtlichen oder sonstigen Delikten wird die Identität der Nutzer auf Druck der Behörden preisgegeben? Beim Filesharing spielt das sicher keine Rolle, wie sieht das hingegen bei Verstößen gegen den Hackerparagrafen aus? Wie bei Geldwäsche, Organisierter Kriminalität oder dem Vertrieb von kinderpornografischen Werken?
Wenn Perfect Privacy tatsächlich niemals Daten herausgeben sollte, welchen zusätzlichen Sicherheitseffekt hast das Hintereinanderschalten (Cascading) mehrerer VPN Verbindungen?
Wie sicher ist es, einen deutschen Perfect Privacy VPN Server zu nutzen? Kann auch darüber Anonymität gewährleistet werden? In welchen Fällen sollte man lieber auf die Server im Ausland ausweichen? In welchen Fällen sollte man keine Server nutzen, die in einem der Five Eyes-Staaten beheimatet sind? (UKUSA-Vereinbarung)
Wie treten die Behörden beziehungsweise Geheimdienste überhaupt an euch heran? Die „Unternehemensstruktur“ und Eigentümerverhältnisse werden von Euch ja sehr aktiv verschleiert.
Was die US Server angeht - was ist mit National Security Letter?
Gibt es in verschiedenen Nationen die Pflicht zu Loggen? Würde sich PP in dem Fall nicht sogar strafbar machen, weil (offiziell) gar keine Logfiles angelegt werden?
Wurde euch seitens Regierung(en), Geheimdiensten oder sonstigen Einrichtungen
Geld für das verraten der Daten/Logs/sniffen/Honeypot/etc. angeboten?
Gibt es irgendwo eine Liste mit E-mail-Adressen der offiziellen Ansprechpartner für CSPliche IP-# und Kundendaten-Anfragen ohne Court-Order?
Welche Kosten entstehen den Behörden für Auskünfte „auf dem kleinen Dienstweg“? ( gestaffelt nach Qualität der Aussage).
Welcher bzw. wessen (Staat) Gerichtsbarkeit unterliegt PP eigentlich?
Wie viele Anfragen von den Behörden kommen im Jahr zirka?
Stimmt das: Viele Exit-Nodes von TOR sind kompromittiert bzw. werden von einem der Geheimdienste als Honeypot betrieben? Wer politischen Widerstand leistet, muss sich auf derartige Dienstleistungen zu 100% verlassen können. Wie sichert ihr eure Server gegen Zugriffe von außen ab? Ihr seid ja nicht vor Ort.
Ist eine TOR-Verbindung zum VPN erlaubt? Wenn ja, gibt es dazu auch eine Anleitung? Wie darf man TOR mit PP verknüpfen, um die Sicherheit zu erhöhen?
Was sagt ihr zu der Aussage: „Ein VPN ist (für Geheimdienste, behördliche Ermittler etc.) ein nettes Hindernis aber kein Schutz.“ ?
Stimmt das? „Fragt eine Behörde offiziell an, dann gibt es Daten. Dem hingegen regt sich niemand über Verstöße im Bereich Copyright/Urheberrecht auf.“
Was wird konkret bei der Bezahlung mit Paysafecards bei PP gespeichert? Der Anbieter Paysafecard erlaubt bei der Bezahlung nicht die Nutzung eines VPN. Man soll dazu gezwungen werden, bei der Bezahlung die echte IP-Adresse zu nutzen. Oder ist die Anonymität der Nutzer gewährleistet, sofern man die PSC an einer Tankstelle o.ä. erworben hat?
Wann werden SOCKS5 angeboten? Wann ein IPv6 Support oder das IKEv2 Protokoll?
Einen Transparenzbericht konnten wir bisher nicht auf der PP-Webseite ausfindig machen. Wie steht es damit?
Mache ich durch die Nutzung eines solchen Dienstes eventuell sogar auf mich aufmerksam? Soll heißen: Alle, die einen solchen Dienst benutzen, wollen etwas verbergen, sind also interessant für die Behörden. Vielleicht komme ich so erst auf eine Liste, auf die ich nie wollte. (nicht No Fly aber No Surf oder so ähnlich)
Sollte man für private (Facebook) und geschäftliche Tätigkeiten (E-Mail etc.) aus Sicherheitsgründen verschiedene Anbieter nutzen? Oder eventuell verschiedene Server?
Das Impressum ist kurz gesagt „interessant“. Im WhoIs steht nur eine Offshore Firma aus Belize mit einem deutschen Namen (Frank Weilheim) als Vertreter. Auf wen soll das vertrauenserweckend wirken.
I3d als Datacenter der Webseite erscheint interessant, weil es mal zu Oboom zugehörig war. Welche Verbindungen gibt es zum Sharehoster Oboom?
Wie will PP garantieren, das das Unternehmen keine Tarnorganisation eines Geheimdienstes ist? Wäre das überhaupt möglich, das Gegenteil zu beweisen?
Zum moralischen Aspekt: Findet ihr (Perfect Privacy) es okay, kriminellen Individuen Schutz zu bieten?
Wenn ihr bereit wärt, etwas dagegen zu unternehmen, wie würden eure Maßnahmen konkret aussehen?
Nach welchen Kriterien (neben Auslastung aktueller Server) wird entschieden, an welchem Standort neue Server angemietet werden? Inwiefern spielen Pressefreiheit bzw. deren Gesetzgebung in dem jeweiligen Land eine Rolle, und wie wichtig ist die Seriösität des Hosters der potentiellen Server?
Wenn PP als Kunde dort auf deren Servern keinerlei Daten der Benutzer speichert, wie wird ausgeschlossen, dass der Hoster selber ein- und ausgehenden Datenverkehr in seinem RZ speichert, und wie wirkt sich diese eventuell vorhandene Diskrepanz auf die Anonymität der PP-Kunden aus?
Wie viele Abuse-Meldungen bekommt ihr so zirka pro Tag rein? Sagen die Hoster nichts dazu?
