No-Log VPN-Apps legen Millionen User-Identitäten offen

Kommentare zu folgendem Beitrag: vpnMentor: No-Log VPN-Apps legen Millionen User-Identitäten offen

Schon irgendwie ironisch, dass lt. Artikel den Kunden wohl angeblich „No-Log(ging?)“ offeriert wird, aber dennoch mehr Daten als benötigt „geloggt“ werden.

Mir kommt es so vor, dass die VPN-Anbieter teilweise Datensammel-Kraken ala Gockel sind und irgendwann einen evtl. dann doch kommenden „Staatstrojaner“ durchlassen müssen bzw. es wohl erschwert möglich sein könnte ihren bzw. den Kunden-Datenstrom ausreichend verschlüsseln zu können.

Und wenn das dann irgendwann vielleicht durch Mehrfach-Verschlüsselungen Resourcen-Arm/effektiv möglich wäre, die N(A)SA es vielleicht auch nicht wirklich schnell knacken kann, dann kommt irgendwann entweder ein Verbot für VPNs, oder sie dürfen für´s Anti-GEOBlocking nur ähnlich wie´n Proxy arbeiten.

Sind nur reine Spekulationen von mir.

solange du kein fraud damit betreibst, vllt mal paar seiten anguckst die nicht in deinem provider log landen sollen eher nicht so schlimm… ein müll log von milliarden… dennoch nicht cool.

Ich persönlich sehe jeden VPN Dienstleister kritisch, grundsätzlich sind das alles private Unternehmen, im Regelfall außerhalb Deutschlands. Und ob „dort“ entsprechende Logs sicherer sind, als bei einem deutschen Provider, der ja gewissen gesetzlichen Verpflichtungen unterliegt, kann jeder für sich selbst entscheiden.

Aber ggf. bieten manche VPN DLs einfach eine Art Honeypot und das Unternehmen dahinter verfolgt langfristig ggf. ein ganz anderes Geschäftsmodell… :thinking: :wink:

Und man kann im Hinblick auf die Erfahrung der letzten Jahrzehnte festhalten: wenn etwas technisch möglich ist, passiert es über kurz oder lang oder bereits JETZT.

Bei VPN-Dienstleistern ist es genau so, wie bei allen anderen Dienstleistungen im Netz - es gibt gute und es gibt böse Anbieter!
Das bei allen hier genannten Marken ein und der selbe Provider zentral dahinter hängt, sollte IMO klar sein! Die diversen Ähnlichkeiten bei allen Internetauftritten, die anscheinend auch mit dem gleichen Programm erstellt wurden, sowie die Nutzung der gleichen DB-Server, sollten dies erstmal belegen!

Hinzu kommt der Webauftritt, der „verschiedenen“ Anbieter. Habe mal stichprobenartig geschaut:

  • securevpn.im
  • supervpn.im
  • free-vpn.io
  • fastvpn.im

…nutzen anscheinend alle den selben Webserver, denn der A-Record für alle vier Domains wäre hier die IP = 107.23.61.74 (AWS).

Auffällig ist natürlich auch, dass alle sieben Anbieter sich ausschließlich an Smartphone-Benutzer wenden, welche ja zumeist beim jüngeren Publikum genutzt werden für den Internetzugriff, und welche eventuell noch nicht so erfahren sind im Umgang mit dem Internet…
Seriöse VPN-Provider bauen normalerweise ihren Dienst über alle Plattformen hinweg aus, da stehen Windows, OSX, Linux und spezielle Routersoftware etc. im Vordergrund, bevor Apps für Telefone entwickelt werden!

1 „Gefällt mir“

Verbindungen von VPN-Diensten sind für anonymes Surfen unerlässlich. Sie dienen zum einem dem Schutz gegen Cybercrime, um keine sensiblen Daten preiszugeben, wie Kreditkartendaten oder Dokumente, zur Missbrauchsvorbeugung.

? ist dafuer https nicht ausreichend?

Nein, denn HTTPS ist nur eine Protokoll-Erweiterung, die dich in keinster Weise im Internet anonymisiert!
HTTPS bzw. HTTP Secure ist die Anwendung von HTTP in Verbindung mit Verschlüsselung und Authentifizierung. Wobei in der Regel nur der angefragte Webserver sich mit einem Zertifikat authentisieren muss.
Ob eine SSL-Verbindung mit HTTPS sicher ist oder nicht bestimmt in der Hauptsache das Verhalten des Clients bei der Überprüfung des SSL-Zertifikats des Servers. Der Client muss prüfen, ob das vom Server vorgelegte Zertifikat ihm gehört und ob es noch gültig ist. Dazu verwendet der Client OCSP (Online Certificate Status Protocol), um bei der verantwortlichen Zertifizierungsstelle (Certificate Authority, CA) nachzufragen. Diesen Vorgang nennt man Validierung.

Die Implementierung von OCSP im Browser ist allerdings generell defekt. Wenn der Browser nach einer bestimmten Zeit keine Antwort von der Zertifizierungsstelle bekommt, dann muss er das Zertifikat ungeprüft akzeptieren. Das bedeutet, wenn ein Angreifer in der Lage ist, die Validierung in irgendeiner Weise zu behindern, kann er den Verbindungsaufbau manipulieren und sich beispielsweise als Man-in-the-Middle trotz Verschlüsselung in die Verbindung zwischen Client und Server einklinken.
Ein weiterer Knackpunkt, den jede verschlüsselte Verbindung mitbringt, ist wenn der Sitzungsschlüssel übertragen wird. Oder wenn der geheime Schlüssel bekannt wird und man dadurch auf die Sitzungsschlüssel schließen kann und aufgezeichnete, verschlüsselte Übertragungen nachträglich entschlüsseln kann.
Hinzu kommt, dass HTTPS nur eine Protokoll-Erweiterung ist, die von einem Web-Browser genutzt wird. Ein Computer bzw. der Nutzer kommuniziert aber noch über ganz andere Wege mit dem Internet, die mit HTTPS nichts gemein haben und somit erstmal völlig unverschlüsselt mit dem Netz kommunizieren würden!