So wie ich es in der letzten Wochen gelesen habe, werden von Internetnutzern Profile erstellt indem die Meta-/Verbindungsdaten aufgezeichnet werden. Also wann ich auf welche HPs zugreife oder an wen oder von wem ich E-Mails erhalte, aber keine Informationen über den Inhalt der Mails.

Davor würde ich mich gerne schützen und habe nun widersprüchliches zu VPNs gelesen. Auf der einen Seite werden die empfohlen um seine eigene IP zu anonymisieren, unter anderem gerade in der Computerbild und auf der anderen Seite stand in dem c't Artikel zu "Privat trotz PRISM": Im nächsten Schritt gilt es, die eigene IP-Adresse zu verbergen. Anonymisierende Proxies oder VPN-Dienste, mit denen man beispielsweise Regionalsperren ausländischer Videoportale umgehen kann, eignen sich wenig: Zu groß die Gefahr, dass diese zentralen Knoten besonders intensiv überwacht werden.

Statt VPNs werden dezentrale Dienste wie Tor und JonDonym empfohlen. Ich bin verwirrt und würde gerne mal eure Meinung zur Wirksamkeit von VPNs wissen.

da steht doch eigentlich ganz gut wo das Problem liegt - was genau verunsichert dich?

letztendlich hast du keine Möglichkeit es mit absoluter Sicherheit zu verifizieren was geschieht... du kannst ja auch Pech haben und bei einem kompromitierten TOR-Knoten rauskommen.

wenn du dir "irgendein" Anonymisierungstool oder VPN besorgst weißt du auch nicht ob dahinter im Zweifel nicht die NSA steht oder sonstwer...

wenn man nicht ALLES komplett selbst macht und dementsprechendes Know-how besitzt bleibt einem nichts anderes übrig als abzuwägen welchen Maßnahmen man vertraut.

du kannst ja auch Pech haben und bei einem kompromitierten TOR-Knoten rauskommen.
Das ist egal, da der nichts davon weiß woher die Daten kamen.

Das ist egal, da der nichts davon weiß woher die Daten kamen.
Meines Wissens nach ist auch Tor nicht sicher, wenn man über einen "unsicheren" Server wieder aus dem Tor-Netzwerk herausgeleitet wird, da am Ende die Verschlüsselung wieder aufgehoben wird (der letzte Computer sieht weiterhin alle unverschlüsselten Inhalte inclusive der Quell-IP).


Greez

da steht doch eigentlich ganz gut wo das Problem liegt - was genau verunsichert dich?

letztendlich hast du keine Möglichkeit es mit absoluter Sicherheit zu verifizieren was geschieht... du kannst ja auch Pech haben und bei einem kompromitierten TOR-Knoten rauskommen.

wenn du dir "irgendein" Anonymisierungstool oder VPN besorgst weißt du auch nicht ob dahinter im Zweifel nicht die NSA steht oder sonstwer...

wenn man nicht ALLES komplett selbst macht und dementsprechendes Know-how besitzt bleibt einem nichts anderes übrig als abzuwägen welchen Maßnahmen man vertraut.
Naja, ich besitze nicht soviel Know How, sondern bin auf fertige Lösungen angewiesen. Mich verunsichert die Aussage der c't das alle zentralen VPNs unsicher seien und damit letztendlich auch nutzlos für mein Anliegen. Eigentlich hatte ich mir die Computerbild gekauft, weil das beiliegende cyberghost VPN Schutz vor PRISM verspricht. Nun bin ich mir nicht mehr sicher und hab diesen Thread in der Hoffnung eröffnet, dass mir jemand erklären kann, ob ein solches oder anderes VPN hilft oder eher nicht.

wenn du dir "irgendein" Anonymisierungstool oder VPN besorgst weißt du auch nicht ob dahinter im Zweifel nicht die NSA steht oder sonstwer....

Was mir gerade auffällt, ich habe den Satz im c't. Artikel so verstanden, dass VPNs aufgrund ihrer zentralen Struktur intensiv von Außen technisch überwacht werden. Nicht, das sie im Zweifel der NSA freiwillig ihre Kundendaten geben, wie du es formuliertest. Oder habe ich das falsch verstanden?

Was hilft das ganze wenn man einmal über Tor einmal normal und einmal über VPN reingeht ...

Der Hausrouter hat eine MAC Adresse und die ist dann schon einmal bekannt . Also wird wieder auf die Adresse zurückgegriffen beim Daten sammeln egal wo nun die verschleierte IP herkommt .

Wer Paranoia schiebt -> geht am besten offline .

Und wer nochmal drüber nachdenkt wer das Internet entwickelt hat ..

Das Internet ging aus dem im Jahr 1969 entstandenen ARPANET hervor, einem Projekt der Advanced Research Project Agency (ARPA) des US-Verteidigungsministeriums

Und wer meint ihr weis mehr drüber als derjenige der es "Entwickelt" hat .

Nun TOR ist schon recht ok, nur was man sehr schnell merken wird, die Geschwindigkeit ist deutlich geringer.
Daher sehen die Seiten des Darknet wohl auch aus wie in den 90ern. ;)

mal zusammenfassend:
TOR: grundsätzlich wohl ne ordentliche Sache, jedoch in der Praxis absolut untauglich, da zu langsam. Bei nem kompromittierten Endknoten kann man eben auch "aufgeschmissen" sein - z.B. wenn man selbst "blöd" ist und keine SSL-verschlüsselten Seiten besucht oder keine verschlüsselten Verbindungen oder Daten sendet.

VPN: ist keine Wunderwaffe - auch hier muss man eben wissen wer am anderen Ende sitzt, das sicherstellen und vor allem einigermaßen Vertrauen haben... einen VPN zu nutzen und zu denken dass dann alles gut sei ist leider illusorisch.

Zum Threadstarter: das was du möchtest gibt es (derzeit und wohl auch grundsätzlich) nicht. 100% Sicherheit kann man prinzippedingt nicht erreichen (je nachdem WIE paranoid man ist). Je weniger Aufwand es habe und je weniger störend die Einschränkungen sein sollen, desto "unsicherer" ist es auch. Das wichtigste und größte Problem ist gar nicht mal so sehr die Technik (natürlich auch), sondern vor allem der User und seine Kenntnisse bzw. sein Umgang mit der Geschichte.

Ohne ein zumindest grundlegendes Verständnis von dem was du tust wird wird es nix werden.. und gerade der Computerbild wegen irgendeinem xyz-kostenlos-vpn hinterherzulaufen ist sicherlich auch kein Schritt in die erwünschte Richtung ;)

die Sache ist kompliziert, schwierig und ziemlich beängstigend und frustrierend wenn man es sich von vorne bis hinten anschaut. Man kann sich nicht sicher sein was geschieht - man kann sich nur aussuchen wem und was man in welchem Maße vertraut und dann hoffen, dass man auf das richtige Pferd setzt ;)

Umsonst gibts nicht die Schreibmaschine wieder für Top Secret Dokumente ...

Der Hausrouter hat eine MAC Adresse und die ist dann schon einmal bekannt . Also wird wieder auf die Adresse zurückgegriffen beim Daten sammeln egal wo nun die verschleierte IP herkommt .
Nope, die MAC-Adresse spielt auf der IP-Ebene keine Rolle mehr, der Empfänger "sieht" nur noch die IP-Adresse des versendenden Routers.



Greez

Meines Wissens nach ist auch Tor nicht sicher, wenn man über einen "unsicheren" Server wieder aus dem Tor-Netzwerk herausgeleitet wird, da am Ende die Verschlüsselung wieder aufgehoben wird (der letzte Computer sieht weiterhin alle unverschlüsselten Inhalte inclusive der Quell-IP).
Das ist korrekt, man muss zusätzlich immer SSL verwenden. Ansonsten sind die Daten die übertragen werden so wie auf ner Postkarte auch wenn sie über drei Briefträger gehen die nichts voneinander wissen.

Das ist korrekt, man muss zusätzlich immer SSL verwenden. Ansonsten sind die Daten die übertragen werden so wie auf ner Postkarte auch wenn sie über drei Briefträger gehen die nichts voneinander wissen.

aber auch hier ist man leider nicht vor Problemen geschützt: Chaosradio zu SSL (http://blog.chaosradio.ccc.de/index.php/2011/09/29/cr-172-ssl-oder-einmal-aufmachen-bitte/)

letztendlich heißt das alles nicht, dass man komplett auf Maßnahmen verzichten sollte! Je nachdem wie sensibel die Daten sind, die versendet werden sollte man sich all dieser Problemchen eben bewusst sein.

Wie willst du bitte eine Man-In-The-Middle-Attacke auf SSL anwenden wenn du den Weg zum Server nicht kennst?

Dann wäre der Angreifer sowieso direkt im Rechenzentrum und du hättest verloren.

Dann wäre der Angreifer sowieso direkt im Rechenzentrum und du hättest verloren.
Das alleine reicht auch noch nicht um SSL Streams einsehen zu können.
Dem Client muss dazu ja ein Zertifikat untergejubelt werden, welchem er vertraut. Aka muss dieser Mann in der Mitte die Möglichkeit haben, für all die HTTPS Seiten welche der Client besuchen will, ein selbst signiertes Zertifikat zu erstellen.....und dazu müsste im ersten Schritt auf diesem Client selbst das root Zertifikat dazu in den thrusted store injected worden sein. (dazu muss dieser PC also schonmal gehackt werden)

Oder natürlich Verisign oder einer der andern grossen gibt der NSA und Co. ihren eigenen Key, was ich aber nicht glaube.
Denn wenn das mal auffliegen würde (was garantiert passiert wenn es eingesetzt wird - einer der Überwachten wird sicher mal herausfinden, dass ihm da gefälsche Certs untergejubelt werden) wären auf einen Schlag Millionen von seriösen Websites nicht mehr vetrauenswürdig und es gäbe einen Billionenschaden.
Vorstellbar wäre aber, dass es ein als Signer XYZ getarntes NSA Cert - mal in den Windows keystore schafft.
Nur sobald der erste Fall auffliegt wo dieses für Man-In-The-Middle-Attacken verwendet wurde, ist auch vorbei mit der ganzen Herrlichkeit, da es dann garantiert auf eine rejectListe kommt und per Hotfix aus dem Store wieder entfernt wird.

Das alleine reicht auch noch nicht um SSL Streams einsehen zu können.
Dem Client muss dazu ja ein Zertifikat untergejubelt werden, welchem er vertraut. Aka muss dieser Mann in der Mitte die Möglichkeit haben, für all die HTTPS Seiten welche der Client besuchen will, ein selbst signiertes Zertifikat zu erstellen.....und dazu müsste im ersten Schritt auf diesem Client selbst das root Zertifikat dazu in den thrusted store injected worden sein. (dazu muss dieser PC also schonmal gehackt werden)

Oder natürlich Verisign oder einer der andern grossen gibt der NSA und Co. ihren eigenen Key, was ich aber nicht glaube.
Denn wenn das mal auffliegen würde (was garantiert passiert wenn es eingesetzt wird - einer der Überwachten wird sicher mal herausfinden, dass ihm da gefälsche Certs untergejubelt werden) wären auf einen Schlag Millionen von seriösen Websites nicht mehr vetrauenswürdig und es gäbe einen Billionenschaden.
Vorstellbar wäre aber, dass es ein als Signer XYZ getarntes NSA Cert - mal in den Windows keystore schafft.
Nur sobald der erste Fall auffliegt wo dieses für Man-In-The-Middle-Attacken verwendet wurde, ist auch vorbei mit der ganzen Herrlichkeit, da es dann garantiert auf eine rejectListe kommt und per Hotfix aus dem Store wieder entfernt wird.

Warum so umständlich? Ein eigenes Root Signing Zertifikat bekommt man ab 10000 Euro pro Jahr. Damit hat man eine Sub CA, die als oberste Vertrauensstellung die ROOT CA des Anbieters hat, die in fast jedem Browser/System ist (je nach Verbreitung der CA). Damit kann man sich jedes Zertifikat ausstellen und es ist automatisch trusted, Thema gegessen.

Warum so umständlich? Ein eigenes Root Signing Zertifikat bekommt man ab 10000 Euro pro Jahr. Damit hat man eine Sub CA, die als oberste Vertrauensstellung die ROOT CA des Anbieters hat, die in fast jedem Browser/System ist (je nach Verbreitung der CA). Damit kann man sich jedes Zertifikat ausstellen und es ist automatisch trusted, Thema gegessen.Perspectives oder ein dazu analoges Browser-Addon hilft

Perspectives oder ein dazu analoges Browser-Addon hilft

Einigen wir uns auf 100% Sicherheit gibt's nicht. Bei deinem Beispiel muss man erstmal Perspectives/dem Plugin vertrauen und sicher sein, dass dort im Code kein Murks ist bzw. deren Server keinen Mist/falsche Daten/oder selbst per mitm eingeschleuste Daten zurück liefern.

Gibt's eigentlich ein FF Addon gegen PRISM?
Damit meine ich ein Filter der sämtliche Themen bzgl. PRISM ausblendet, weil langsam wird's echt öde mit dem journalistischen Sommerloch.

Grad gelesen und denk das passt hier fein um Panik zu schüren. :tongue:

WLAN-Daten: Google kopiert Passwörter unverschlüsselt auf eigene Server (http://www.t-online.de/handy/smartphone/id_64534882/-wlan-daten-google-kopiert-passwoerter-unverschluesselt-auf-eigene-server.html)

Fazit: Andr0it bleibt vorerst draußen :mad:

http://www.golem.de/news/android-wlan-kennwoerter-liegen-unverschluesselt-auf-googles-servern-1307-100446.html

"Auch auf einem Android-Gerät werden die WLAN-Kennwörter im Klartext abgespeichert. Da Android auf Linux basiert, ist das nicht weiter überraschend. Nur wenn auf einem Android-Gerät Root-Rechte freigeschaltet sind, kann die betreffende Datei mit den WLAN-Zugangsdaten ausgelesen werden. Die Datei bcm_supp.conf enthält die Zugangsdaten und liegt je nach Modell in dem Verzeichnis /data/wifi/, /data/etc/wifi/ oder /data/misc/wifi/."

Warum so umständlich? Ein eigenes Root Signing Zertifikat bekommt man ab 10000 Euro pro Jahr. Damit hat man eine Sub CA, die als oberste Vertrauensstellung die ROOT CA des Anbieters hat, die in fast jedem Browser/System ist (je nach Verbreitung der CA). Damit kann man sich jedes Zertifikat ausstellen und es ist automatisch trusted, Thema gegessen.
Um ein neues CA unter die Leute, aka auf die Computer zu bringen braucht es Jahre.
Und wie schon erwähnt, wenn auch nur 1 Fall auffliegt bei dem dieses root Cert verwendet wurde um MitM Attacks zu realisieren, ist es komplett unbrauchbar geworden und man kann wieder vorne anfangen.