Google stuft Symantec SSL schrittweise runter

Symantec und SSL-Zertifikate: 40% Marktanteil und demnach häufig im Internet zu finden. Allerdings läuft nicht alles gut bei Symantec.

Internet2

Vor einiger Zeit stellte Symantec ein Zertifikat auf die Google.com Website aus. Da es nicht von Google beauftragt wurde ist Symantec bei Google in Ungnade gefallen.
Nun setzt Google im Chrome-Browser eigene Zeitbegrenzungen für SSL. Ab Version 59 wird nur noch 33 Monate vertraut, ab Version 64 dann nur noch 9 Monate. Da man sich eh jedes Jahr um sein Zertifikat kümmern sollte und zumindest prüfen sollte ob das Zertifikat noch so passt wie es damals war.

Symantec darf sich also nicht weitere Fehler leisten, neben dem Ablauf der Zertifikate könnte Google natürlich auch gleich der ganzen Ausgabestelle nicht mehr vertrauen und damit wäre ein Großteil der Websites im Internet im am weitesten verbreiteten Webbrowser nur noch als unsichere Website aufrufbar.

via

Idee: Amazon Glacier als Backup-Lösung

Amazon hat mit Glacier das Tapedrive in die Cloud gebracht. Mit dem Dienst kann man Daten einfach nur sichern. Allerdings „kalt stellen“ – d.h. ein Set Dateien wird hochgeladen und ist dann auch erst mal nicht zugreifbar.
Weil Amazon das u.U. mit anderen Daten zusammen auf ein Band packt und einfach nur einlagert. Damit sind eure Daten zwar sicher, auch für gut 70-80 Jahre, im Gegensatz zu Dropbox und co gibt es dafür dann aber keinen Zugriff.

Glacier lohnt sich also nicht für User die ständig irgendwelche Backups machen müssen, sondern nur um z.B. einmal das NAS in die Cloud zu spiegeln.

https://commons.wikimedia.org/wiki/File:Interior_of_StorageTek_tape_library_at_NERSC_(1).jpg
Wikimedia Commons „Interior of StorageTek tape library at NERSC“ (CC0)

Dafür ist Glacier billig. Das reine speichern eurer Daten kostet je nachdem wie viel ihr habt deutlich weniger als bei Dropbox und co. Unter Umständen schlägt Amazon mit Glacier sogar die Festplatte, die auf den Dachboden gelegt wird.

Die Grundidee die ich nun habe – Amazon schlägt mit den Preisen Dienste wie Crashplan und co. – und bietet eigentlich genau den gleichen Einsatzzweck an – nur ist bei Crashplan die Rücksicherung mit drin.
Das wäre bei Glacier wieder teurer und vor allem umständlich. Wer Daten wieder haben möchte muss natürlich erst einmal darauf warten bis Amazon-Mitarbeiter das Tape mit deinen passenden Daten gefunden haben und entsprechend rückgesichert haben – so dass man es eben abrufen kann. Dann kostet eine Rücksicherung gut und gerne mal ein Jahrespreis von Crashplan.
Da man aber in den seltensten Fällen von Glacier zurücksichern muss, könnten die Preise sich mehr rechnen als Crashplan und co.

Hat jemand von euch bereits Glacier eventuell auch beruflich in Verwendung, oder sichert ihr noch lokal nur auf das NAS, oder das NAS dann auf Glacier? Für Familienfotos bietet Amazon ja so oder so unbegrenzten Speicher an, und ist damit nicht mal der einzige. Wer mehr Daten sichern muss kann momentan leider noch keine solchen Dienste in Anspruch nehmen.

Ideen: Lifehacker

Wenn Werbeanzeigen deine Herzfrequenz kennen

Reißerische Überschrift. Aber zumindest – möglich gemacht worden durch ein still eingeführtes Feature von Google im hauseigenen Chrome-Browser.

https://pixabay.com/de/bluetooth-konnektivit%C3%A4t-wireless-1690677/
Pixabay – JuralMin – Bluetooth

Mit Web Bluetooth ist es Seitenbetreibern möglich gemacht worden gewisse Daten von Fitnesstrackern abzurufen. Zu erst einmal können Website-Betreiber nun wissen welche Bluetooth-Geräte ihr in der Nähe der Website (beziehungsweise des Rechners mit laufender Website) habt. Euer Smartphone, euer Fitnesstracker, euer Smart-TV und unter Umständen die Smartwatch und die Musikanlage ist also bekannt. Ebenfalls mögliche Laptops die im gleichen Raum stehen. Über Techniken wie Google Tone (mit Tönen im nicht hörbaren Spektrum), die Werbetreibende gerne einsetzen um z.B. am Smartphone zu erkennen welche Werbeanzeige gerade auf dem TV nebenan läuft können viele Geräte dann schon ordentlich Daten austauschen. Schließlich weiß der Seitenbetreiber bzw. Werbetreibende bereits dass ihr ein anderes Gerät habt, über die Bluetooth-MAC-Adresse unter Umständen sogar welches genau es sein kann.

Nun kommt Googles „don’t be evil“…

und zwar in Form der Permission API. Ein bisher instabiler Teil des Web Bluetooth Projekts beschreibt die Anbindung an das Berechtigungssystem von Google Chrome und später sicherlich auch Android. Vermutlich konzipiert als verpflichtend für Websitebetreiber, kann man aber sicher davon absehen solange das Feature weiterhin instabil ist. Google dürfte sehr wenig Ambitionen haben dieses Feature in einen stabilen Zustand zu bringen, da die Werbeeinnahmen die Haupteinnahmequelle sind und ein Nutzer der eine Berechtigungsanfrage ohne ersichtlichen Grund sieht eher ablehnen wird.

Der Trick den Google dann anwendet: Die Website von Google Fit wird über diese Funktion die Daten direkt vom Fitnesstracker abrufen können, sofern ihr es denn zulässt, es ist ja ein Vorteil für euch. Et voilá – die Google Play Services eures Android-Telefons, der Smartwatch oder des Fitnesstrackers, sowie *.google.com hat eine generelle Ausnahme zum Übertragen aller möglichen Daten inklusive der Herzfrequenz und so weiter.

Ihr glaubt nicht wie viel der Werbung, die euch angezeigt wird direkt von Google-Serverclustern geladen wird – all diese sehen nun eure Herzfrequenz. Das Partnernetzwerk das beim Suchen nach der humansten Methode mit der bisherigen Freundin Schluss zu machen wirbt weiß also nun dass du einen höheren Puls hast, weil du beim Anblick hart gephotoshopter Frauen eher ermutigt wirst. Außerdem weiß das Partnernetzwerk bereits dass du eher weniger Sport machst, weil dein Puls eher im höheren Normalbereich ist – oder eben andersrum. Man kann dir also direkt in deiner Bannerwerbung die relevantesten Damen die mit dir halbwegs zufrieden sein würden anbieten – das ist doch ein Vorteil, oder?

Es ist alles „don’t be evil“ wenn es verpackt wird

Ihr wisst worauf ich hinaus möchte: Google verinnerlicht diesen Leitwert, Google verfolgt ihn wo man nur kann. Allerdings sind sie die besten Trickbetrüger wenn es darum geht den eigenen Profit durchzumogeln. Wenn es darauf ankommt, kann Google handfest beweisen dass der Leitsatz eingehalten wird – dagegen kann man nicht ankommen.

Außer man deaktiviert den Bluetooth Adapter in den Geräteeinstellungen oder steckt ihn, falls man noch kann, erst an wenn er denn gebraucht wird – zumindest in diesem kleinen Teilaspekt. Das würden realistisch gesehen die allerwenigsten Nutzer machen bzw. ist es zwischen zwei Smart-TVs unter Umständen gar nicht mal möglich.

Gedankengang angestoßen durch Fefe

Mit dem AMP-Validator Blogbeiträge einfacher lesen

Lange habe ich nach einer vernünftigen Alternative für Evernotes aufgegebenes „Clearly“ Projekt gesucht. Alle anderen Lösungen um Websites einfach klarer ohne all das Werbegeblinke und -gebrülle, was ja neuerdings mit aller Kraft auch durch Adblocker durchgequetscht wird, waren nur so halbgar.

Mit dem AMP-Validator von Googles „Websites noch schneller machen als sie ohnehin schon sind“-Team, geht das zumindest mit Blogbeiträgen ganz gut. Da viele Magazine auch aufgesprungen sind (das Leistungsschutzrecht haben sie wohl alle ganz schnell wieder weggesteckt) kann man dies auch dafür verwenden.

Weg von den Insellösungen, hin zum vereinheitlichten System, dem es Google nebenbei auch noch besonders einfach macht die eigenen Texte automatisiert abzurufen und zwischenzuspeichern. Finde ich grundsätzlich geeignet.

Release: Bonobo – Migration

Musik bei der ich mich locker nebenbei konzentrieren kann. Nichts fürs Coding, nichts fürs lange Texte tippen, dafür ist sie mir dann doch zu aktiv, aber neben Pogo

Auf Bandcamp als unkomprimiertes, verlustfreies, als analoge Platte oder eine dieser alten runden Metallscheiben für eure Player bestellbar – oder hier unten und über den Link oben als lausige (ich glaube 128 kbit/s) MP3 in voller Länge streambar:

Alternativ:
Spotify
Google Play
iTunes
Amazon Smile

Ganz großen Dank an das Kraftfuttermischwerk, ohne ihn wäre ich glaube ich nicht in die für mich autofahr-kompatibelsten Musikrichtungen gekommen – er hat zumindest meine Spotify-Vorschläge in eine ganz bestimmte Richtung gelenkt.

Archive.org sichert nun nach Kanada

Die „Wayback Machine“ archive.org hat angekündigt nach Kanada sichern zu wollen. Man erwarte durch die Trump-Regierung einige entscheidende Einschnitte in Privatsphäre und Sicherheit, vor allem im Bereich des Internets, was die Arbeit von archive.org behindern könnte.

https://commons.wikimedia.org/wiki/File:Interior_of_StorageTek_tape_library_at_NERSC_(1).jpg
Wikimedia Commons „Interior of StorageTek tape library at NERSC“ (CC0)

Man sei verpflichtet das Internet zu archivieren, damit man nicht durch löschen oder verändern die Vergangenheit ändern könne – so der Gründer der Non-Profit-Organisation – dies könnte in Amerika in seiner Ansicht früher oder später nicht mehr möglich sein.
Mehrere Millionen wird der Datenumzug nun kosten, dies sei aber den Gewinn an Privatsphäre wert.

via

Social Media und die Abstumpfung der Menschheit

Soziale Netzwerke werden im Leben der Menschheit immer dominanter. Babys wachsen mit einem Profil und einigen Likes auf, sehen stetig Mütter die zwanghaft versuchen jedes Lächeln in der Smartphonekamera festzuhalten. Um es zu teilen, versteht sich – Mit wem? – das wissen die Mütter meist auch nicht so genau.

Ein Mensch hat digital in Symbiose mit dem sozialen Netzwerk aufzuwachsen. Das schafft den idealen Kunden, die meisten Daten und damit den größten Umsatz.
Sobald das Kind dank der Schule aus der Obhut der Mutter befreit ist geht es los. Ein Smartphone, um in Kontakt zu bleiben – schließlich ist das ja auch der Wunsch der Eltern. Die Facebook-App, das selbstverständliche Anhaken des Mindestalters und wer sollte am besten gleich draußen bleiben? Die Eltern natürlich.

Mit Daten ist die Datenverknüpfung finanziert

Damit hat man einen Kunden mehr. Dank des Namens, der Adresse und der nun blockierten Eltern-Profile ist die Verknüpfung zum Baby-Profil recht schnell hergestellt. Das unbewusste Curriculum Vitae schreibt sich weiter.
Dies ist die finanzielle Basis sozialer Netzwerke, um damit dir deine eigene „Filterblase“ zu generieren, wie es schon Sascha Lobo bezeichnete. Damit du beim Netzwerk bleibst filtert man aktiv Beiträge, es gibt nun keinen Ort mehr an dem du mehr Zustimmung zu deiner Meinung findest als eben jenes soziale Netzwerk. Natürlich gibt es deinen Freund und deine Freundin, aber das ganze Social Web besteht nun mal aus viel mehr Personen.
Damit entsteht Monotonie und das simple abschalten des „Blicks über den Tellerrand“. Deine „Filterblase“ hindert dich daran weiterzudenken, seien es Gründe für eine Trump-Regierung oder Dinge die erst durch Hitler wichtig wurden*.

Monoton auf ein Thema

Andererseits fördert das die Meinungsbildung. Du wirst in deiner Meinung unterstützt und dank deiner Blase gibt es immer neue Argumente für deine Position. Blöd nur dass es bei deinem Gesprächspartner ebenfalls so ist.
Auch ist die Geschwindigkeit der Informationen enorm gestiegen. Die Polizei bekommt unter Umständen über Facebook und co deutlich schneller mit, wo ein Unfall geschehen ist. Weil es überall Gaffer gibt, die es für wichtiger halten den Moment zu teilen anstelle die Facebook-App für die Telefonnummer 112 zu schließen.

Durch diese Geschwindigkeit entsteht aber auch relativ einfach eine Informationsüberladung. Lustloses rumscrollen zur Folge. Monoton ein Standpunkt, höchstens variiert in der Schreibweise mit ein paar mehr Nuancen und persönlichem Touch des Schreibers. Aber immer noch dein Standpunkt, und schon wieder das gleiche Thema.
Für Facebook ist die Blasenbildung kritisch für den Umsatz. Google+ setzt diesem noch mal einen oben drauf. Der Nutzer sortiert verfolgte Menschen in „Kreisen“, die er entweder nach dem Beziehungsstatus oder nach dem Themen- oder Interessensgebiet benennt. Twitter ist ein wenig losgelöster vom vorsortieren. Twitters Finanzen kommen zum Großteil aus gesponserten Tweets. Dafür ist aber genau so eine Analyse des Einzelnutzers fällig wie sie Facebook und Google sie machen. Imposant gezeigt ist dies dann unter den „Während du weg warst“ Tweets, die auf der Homepage angezeigt werden. Immerhin sortiert man hier nicht vor, sondern grenzt den offensichtlich manipulierten Bereich ab.

Da die Beiträge persönlich auf euch abgestimmt sind solltet ihr also nicht einfach so folgen, auch wenn die vielleicht das relevanteste sind was ihr momentan so lesen wolltet.
Denkt weiter, denkt auch mal verkehrt herum, auch wenn das schwer fällt komplett im Gegensatz zu denken. Es gibt immer eine Gegenseite, und ohne Gegengedanken ist keine vernünftige Diskussion möglich.

* Disclamer:

Ich stehe weder hinter Donald Trump noch heiße ich die Aktionen von Hitler gut. Man sollte allerdings jedes Thema von zwei Seiten betrachten. Ohne Hitler wäre z.B. der Politik nicht klar geworden welch wichtige Rolle die Schnellstraßen für die Wirtschaft spielen, auch wenn diese Schnellstraßen unter widrigen Bedingungen gebaut wurden hat Hitler hier erkannt was logistisch wichtig ist und hat auch da angesetzt wo es am sinnvollsten ist. Auch Jahrzehnte danach sind Schnellstraßen und Verkehrswege ein wichtiges politisches Thema.

Donald Trump mag alles andere als perfekt sein und ich bin ehrlich gesagt weiterhin auf der Suche welche positiven Aspekte er für die USA bringen könnte, aber es gibt immer positive Aspekte. Zumindest lernen Amerikaner dann, warum politische Bildung wichtig ist. Das zeigt alleine schon die Brexit-Ähnliche Aufteilung der Wähler.

Google fährt wieder mit StreetView durch Deutschland

Die StreetView-Wägen von Google fahren nächste Woche wieder durch Deutschland. Dank der politischen Situation hierzulande gibt man vorsichtshalber erst einmal nicht an, dass man wegen der Aufnahmen für StreetView fahren möchte – die Kameras sind alleine für die Erkennung von Straßenschildern eingesetzt.

Google Streetview Car

Neben der versehentlichen Aufzeichnung von WLAN-Daten zur Positionsbestimmung von Android-Nutzern könnte Google nun hier genau so unbeabsichtigt das StreetView-Bildmaterial aktualisieren, welches seit den letzten Fahrten ja schon ein wenig in die Jahre gekommen ist.

Bleibt abzuwarten was Google aus der Situation macht, vor allem nachdem mal wieder nachgewiesen wird dass Google für Positionsbestimmung auf abgerufene WLAN-Daten angewiesen ist. Verkehrsschilder in Google Maps sind u.U. ein sinnvolles Feature. Nachdem mal wieder nachgewiesen wurde dass die Autos mal wieder WLAN-Daten sammeln, wird es den nächsten kleinen Rechtsstreit geben der wegen der Marktmacht von Google allerdings höchstwahrscheinlich einfach fallen gelassen wird.

via

Passwortänderungen August 2016: Dropbox und Opera Sync

Zwei Dienste bitten um Passwortänderung. Ein ernster Fall und ein nicht so ganz ernster Fall. Also erst die schlechte Nachricht:

Pixabay maklay62
Pixabay

Opera Sync hat unauthorisierten Zugriff auf die Sync-Server entdeckt.
Zitat aus der heutigen Mail:

The reason we have done this is because we detected an attack on some of our Opera sync servers. Our investigations are continuing but we believe some of our users’ passwords (that are still encrypted or securely hashed) and account information such as login names may have been compromised. As a precautionary measure, we have reset all of the Opera sync users’ passwords.

Kurz gesagt: Alle bisherigen Passwörter sind zurückgesetzt, über die „Passwort vergessen“ Funktion gibts neue. Ihr solltet, falls ihr das gleiche Passwort auch wo anders einsetzt dieses im gleichen Atemzug vielleicht auch gegen ein anderes ersetzen.

Wo wir jetzt schon bei „anderen“ sind – Dropbox bittet rein höflich darum dass alle Menschen, die Ihr Kennwort seit Mitte 2012 nicht geändert haben dies doch bitte tun sollten. Es gäbe keinen triftigen Grund dies zu verlangen, es sei eine reine Präventiv-Maßnahme.
Falls ihr dort auch gleich aktiv werdet, würde ich euch darum bitten gleich auch die 2-Faktor-Authentifizierung zu aktivieren. Mit der Google Authenticator App habt ihr eine Lösung die lokal auf eurem Smartphone läuft, ohne dass dieses eine Internetverbindung benötigt, das einzig wichtige beim Google Authenticator ist, dass eure Smartphone Uhr richtig eingestellt ist.

Google Authenticator
Developer: Google Inc.
Price: Free
(und auch fürs iPhone)

Mein Alternativ-Tipp statt Google Authenticator: Authenticator Plus (auch fürs iPhone), mit 3,19€ erst mal ein wenig teuer, bietet aber eine Pin-Sperre, bessere Kategorisierungen und eine „verschlüsselte“ Backup-Möglichkeit auf – Dropbox und co natürlich…
Wer gleich auf ganz sicher gehen will: Yubico Authenticator und ~54 Euro für einen YubiKey ausgegeben.
Damit hängen eure 2-Faktor-Keys an einem Stück Hardware, dass z.B. an eurem Schlüsselbund hängt. Bevor die 2-Faktor-Tokens angezeigt werden will euer Smartphone dann erst euren YubiKey per NFC sehen.

(Beitrag enthält Affiliate-Links)

Was man bei VPNs beachten sollte

VPN, auch Virtual Private Network zieht die Allgemeinheit gerade in die „anonym im Netz“-Gegend weg. Dabei ist die Verschleierung der IP-Adresse eigentlich nur ein Nebenprodukt, anonym ist man dabei noch lange nicht.
Im Gegensatz zu Proxies sind VPNs dazu gedacht Firmennetzwerke an andere Standorte anzubinden. So kann z.B. ein Service-Mitarbeiter der auf Reisen ist zwar beim Kunden sein, technisch gesehen aber weiterhin im Firmennetz bleiben und sämtliche internen Services benutzen.

Ein Proxy ist wie ein aufgezwungener Wegpunkt für jedes Paket welches man ins Internet sendet und daraufhin andere wieder empfängt, weder verschlüsselt noch anonym, da der Proxy ganz einfach dem Webserver sagt: „Hey, Nutzer XY hat mich beauftragt die Seite für ihn aufzurufen.“ – also sind Proxies etwas völlig verschiedenes.

VPNs sind verschlüsselt, z.B. um die Unternehmenskommunikation privat zu halten. Der IT-Beauftragte in der Kunden-Firma soll ja nicht unbedingt mitbekommen welchen Einkaufspreis man tatsächlich für ein Ersatzteil bezahlt, sofern man es direkt beim Kunden im VPN-Netzwerk bestellt.

Enigma Crypto Machine

Genau diese Verschlüsselungs-Schiene machen sich Unternehmen zu Nutze und verkaufen VPN-Dienstleistungen weil sie eben verschlüsselt sind. Damit betretet ihr das Firmennetzwerk eines Unternehmens, die euch nur versprochen haben euch so aussehen zu lassen als seit ihr gerade im Ausland unterwegs.
Vielen ist nicht bewusst dass alleine dadurch schon Risiken entstehen.

Ihr seid in einem Firmennetzwerk mit anderen Kunden und Mitarbeitern des Anbieters. Der Anbieter hat dafür zu sorgen dass diese nicht wie in einem klassischen Firmennetzwerk untereinander kommunizieren können, das tun einige günstige Anbieter schon einmal nicht. Ihr seid dann mit eurem Rechner in einem Netzwerk und jeder Kunde und jeder Mitarbeiter sieht dass ihr da seit und u.U. auch welche Freigaben ihr bei Windows habt. Ist dann z.B. ein Drucker in eurem lokalen Netzwerk freigegeben ist dieser nun für jeden Kunden an diesem VPN-Server ansteuerbar.
Es wirkt dann grundsätzlich so, dass euer Rechner Teil eines Firmennetzwerks ist und die eigentlichen Schutzmechanismen die ein Router bietet sind nicht mehr vorhanden.

Viele Dienste achten darauf aber und lassen das nicht zu, aber auch dann gibt es einige Sachen zu bedenken. Es kommt immer auf den Sinn und Zweck an, wofür ihr den VPN nutzen wollt. Reist ihr z.B. nach China und wollt weiterhin wie gewohnt im Internet surfen muss man z.B. etwas ganz anderes beachten als beim Ansehen der Videos für die YouTube die GEMA-Gebühren nicht zahlen will um diese Videos auch in Deutschland verfügbar zu machen.

Der GEMA-Youtuber

Der Fall ist recht einfach, euer VPN muss überhaupt gar keinen Wert auf irgendwelchen Datenschutz legen. Er sollte nur schnell genug sein um auch mal ein 1080p Video flüssig durchzulassen, was nun mal eben in Deutschland gesperrt ist. Die Schweiz, die Niederlande oder das Umland von Deutschland generell eignet sich gut als Standort, aber so ziemlich jeder Dienst dürfte da einen Standort stehen haben. Nebenbei funktionieren dann auch noch Hulu, Wilmaa und sonstige Dienste die grundsätzlich in Deutschland wegen Lizenzchaos nicht erlaubt oder aktiv sind.

Verschlüsselung ist hier also Nebensächlich und auch unsichere Verbindungsverfahren wie PPTP oder OpenVPN ohne aktivierte Verschlüsselung führen schon zum gewünschten Ergebnis. Die freie Wahl steht euch also zur Verfügung, auch wenn ihr einige Dienste vorher auf Geschwindigkeit testen solltet.

Die Suche nach Privatsphäre…

Euer Arbeitgeber hat z.B. das Recht nachzusehen was ihr im Firmennetzwerk macht, auch in der Mittagspause in der viele Arbeitgeber es erlauben auch private Dinge im Internet nachzusehen, sofern diese natürlich nicht gegen Gesetze verstoßen. Wollt ihr dies erschweren braucht ihr einen VPN der stark verschlüsselt und im Idealfall nicht protokolliert. Auch dann darf der Arbeitgeber nachfragen was ihr während ihr verbunden seit macht und verlangen den VPN auszuschalten, aber in diesem Fall muss er fragen und kann nicht einfach so mitprotokollieren, da ihr spezielle Schutzvorkehrungen getroffen habt. Der Arbeitgeber darf aber auch verlangen den Dienst ab sofort nicht mehr im Firmennetzwerk zu nutzen.

Hier entsteht dann ein weiterer Schutzmechanismus. Ohne Verschlüsselung kann ein Arbeitgeber unter Umständen mitprotokollieren, mit Verschlüsselung nicht – allerdings sind die Firmenprogramme und -Services meistens bei der Nutzung von verschlüsselten VPNs nicht möglich und euer Arbeitgeber könnte bereits Vorkehrungen getroffen haben dies zu verhindern. Hier dann am besten einfach euren Arbeitgeber fragen, oder ausprobieren. Könnt ihr euch zu Hause mit dem VPN-Dienst verbinden, in der Firma allerdings nicht – dann scheint dieser in der Firma bereits gesperrt worden zu sein.

Der Netzwerkausbrecher…

Einige Netzwerke sind gesperrt, meist in Schulen und Universitäten. Aber auch einige Arbeitgeber bauen gerne zensierende Firewalls ein, damit die Kollegen eben Arbeiten und nicht Spaß im Internet haben. Anstatt gleich den TOR-Browser zu verwenden kann man auch einen VPN nutzen der z.B. OpenVPN über den TCP-Port 443 unterstützt. Solche Kommunikation ist grundsätzlich nicht von normalem Netzwerkverkehr via HTTPS unterscheidbar, nur gehen sie halt alle zu einem einzelnen Server. Es erfordert eine relativ umfassende Firewall um solchen Traffic von normalem Websurfing zu unterscheiden – diese Investition machen allerdings die wenigsten Institute.
SSH-Tunnel ist der nächste Punkt. Viele Sperren kann man einfach umgehen in dem man eine SSH-Verbindung aufbaut und dadurch jeglichen Internet-Traffic leitet den man eben so verursacht. Etwas weiter gegangen und wir sind schon bei obfsproxy, eines der Programme die dank der chinesischen Internetüberwachung entstanden sind.

Der Verfolgte (oder, derjenige der unter Internetzensur leidet)…

Viel ernster wird die Lage wenn ihr z.B. wisst, dass ihr durch staatliche Organisationen überwacht werdet. Meist wird das den betreffenden Personen auch durch die Blume gedrückt gesagt, daher wissen diese meist bescheid dass der Staat bemüht ist alles über einen herauszufinden. Hier ist der Standort des VPN-Dienstleisters wieder kritisch. Deutschland, halb Europa, Großbritannien und die USA fallen damit schon einmal weg, da das Geheimdienst-System auch über die Grenzen hinweg besonders gut kooperiert. Hier spielt „Fourteen Eyes“ eine Rolle. Der Dienstleister darf schlichtweg nicht in einem der gelisteten Länder ansässig sein, da die Geheimdienste dort aus eigener Entscheidung zu Umfassend in Firmentätigkeiten eingreifen können.

Im Idealfall schaut man sich das Land in dem ein VPN-Dienst gemeldet ist einmal etwas genauer an. „Wie gut organisiert ist das rechtliche System dort?“ „Wie viel wird bereits durch Gesetze geregelt und wie schnell werden neue durchgesetzt?“, ein gewisses Maß an Unorganisation ist okay, man sollte es aber nicht übertreiben. Wenn ein Staatssystem nicht so effizient ist wie z.B. EU-Länder, dann haben es die Geheimdienste schwerer Informationen auf dem „offiziellen Weg“ zu erbeuten. Hier liegt dann wieder mehr Entscheidungsgewalt beim VPN-Dienstleister. Sorgt dieser dafür dass auf seinen Servern möglichst wenig Rückverfolgung möglich ist, ist das halbe Spiel schon einmal gewonnen. Geheimdienste haben hier deutlich mehr Aufwand zu tätigen weil sie sich aktiv in die Firmenserver hacken müssen um überhaupt weiter zu kommen. Ein VPN-Dienstleister der viel Wert auf Sicherheit legt ist hier Gold wert.

Ein wichtiger Punkt hier ist auch, dass der Support des Anbieters verschlüsselt kontaktiert werden kann. Damit meine ich nicht ein Kontaktformular auf einer HTTPS-Website, sondern eine E-Mail Adresse mit idealerweise verlinktem PGP Public Key. Das ist zwar etwas umständlich, da auch die Kunden PGP haben müssen, aber allemal besser als HTTPS.

Die „Great Firewall of China“

Ein Qualitätsmerkmal ist auch obfsproxy. Dieses Programm wurde ursprünglich vom Tor-Projekt entwickelt und dient dazu es Bürger Chinas zu ermöglichen ohne den Staat als Mittelsmann im Internet zu surfen. Dazu wird der Netzwerkverkehr in anderen harmlos aussehenden Daten „versteckt“ und wie der Name schon sagt, an einen Proxy-Server gesendet, der diese versteckten Daten wiederum findet und diese ohne Probleme weiter senden kann.

Das TOR-Projekt ist in China zwar technisch möglich, allerdings kommt jeder ins Visier des Staats der dieses Netzwerk nutzt. Obfsproxy schaltet sich also vor Tor, sendet all den Datenverkehr an den Proxy-Server und danach geht es im TOR-Netzwerk weiter. Der Proxy lässt sich aber nicht nur mit dem TOR-Netzwerk nutzen, dieser lässt sich auch vor VPN schalten, und ein Dienst dessen Software diese Funktion gleich mitbringt ist ein gutes Stück besser.
In China selbst ist obfsproxy ein ganz anderes Kaliber, dort werden inzwischen Weiterentwicklungen empfohlen, da dort Sicherheitsexperten für den Staat laufend tätig sind solche Proxy-Server ausfindig zu machen und zu sperren.
Für Deutschland und den Rest der Welt ist Obfsproxy alleine schon Overkill. Die deutschen Politiker und ihre Gedanken bzgl. der Vorratsdatenspeicherung gehen gar nicht mal soweit, dass es Programme bzw. Nutzer gibt die Netzwerkverkehr absichtlich verstecken wollen.

Sucht man Dienstleister mit den oben genannten Kriterien fallen viele schon raus, und diejenigen die übrig bleiben sind nicht günstig. Kosten in Höhe von 5-10€ im Monat zeugen mehr davon dass der Anbieter auch das Geld dafür bekommt für Sicherheit zu sorgen. Billig-Anbieter für 2-3€ im Monat brauchen zwingend andere Gewinnmöglichkeiten. Damit ist die Konzentration der Firma nicht mehr voll auf VPN-Dienstleistung und deren Sicherheit bzw. sie leben aktiv von Werbung auf den Webistes oder greifen sogar in die Verbindungen der Kunden ein um eigene Werbung unterzujubeln oder die bekommenen Daten zu verkaufen.

Ein Beispiel

Als Beispiel nehme ich hier gerne mal ivpn.net. Mit 15 USD pro Monat im Einzelmonat und nicht viel günstiger (ca. 7,50 EUR) im (Halb-)Jahresangebot einer der teuersten Anbieter. Allerdings ist hier Obfsproxy in die Client-Software integriert und es funktionieren auch Routen die über zwei IVPN-Server hintereinander. Außerdem ist der Dienstleister sehr darauf bedacht Zwischenfälle öffentlich darzustellen. Es gibt ein öffentliches Versprechen dass den Mitarbeitern von IVPN kein Zwischenfall passiert ist, jeder kontaktierbar ist und nicht wissentlich verfolgt wird. Dies wird mit dem PGP-Key von IVPN signiert. So kann man sicherstellen, dass der Text vom Administrator hinter IVPN stammt. (oder zumindest von jemandem der in Besitz seines Private Key ist).

Das ist dann zwar reine Vertrauenssache, aber immer noch besser als ein Dienst der vollkommen Still hält.
Die Server sind grundsätzlich schnell genug. Ich nutze den Dienst seit einigen Monaten und bekomme durch die nächstgelegenen Server an Datendurchsatz locker das durch was mir der Internetprovider zur Verfügung stellt. Außerdem gehen sie auf eingehende PGP verschlüsselte E-Mails schnell ein und beantworten diese zügig.
Auf seiten der Verschlüsselung sind sie sehr bemüht diese sehr hoch zu schrauben.

Als Alternative zu IVPN kann NordVPN angesehen werden. Technisch identisch mit IVPN, allerdings nicht so sehr darauf aus zu garantieren dass mit NordVPN noch nichts passiert ist. Das Versprechen das IVPN gibt sucht man bei NordVPN vergebens und auch obfsproxy muss vorher eingerichtet werden. NordVPN macht außerdem viel mehr plemplem und Werbung um ihren eigenen Dienst, was man auch negativ auffassen könnte.

Den idealen Dienst finden

Die beiden Dienste oben sind eher für China-Verreiser gedacht und für solche die unter Umständen wirklich Paranoid sind oder Angst vor dem Verlust ihrer Privatsphäre haben. Alle möglichen Dienste gibt es auch in einer englischsprachigen Tabelle, die aber einige Zeit zum Laden braucht. Das ganze Prozedere zur Auswahl eines geeigneten VPN-Dienstleisters kann man auch etwas ausführlicher als hier beschrieben machen. All diese Dinge sind dann auch hier in dem englischen How-To erklärt.