Die Tor Exit Notes stehen doch auf vielen Blacklisten und gmx und web.de machen kein IP stripping. Kommen E-Mails die über Tor versendet auch immer beim Empfänger an? 
Warum sollten die das nicht können? Wenn die nen richterlichen Beschluss vorlegen das die nackt auf dem Tisch tanzen sollen, dann ist das eine richterlich angeordnete Maßnahme, die rechtlich gilt und per Staatsgewalt umgesetzt wird. Ob das auch erlaubt war musst Du dann später klären.
Wie stellst Dir das vor? Behörde fragt, wer hatte am bla um 10:00-12:00Uhr folgende IP? Betreiber keine Ahnung?
Anders rum, welche IP hatte Jon Doe am bla um 10:00-12:00Uhr ? Betreiber wer ist Jon Doe?
Oder auf welche Art und Weise will die Behörde wissen welchen Account sie überwachen soll?
Es gibt doch nur die zwei Möglichkeiten, entweder haben die einen Namen und wissen das es ein VPN account gibt und wollen wissen welche Verbindungen wie genutzt wurden. Oder die Behörde hat eine IP aufgezeichnet und sucht den Besitzer. Die Behörde könnte auch Mailadressen benutzen, wo der Name bekannt ist um einzelne User zu identifizieren…
Was am Ende bleibt ist vollständiger log um per Zeitabgleich den User zu finden und anhand der gespeicherten Daten zu identifizieren, bzw. Beweissicherung der Verbindungen.
Zwingt die Behörde einfach den Betrieb aufrecht zu erhalten, notfalls mit eigenen Leuten.
Es wird geloggt und es werden Nutzerdaten erhoben, das ist keine no log policy. Und glaub mir die Anbieter loggen die IPs weil sie Accountsharing nicht dulden, die überprüfen das. Einfacher wäre logs aus zu schalten.
Gibt auch Anbieter, da ist die Anzahl der Verbindungen egal, das einzige was die speichern ist Dein Nutzername, das Ablaufdatum des Abos und die Mailadresse.
Bezahldienst ist ausgelagert, also kann man nur wissen wer dort einen account hat, aber nicht welchen.
Betreiber die sich daran halten sind damit auch rechtssicher, denn was man nicht hat, kann man nicht rausgeben. Die können auch kein Accountsharing verhindern oder feststellen, die vertrauen den Nutzern.
Ist nicht die IP des IMAP Servers relevant?
Bis jetzt habe ich nur sehr wenige Rückläufer und sollte eine Nachricht einfach nicht wollen nach ein paar Versuchen, einfach die Nachricht signieren, das hat bis jetzt immer funktioniert. Also bis jetzt keine großartigen Probleme.
1 „Gefällt mir“
Nichts von dem von mir genannten entspricht „logging“. Damit ist das mit einer „no log policy“ umsetzbar. Was einige Anbieter, von denen die meisten sowieso nicht vertrauenswürdig, und irgendwelche Betrüger, inkompetente Idioten, Datenverkäufer, oder staatsnahe Klitschen sind, tun, schreibe Ich nicht. Ich sitze nicht in deren Unternehmen, genauso wenig Du und alle anderen die darüber schreiben, und ernsthaft unabhängig sind, darum kann dir auch niemand sagen, was da wirklich auf deren Servern läuft und in welcher Konfiguration. Damit sind dann auch alle Anbieter gleichermaßen über den selben Kamm zu scheren.
Wenn man das für alle Server umsetzen will, wie in der zitierten Stelle steht, kann einfach eine Account-ID (Loginname bspw.) und der Auf-/Abbau und Timeout einer Verbindung an einen Authentifizierungsserver gesendet werden, welcher sich auch gleich um die Authentifikation der Login-Daten kümmert. Das sind gleich zwei Fliegen mit einer Klatsche.
Dieser kennt nur Accountname/-ID, die Anzahl der aktiven Verbindungen zu irgendwelchen Servern (die er nicht protokollieren muss), und die Logindaten, zusätzlich hat er auch noch eine geringere Angriffsfläche. Klar, von mir aus auch Ablaufdatum des Accounts.
Nutzerdaten werden erhoben? Du nutzt in diesen Moment 2 aktive Verbindungen mit deinem Account. Ganz geheime Sache, sehr problematisch. Du musst ein Terrorist/Filesharer/Überläufer mit Militärgeheimnissen/Kindermörder/Reichsbürger, oder einfach nur Ulf sein. Die Person, nach dem das LKA/BKA, der MAD/Verfassungsschutz, oder die GEMA sucht. Das tut nämlich sonst niemand, mit zwei aktiven Verbindungen einen VPN Dienst nutzen, den man bezahlt? Es identifiziert dich, oder sagt etwas über dich aus, dass du 2 aktive Verbindungen hast? Ok.
Wenn das überhaupt ein Problem ist, ist VPN sowieso nicht die Lösung für dich, und natürlich spricht auch nichts dagegen einen VPN ohne Gerätelimit zu nutzen, wenn man meint, dass es nötig sei… Aber das Vorhandensein eines Gerätelimits heißt nicht, dass geloggt wird. Das ist dafür nicht nötig, und auch ohne Gerätelimit möglich. Das ist einfach Propaganda irgendwelcher VPN-Betreiber-(nahen)-Buden, oder fachliche Inkompetenz des ursprünglichen „Behaupterers“.
Aber gut, irgendwo wird es wohl schon stimmen: Vermutlich sind die ganzen VPN-Klitschen sowieso zu inkompetent, die VPN Software so zu modifizieren, da es, afaik., keine Standardoption ist. Damit kannst du die alle in die Tonne werfen. Ich kann mich natürlich auch Irren.
Das ist schön und toll, wenn „die Anbieter“ das tun. Die Lügen dann halt, wenn sie behaupten, dass sie nicht loggen würden, und es trotzdem tun. Ist ja kein Geheimnis, schon öfter vorgekommen. Vielleicht kannst du auch dann gegen bestimmte VPN Anbieter rechtliche Schritte einleiten. Gegen andere wiederum wird das natürlich schwieriger…
Gleichzeitig ist das aus jenen Grund, und auch allgemein die Gleichsetzung von „andere IP“ zu „andere Person“, oder „gleiche IP“ zu „gleiche Person“, unfassbar dämlich: Accountsharing kannst du im privaten Rahmen nicht verhindern, ohne valide Nutzungszwecke zu verhindern. Du kannst schließlich am Rechner eine andere IP als am Mobiltelefon haben, unüblich ist das ja gar nicht.
Wenn du natürlich öffentlich Accountdaten teilst, oder mit Leuten aus anderen Ländern und deine IP-A. tatsächlich geprüft werden (wofür diese trotzdem nicht protokolliert werden müssen, wenn man gleichzeitig in Kanada und Deutschland online ist - dein Anbieter erhält schließlich immer deine IP-Adresse, auch wenn er sie gar nicht haben will), kann das leicht auffliegen. Hat aber alles auch nichts (gezwungenermaßen) mit Gerätelimits zu tun.
Wenn wir sowieso schon dabei sind: Wer sagt dir, dass diese nicht trotzdem loggen? Deine IPs, aufgelöste DNS Namen, oder sonst irgendetwas? Bspw. auf richterliche Anordnung, durch Inkompetenz (nachdem man seine „Engineers“ & Admins aus Kosteneffizienzgründen rausschmeißt oder „fachlich herabstuft“), oder aus Jux und Tollerei? Wer sagt dir, dass nicht deren ISP, solange sie nicht ihr eigener sind, nicht die Verbindungsdaten loggt, oder dazu aufgefordert wird/wurde? Oder die Logs der aufgerufenen Seite und deine Verbindungsdaten, um Daten zu korrelieren? Sich ein Dienst zwischen die Leitungen klinkt, oder deren Systeme kompromittiert? Klar, weniger interessant bei Filesharing, aber die Ecken aus denen die Anonymitäts, und No-Logging-Versprechen bei VPN hauptsächlich kommen, und die Leute die diese damit anlocken, sind jetzt nicht die saubersten.
Keine Unterstellungen hier, aber man kann einfach nicht wissen, was tatsächlich der Fall dort ist, der sich ständig ändern kann.
Es gibt so viel besseres…
… und nichts ist wie es scheint. 
2 „Gefällt mir“
Was bei mir irgendwie doch Erinnerungen an frühere Zeiten aufflackern lässt. Da wurde in bestimmten Kreisen, ich möchte jetzt hier auf die Umgebung(en) nicht näher eingehen, „perfect-privacy“ als das „Beste“ vom Besten angepriesen. Aber war/ist das wirklich so (rhetorische Frage).
Aber wer Daten erhebt von aktiven Verbindungen, diese zählt, eventuell auch noch drosselt und diese Daten durchs Internet sendet, völlig egal ob diese Verbindungsdaten in einer Datei auf Festplatte gespeichert werden oder nur im RAM liegen, werden diese Daten immer noch erhoben, gesammelt, überprüft, somit vom System abgefragt, sichtbar gemacht und auch ohne weiteres mit einem Klick in Dateien auf Datenträgern schreibbar gemacht.
Erhebe ich diese Daten nicht, weil ich sie nicht brauche, gibt es diese Daten erst mal auch nicht und die Server müssten zum speichern dieser Verbindungsdaten vorbereitet werden.
Ich hoffe das war jetzt Verständlich genug das logging nicht die eine Datei auf Festplatte sein muss, sondern es reicht diese zu erheben
Eine Vorratsdatenspeicherung beim ISP gibt es nicht, wird seit über einen Jahrzehnt vom obersten Gericht abgeschmettert. Wenn ein Beschluss vorgelegt wird, einen Anschluss zu loggen, drücken die auf den Knopf und schreiben die Datei. Ich meine sogar das ISP dazu verpflichtet sind solche Schnittstellen bereit zu stellen oder zumindest verpflichtet sind bei der Einrichtung zu kooperieren.
VPN Provider fallen nicht darunter und müssen diese Schnittstellen nicht zur Verfügung stellen.
Ah jetzt ja, Du scherst nicht nur alle VPN Provider über einen Kamm, sondern die Nutzer dieser gleich mit, alles kriminelle Idioten, die glauben mit einem VPN wären sie anonym. Lässt tief blicken und normal wäre dann bei mir hier Ende, weil ich nichts zu tun haben will mit Leuten die pauschalisieren und kriminalisieren und am liebsten einen Polizeistaat befürworten.
Was bitte für zwei Verbindungen sind hier gemeint und warum sollte das irgendwen verdächtig machen? Ich weiß auch nicht was manche ITler glauben wie Ermittlungen zu Stande kommen und was ein Staatsanwalt dann machen kann und wie es Schlussendlich zu einem Beschluss kommt das auch interveniert wird. Aber sei Dir sicher hier in Deutschland läuft das im großen und ganzen noch sehr transparent und Nachvollziehbar ab, ansonsten würde doch halb Deutschland im Knast sitzen, wegen „illegaler“ Downloads.
Wie bitte lässt ein VPN jemanden identifizierbar machen? Der ISP weiß das er VPN nutzt (und drosselt die Verwendung auch) also ist ein VPN Provider bekannt, den tausende ebenfalls benutzen.
Der VPN Nutzer kann also den VPN Provider ganz normal unter seinen Namen bezahlen, weil die Nutzung eines VPN ist bekannt.
Das würden die Behörden dann auch erfahren sollten sie die Verbindungsdaten des VPN Nutzer per Beschluss abfragen und loggen wollen, um Beweise in den Ermittlungen jeglicher Art zu sichern.
Es ist nicht möglich dem VPN Nutzer sein Surfverhalten oder seine Aktivitäten nach zu weisen, sondern nur die Verwendung eines VPN. Das war es aber auch schon.
Solange die Behörde nicht noch ein Beschluss besorgt und den VPN Anbieter besucht, ohne Verknüpfungen die den VPN Nutzer mit irgendeinem usernamen verbindet ist hier wieder Ende.
Mit einer Verknüpfung könnte die Behörde einiges bewirken, je nachdem wie kooperativ der VPN Anbieter ist.
Wenn der VPN Provider darüber keine Aufzeichnungen hat, können die Behörden wieder einen Beschluss erwirken und über die Bezahlung des Accounts versuchen Verbindungen nachweisen. Wenn dort auch keine Verknüpfung zum usernamen hergestellt werden kann und nicht gerade PayPal verwendet wurde und die gleiche Mail Adresse zur Registrierung beim VPN Provider, wird es verdammt schwierig eine Grundlage für weitere Maßnahmen zu finden.
Daten der Vergangenheit sind so gut wie nicht zu sichern und bevor sich die Behörden mit den VPN Anbieten rum schlagen wird in der Hausdurchsuchung alles an Computer&Handys beschlagnahmt, das ist doch viel einfacher um Beweise zu sichern.
Präventive Datenerhebung mittels solcher Beschlüsse und deren Erfolgschancen wage ich auch zu bezweifeln, da ist der Angriff mittels Staatstrojaner wahrscheinlicher, oder bei Terrorverdacht vielleicht noch ein Beschluss das der VPN Anbieter alle Verbindungen von einer bestimmten IP des VPN Nutzer logt und damit Verbindungen nachzuweisen.
Nehmen wir den umgekehrten Fall, eine IP vom VPN Provider wurde für ein Verbrechen verwendet, es sind noch mehr Daten bekannt, aber nicht der Name des VPN Nutzers.
Die Behörde tritt an den VPN Provider. Was denkst Du wie es hier abläuft?
Exakt das gleiche Spiel, erfolgt eine Aufzeichnung und eine Verknüpfung kann hergestellt werden, sind die Beweise gesichert, eine Hausdurchsuchung und beschlagnahmte Geräte über nehmen den Rest. Keine Aufzeichnungen vorhanden, gibt es nichts woran die Behörden ansetzen können.
Sie können die Server beschlagnahmen oder VPN Provider mit Erpressungen wie weiter oben beschrieben zur Aufgabe mancher Server zwingen, aber wie soll der VPN Nutzer hier identifiziert werden?
Nutzerdaten sind IPs,Verbindungszeiten,User, Datenvolumen, Gerätekennung, Standort, Betriebssystem, Programm und Versionsnummer für die Verbindung, all das was ein Algorithmus braucht um Accountsharing zu erkennen, oder meinst Du das nur weil Netflix nichts dagegen unternimmt, es nicht möglich wäre anhand der Nutzterdaten dies zu erkennen und zu sperren?
Und wenn es nur Proforma ist um Abzuschrecken.
Weil hier die GEMA genannt wurde, die hat absolut keine Befugnisse um beim VPN Provider Daten abzufragen, die müssen genauso über die Staatsanwaltschaft und die Gerichte gehen.
Daten erheben=loggen, wenn Du das fachliche Inkompetenz nennen willst, bitte, ist meine Sicht der Dinge, wer Daten erhebt logt, streite ich mich nicht drum, dazu ist mir das Thema zu unwichtig.
Kann man, kostet nur viel Geld, was man bis zum Urteil vorstrecken muss. Die „Opfer“ haben ganz andere Sorgen, wenn sie durch das loggen von VPN Provider identifiziert wurden und auf der Anklagebank sitzen.
Und wieder sind Nutzungsdaten nicht gleich IPs. Und klar „kennt“ der VPN Provider die IP des Nutzers, aber es macht halt einen Unterschied, ob diese IPs mit einem usernamen oder Mailadresse verknüpft werden können, um diese accounts in irgendeiner Form zu limitieren oder zu analysieren.
Das könnte durchaus Möglich sein, aber warum macht man das nicht, wenn das so einfach ist?
Niemand, aber solange der ISP vom VPN Provider, nennen wir ihn Hoster, nicht die Verbindungen zu den usern herstellen kann, sieht er nur was rein kommt an IPs und wo IPs hingehen keine Verbindungen dieser. Inhaltlich verschlüsselter Datenstrom.
Ich denke Geheimdienste haben noch ganz andere Möglichkeiten Datenströme zu analysieren, aber auch hier sind Grenzen.
Doch Du unterstellst erstens speziell mir und zweitens allen VPN Nutzern Kriminalität in Deinem Kommentar. Und es ist so wie im Tor Netzwerk, schwarzer Schafe gibt es überall und es ist traurig das man für den Schutz seiner Privatsphäre kriminalisiert wird, weil man sich der selben Werkzeuge bedienen muss sorgenlos zu surfen.
Wenn es so viel besseres gibt, dann lass mal hören und gleichzeitig bitte die Erklärung warum dann so viele auf den VPN zurückgreifen anstatt die Alternaiven zu nutzen. Bin gespannt.
edit:
Was ist an den Adressdaten so besonders?
Wegen der Schweiz? Ich verstehe nicht.
oder was ist hier besser?
Data controller contact information
Mullvad VPN AB
Reg. no. 559238-4001
Box 53049
400 14 Gothenburg
Sweden
support@mullvad.netTo exercise your rights under the GDPR or if you have any questions regarding our processing of your personal data, please send your inquiry to the e-mail address above.
oder
13. Contact Us
Hide.me websites, community forum and the hide.me VPN service is owned and operated by eVenture Limited. We are registered in Malaysia under registration number LL09685, and our registered office is at Unit 12F(1), Main Office Tower Financial Park Labuan, Jalan Merdeka 87000 Labuan, F.T. Labuan, Malaysia.
Da gibts nichts zu erklären. Fakt ist einfach, dass die Werbung „mächtig“ ist und daher den jeweiligen Werbeversprechen in der Breite auch Glauben geschenkt wird. Kaum jemand macht sich die Mühe, die Werbeversprechen stichhaltig auf ihren Wahrheitsgehalt zu überprüfen. (Zudem wäre eine solche Überprüfung oft gar nicht möglich oder wäre nur mit sehr viel Aufwand, Nerven, Kosten umsetzbar.) Deshalb greifen gefühlt „so viele“ (blauäugig, auf das Beste hoffend) auf kommerzielles VPN zurück.
Dann nenne doch mal die Alternativen wenn diese so zahlreich sind!?
Und welche Werbeversprechen meinst Du denn noch, außer dem loggen, welche nicht unbedingt gehalten werden, die nicht überprüft werden können, das wüsste ich gerne etwas konkreter, da ich eher selten Werbung mitbekomme?
Ich habe den Teil mit der Drosselung rausgeschnitten. Da mag Ich keine Gedanken hineinstopfen, das hat nichts mit meinen Aussagen zu tun. Da käme es sicher auch drauf an.
Daten zu deiner aktiven, bidirektionalen Verbindung zum VPN werden aber erhoben: Das Betriebssystem und die Software müssen wissen (sowohl deine, als auch die des VPN Servers), ob eine Verbindung aktiv ist, und zwischen welchen Punkten diese besteht. Du weißt in jeden Fall, egal ob du es loggst, oder zusätzlich einen Zähler hoch-/herunterzählst, ob, welche, und wie viele aktive Verbindungen zu deinem Server/deiner Software im Moment bestehen. Darunter auch von wo diese wohin geleitet werden sollen. Das ist technisch notwendig. Darunter IP-Adressen, Sequenznummern, Verbindungsdaten, Authentifizierungsstatus, etc…
Du kannst diese Daten gar nicht „nicht erheben“, sie sind immer „per Knopfdruck“ speicherbar, wenn man das Implementiert hat oder das tun soll/muss (es ist theoretisch schon möglich diese nicht zu erheben, aber das wäre außerhalb des Kontextes vom Internet und den kommerziellen VPN-Anbietern, daher „nicht möglich“).
Der Punkt ist, ob „zusätzlich“ erhobene Daten kritischer Natur sind, und ggf. mehr nützliche Informationen benötigt werden, als sonst benötigt würden.
Das ist für ein Gerätelimit einfach nicht nötig, und wenn wir es wirklich als zusätzliche Daten ansehen würden, einfach nicht der Fall (dass diese kritischer Natur sind, oder wirklich mehr Informationen, die „von Belang“ sind, benötigt werden) - außer es gibt überhaupt keine Accounts.
Ehrlich gesagt finde Ich ein Gerätelimit weniger fragwürdig als die erwähnte (häufig zwingende) Angabe einer E-Mail-Adresse. Das ist nämlich wirklich absolut nicht nötig, außer als optionales Feature für Newsletter, schlechte Passwort-Reset-Funktionen, etc., und meist einfach ein weiteres, nützliches Datenfeld - für verschiedenste Zwecke.
Und nur um das Klar zu stellen: Für mich bedeutet Gerätelimit Verbindungslimit. 5 gleichzeitige Verbindungen/Account sind 5 Geräte/Account.
Ich glaube, das bezieht sich auf meinen Abschnitt hier:
Oder? Im Fall des ISP vom VPN meine Ich nämlich den am Standort des Servers, der unterschiedlichen Gesetzen unterliegen kann.
Das Beispiel im Zitat bezieht sich auf Zeit/Volumen basierte analytische Angriffe gegen Nutzer von VPNs die zum „verschleiern“ genutzt werden, und soll die, unter Umständen, Sinnlosigkeit von VPNs zu diesem Zweck in’s Licht rücken.
Natürlich funktioniert die Korrelation der eigenen Verbindungsdaten und der eventuell vorhandenen Logs/Verbindungsdaten der aufgerufenen Seite nur, wenn diese Vorhanden sind (und man einen Treffer erwartet, andernfalls ist es eingeschränkt sinnvoll). Ein Grund, der eine Aufzeichnung deiner Verbindungsdaten zulässt, wird natürlich benötigt, solange es keine Vorratsdatenspeicherung gibt, wenn man sich an Recht und Gesetz hält. Meine Beiträge hier sind, nach dem ersten, teilweise absichtlich generell gehalten, und sollen vor allem auch Andere zum nachdenken und hinterfragen der Sinnhaftigkeit von VPN anregen.
Genau das war mein ursprünglich einziger Punkt, das was mich wirklich stört. Das temporäre „erheben“, bzw. eigentlich zählen von bereits vorhandenen Daten, ohne diese nieder zu schreiben, oder von mir aus auch „nicht über Funktionen, die diese benötigen, hinaus zu bewahren“, was ebenso nicht im Beispiel oben geschieht (es ist ja bekannt und ein „Feature“, dass der Anbieter ein Gerätelimit hat), fällt unter keine Definition von „logging“, siehe auch hier oder sonst wo (afaik):
https://en.wiktionary.org/wiki/log#Noun_2 (3.)
https://de.wiktionary.org/wiki/log#Substantiv ([4])
Wenn du dabei strikt auf deiner Sicht beharren willst, okay, tu Ich auch, wenn es keine weitere, entsprechende Definition zu finden gibt.
Aus meiner Sicht kann es dann aber nicht so unwichtig sein, wenn deine Definition nicht Deckungsgleich mit den einzigen, mir geläufigen Definitionen ist, schließlich ist es dann eine eigene, oder nicht? Aber das ist Subjektiv, lassen wir das Thema halt, die Beiträge sind sowieso schon zu lang. 
Ganz gleich was du tust, du wirst immer, außer in manchen Fällen von „Statuslosen Protokollen“, Daten erheben und vorhalten, zumindest zeitweise.
Ob du da jetzt eine Grenze bei der reinen Anzahl der aktiven Verbindungen ziehen willst, für die weder deren Zeitpunkt des Auf- noch Abbaus benötigt wird, und auch keine sonstigen Daten, sondern nur das „hören“ auf „Verbindung authentifiziert“, „abgebrochen“, „beendet“, und eine natürliche Zahl, ist natürlich dir überlassen. Aber es sind objektiv absolut keine kritischen Daten die irgendein Problem in der Realität darstellen müssen. Es ist höchstens bei schlechter Implementierung nervig, nach Verbindungsabbrüchen, oder problematisch. Es ist kein Faktor dafür, ob ein VPN Anbieter ordentlich mit deinen Ihm anvertrauten Daten umgeht - er kann es tun, aber auch nicht, auch wenn er kein Gerätelimit hat.
Es war eine übertriebene, ironische und sarkastische Tirade.
Im Gegenteil, bezüglich der (meisten) Nutzer. Ich glaube nicht, dass sie (bis auf ein kleiner Teil, wie sicher überall) Kriminelle sind, auch wenn viele „Idioten“ sind, die auf das Marketing vieler Betreiber reingefallen sind, weil es wirklich Nutzer gibt, die glauben, durch ein VPN anonym(„er“) oder vor Hackern geschützt zu sein. Aber das ist einfach nur Unwissenheit, und aus meiner Sicht Betrug seitens der entsprechenden Anbieter, weniger eine mangelnde Intelligenz der Nutzer - also doch keine Idioten.
Natürlich gibt es auch vertrauenswürdige VPN Anbieter! Aus meiner Sicht „vertrauenswürdig“.
Ich pauschalisiere eigentlich ungern, und eher zu rhetorischen Zwecken, Ich weiß wie unangenehm und unzutreffend Pauschalisierungen häufig sind, bzw. sein können, aufgrund meiner persönlichen Umstände. Trotzdem: Generelle Aussagen kann man treffen, bei anorganischem habe Ich da erst recht wenige schlechte Gefühle.
Von (staatlicher) Überwachung oder einem Polizeistaat halte Ich übrigens wenig bis nichts.
Eine ganz traurige Landschaft.
Deine zwei Verbindungen zum VPN Server, von denen durch das Gerätelimit nur bekannt ist, dass es „2“ sind, (und falls es mehr als das Limit sind, in möglichen Implementierungen, dass es seit bspw. 15 Sekunden überschritten wird, bis zu XX Sekunden, ab deren erreichen alle vorläufig erlaubten Verbindungen getrennt werden, und der Sekundenzähler entfernt wird), was sowieso im Arbeitsspeicher bereits vorhanden ist, und nur zusätzlich noch ein weiteres mal in einer anderen Speicherstelle gezählt wird, und nicht weniger Speicherbar ist als alles andere.
Ich weiß auch nicht, warum das jemanden verdächtig machen sollte.
Man muss wohl ein außerordentliches Ziel sein, um ernsthaft ein Problem darin zu sehen, dass dem Anbieter bekannt ist, dass für den eigenen Account 2 Verbindungen zu den VPN-Servern aktiv sind… da es wirklich eine völlig belanglose Information ist, gerade wenn dein Anbieter kein Mini-Anbieter ist, bei dem man die Kunden an der Hand abzählen, und einfach der Reihe nach alle abklopfen kann, ohne viel Zeit zu investieren (wie die Situation diesbezüglich ist, hängt davon ab, wer ggf. deine Daten möchte - es wird natürlich mit an Sicherheit grenzender Wahrscheinlichkeit nichts dergleichen passieren, zumindest nichts mit Konsequenz. Zumindest „hier“).
Bezüglich rechtlicher Situationen und Möglichkeiten kann Ich nichts sagen, tu Ich (unerwähnt) deswegen nur im theoretischen Sinn: Dein VPN Anbieter o.Ä. kann natürlich überall sitzen, und daher verschiedenen Gesetzen unterliegen. Ich kenne die Rechtssituationen in Malaysia, Panama und anderen Staaten noch weniger als Ich sie in Deutschland (als nicht-Jurist) kenne. Und schon gar nicht, was die Rechte verschiedenster Geheimdienste sind, und deren Kooperationsarbeiten und Handelsmöglichkeiten - oder die moralische Integrität ihrer Mitarbeiter. Wo auch immer die VPN Server, das Management, die Techniker, und alle anderen, kritisch Involvierten (Dinge und Personen) sitzen.
Potentielle Angreifer und Möglichkeiten sind zufällig gewählt. Bekanntermaßen wird es verschiedenste Geheimdienste (denen auch Daten abhanden kommen könnten, wenn man diese für ausschließlich gut hielte) und Kriminelle nicht scheren, was die rechtlichen Situationen hier und anderswo sind. Und Inkompetenz, Nachlässigkeit, oder Böswilligkeit seitens der Betreiber ist nicht zu vernachlässigen.
Bezüglich des langen Abschnittes ab „Wie bitte lässt ein VPN jemanden identifizierbar machen?“:
Ich sage nicht, dass ein VPN jemanden identifizierbarer macht (auch wenn er das im Rahmen von öffentlichen Hotspots als Zugang zum Internet könnte).
Meine Aussage ist, dass ein VPN nichts taugt, weil man diesem nur blind vertrauen kann, und er selbst dann, wenn dieses Vertrauen berechtigt ist, was man niemals wirklich wissen kann, aus verschiedensten Gründen trotzdem kompromittiert sein kann. Und dieser, möglicherweise, auch gar keine Hürde darstellt (je nach Szenario).
Der Teil über die Nutzerdaten… Ich erwähnte sie im Bezug auf den Zähler für die Gerätelimitierung.
Ehrlich gesagt ist mir der ganze Abschnitt zu lang, um darauf vollumfänglich zu antworten, entschuldige. Das ist alles ein wenig zu durcheinander, als dass Ich da mit der limitierten Zeit, die mir dafür, in Anbetracht meiner eigentlichen/sonstigen Interessen, zur Verfügung steht richtig drauf eingehen kann.
All der Kram über Accountsharing, und die Daten… Klar, wenn du Mistsoftware - nein, wirklich - vom Anbieter installierst, oder einen Anbieter nutzt, der deine Daten zu diesen Zweck analysiert. Ich bin genauso deren „eigenen“ Client Software gegenüber misstrauisch, wie den verschiedenen Anbietern. Bzw. sind diese sogar ein No-Go aus meiner Sicht. Was jetzt welches Protokoll genau überträgt, und warum man verschiedene Versionen und Geräte nicht haben können sollte…
Natürlich ist vieles möglich, was ja mein Grund für das „madig machen“ von VPN Anbietern ist. Aber Accountsharing und Datenanalyse bezüglich dessen war gar kein Punkt von mir.
Die ist aus humoristischen Gründen inklusive.
Die meisten „Opfer“ können so oft sie wollen durch loggende VPNs auf der Anklagebank sitzen. Ich habe Mitleid mit den Nutzern von „super“ VPNs, die sich etwaige Versprechen von Anonymität, Sicherheit, oder Anderem aus legalen/vernünftigen Gründen zu nutze machen möchten. Und stattdessen Ihr Surfverhalten überwacht, verkauft, oder verschenkt (kompromittierte Server-Systeme) wird, Ihnen einfach Monatlich/Jährlich Geld für Schwachsinn aus den Taschen „gezogen“ wird, oder oder… und und?
Der Teil „rechtliche Schritte einleiten“ ist eigentlich nur mit „Gegen andere wiederum wird das natürlich schwieriger…“ in einem Mahl zu genießen: Viel Spaß bei Anbietern die sonst wo im Ausland sitzen, gewiss zur Sicherheit ihrer Kunden, oder?
Entschuldigung, aber offensichtlich besitzt man einen Login zum VPN, damit dieser durch Bezahlung limitiert sein kann. Dessen Login-Daten werden zwangsläufig verifiziert, weil du ansonsten ohne bezahlten Account den VPN nutzen könntest. Dabei ist die IP-Adresse jederzeit bekannt, und kann so immer verknüpft werden. Das kann ist ja das Problem? Ob dein Login jetzt eine E-Mail, Username, oder sonst etwas ist. Es ist eindeutig, und damit kannst du die Accounts limitieren oder analysieren.
Und was außer die IP, Login-Daten, und Netzwerkdaten erhält der VPN Anbieter noch, bei der Verwendung vernünftiger Client Software, das Aufschluss über Accountsharing bietet (was glaube Ich mit Thematik war)?
Wenn der Anbieter deinen Netzwerkverkehr analysiert, weil du weiß Gott nicht zwei Videos auf zwei Geräten laufen haben darfst, ohne zwei Personen zu sein, und so Accountsharing feststellt… Ok, in Ordnung, aber wie gesagt, wenn du einen Anbieter nutzt, der Accountsharing untersagt, oder deinen Account darauf analysiert, ist das inwiefern wider meinen Aussagen?
Alles was er erhält, kann er nutzen. Die Frage ist, ob er es tut, und wie. Und für verschiedenste Limitierungen ist eigentlich gar nichts wirklich nötig? Außer er hat ein limitiertes Datenvolumen, das wären realistisch verwertbare Daten.
Das ist außer Kontext. Jeder einzelne Satz, jede „Frage“, ist weitgehend für sich gemeint, als Beispiele. Auf keinen bestimmten VPN bezogen. Die Behauptung war nicht, dass irgendetwas von den komplizierteren Dingen einfach wäre. Dass dein VPN Anbieter trotzdem loggt, ohne dass du das weißt, das ist natürlich schon einfach, wenn er das möchte.
Mit genügend weiteren Daten, Anhaltspunkten, und ggf. aktiver, erweiterter Protokollierung (bei fortwährendem Interesse an aktuellen Daten) lässt sich viel davon leichter und leichter Zuordnen. Der Text ist mir bereits zu lang, um da im Detail drauf einzugehen. Traffic-Analyse ist keine Raketenwissenschaft. Natürlich müssen, wie für alles, bestimmte Voraussetzungen dafür erfüllt sein.
Das war gar nicht meine Absicht, wenn du das so verstanden hast, der Kommentar mit Filesharing bezieht sich auf ein geringes Vergehen, das natürlich groß angelegte Aktionen auf einen VPN nicht rechtfertigen würde, und für Geheimdienste, o.Ä. keine Rolle spielen würde, einfach auch um eine Operation nicht sinnlos zu gefährden, wenn man aus Gründen doch dort rumpfuscht…
Zugegeben, etwas unglücklich ausgedrückt, aber eigentlich unterstelle Ich auch nicht dem Großteil der Nutzer darin Kriminalität, sondern sage, dass es (impliziertes auch) äußerst seltsame und fragwürdige Gestalten anlockt.
Eben, wie du sagst, wie das auch beim Tor Netzwerk geschieht - schwarzer Schafe gibt es überall.
Das hauptsächlich ist im Bezug zu den Anbietern und „richtigen“ Bewerbern der Dienste, es ist eher Subjektiv, aber Ich sage es mal so, die Leute dort sind mir sehr suspekt.
Es sollte natürlich niemand dafür kriminalisiert werden, seine Privatssphäre zu bewahren.
Im übrigen, da wir im gleichen Atemzug Geheimdienste hatten: Eine der größten Bedrohungen für die Privatssphäre ist die Massenüberwachung. Und Teil dieser sind nicht grade geringe Ressourcenaufwendungen zum deanonymisieren von VPN Nutzern.
Bezüglich welchem Zweck genau? Für die Dinge, für die VPN-Anbieter sowieso nicht wirklich taugen, aber ständig erwähnt werden?
Anonymes Surfen? Tor.
Sichere Verbindungen? TLS.
Statische IP? Provider nach dynamischer fragen, oder Providerwechsel.
Treuhänder deiner Verbindungsdaten? Im Notfall geht natürlich ein kommerzieller VPN-Anbieter, aber dem musst du eben vertrauen.
Dabei sind Versprechen von „Anonymität“ meist einfach nur ein Anzeichen von mangelnder Professionalität, entweder weil sie Leute als Kunden fangen wollen, oder tatsächlich keine Ahnung haben.
Oder die Alternative zum verstecken hinter der statischen IP-Adresse eines VPN-Servers, ohne sich üblicherweise Gedanken über Gerätefingerprinting zu machen (wobei das sowieso schlecht zu verhindern ist), welche (Server) man meist dann nicht ändert oder es einfach festzustellen ist, dass diese zum selben Betreiber gehören, und das als zusätzlicher Faktor in Betracht gezogen werden kann, bei Tracking o.Ä.?
Obwohl man auch einfach die dynamische IP vom Provider hernehmen kann, gibt ja grade keine Vorratsdatenspeicherung, und das machen eigentlich alle? Schwimmen in der Masse.
VPN sind simpel. Software installieren, und es heißt man sei geschützt (vor Überwachung, tracking, Hacker - das Werbe-bla-bla).
Das wird untermauert durch ständige Wiederholung und Empfehlung eben jener zu eben diesen Zwecken, zum Großteil von Leuten die sich wenig oder gar nicht damit beschäftigten.
Warum die Alternativen nicht genutzt werden: Sie sind den meisten nicht bekannt. Man müsste sich damit auseinandersetzen, um diese (korrekt) zu verwenden. Es sind Verhaltensregeln zu beachten, man kann verschiedene Dinge nicht tun.
Und: Es wird sich teilweise gar nicht wirklich gewünscht, was man sich wünscht.
Das macht Alternativen nicht so beliebt, dabei ist das Unkomfortable grade eines der wichtigsten Stücke des Puzzels.
Der Wunsch nach „Wasch mich, aber mach mich nicht nass“…
Und dafür hast Du Belege, das alle VPN Provider so handeln?
Ich würde sagen Steuerflucht und um es ausländischen Behörden schwieriger zu machen.
Stell Dir mal vor die rennen Dir alle 14 Tage die Bude ein, weil mal wieder jemand die Gema beschissen hat. Als Nutzer kannst Du rechtlich sicherlich auch gegen Firmen im Ausland vorgehen.
Du wirst es nicht glauben, aber selbst große Firmen setzen auf VPN als sicheres Verbindungsmittel was von außen so gut wie nicht abhörbar ist, selbes gilt die VPN Verbindung zu einem Provider, hier müßten Angreifer wesentlich mehr tun als im selben öffentlichen Wlan zu sitzen.
Hauptsächlich natürlich das verschleiern Deiner wahren IP Adresse, der VPN ist für normale Menschen (professionelle Hacker mit krimineller Energie, würden wahrscheinlich einen fremden PC Ihres Botnetzes kapern, um von dessen Anschluss den Angriff über Tor zu starten) das erste Mittel es anderen (ich nenne jetzt mal bewusst keine Instanzen, den JEDER ist mit genügend Ressourcen und Einsatzbereitschaft ausfindig zu machen, die Navy Seals haben fucking Bin Laden erschossen und Saddam Hussein aus einem Erdloch gezogen, wenn die wollen, bekommen die also Jeden) schwerer zu machen heraus zu finden, wer man wirklich ist.
Und wollte man sich verstecken oder niemand soll mit bekommen woher etwas stammt, wähle ich doch eine VPN Verbindung über Port 443 zum Tor Netzwerk, somit bekommt niemand etwas mit.
Was spricht dagegen diese gesicherte Verbindung nochmals in einen VPN Tunnel zu sichern?
Von aussen sind so nicht mal Meta Daten der TLS Verbindung sichtbar.
Dynamische IP heißt aber mittlerweile das Du die Wochen oder Monate inne hast, egal welcher Provider zu Mal der Wechsel auch nicht immer Möglich ist.
Wenn ein Provider nicht in der Lage ist nachzuvollziehen, welcher Nutzer wann wo mit was verbunden war und es Dir sogar Möglich ist einen Account zu eröffnen ohne Angaben zu Deiner Identität zu machen und Bezahlungen über externe Dienstleister abgewickelt werden, wo aber kein Bezug seitens des Dienstes zu dem Account besteht, dazu ein Angebot verschiedener Möglichkeiten geboten wird, wie (Tor)Proxys, VPN Nodes, Kaskaden dieser, die alle samt vernünftig laufen, kann man von einer Professionalität ausgehen, die Deine Privatsphäre achtet und somit vertrauensvoll ist. Niemand behauptet das jemand heraus finden kann das ich ein VPN nutze, das sieht der ISP, wenn Tor hingegen durch den VPN läuft, könnte das der VPN Provider wissen, aber mehr nicht. Wie viel Anonymer willst Du es denn sonst bekommen?
Es ist nur klar das VPN verwendet wird, verschlüsselte Datenströme lassen sich so wohl unter den Nutzern nicht aufteilen, gleiches gilt für Tor.
Du erwähnst Fingerprinting, was ist besser mit meiner alle jubel Jahre wechselnden dynamischen IP alle Webseiten aufzurufen oder mit einer ständig wechselnden dynamischen IP verschiedener VPN Standorte jeweils in Kategorien verteilt und mit einem modifizierten Browser der Fingerprinting faked unterwegs zu sein? Wer ist einfacher zu tracken?
Und wo Du die Vorratsdatenspeicherung anspricht, gibt es nicht, aber jeder ISP muss jederzeit eine Schnittstelle zur Verfügung stellen, mit der man alles auf Anweisung aufzeichnen kann, der VPN Provider ist dazu nicht verpflichtet.
Wenn Du mir Deiner IP vom ISP meinst in der Masse zu schwimmen, frage ich mich ernsthaft ob Du das Prinzip in der Masse verschwinden und die rechtliche Konsequenzen daraus wirklich verstanden hast. Die IP des ISP ist ein eindeutig auf Dich (Dein registrierter Anschluss) zurückführendes Merkmal, welches Du nicht entkräftet bekommst. Das Urteil der Oma die keinen PC hatte aber einen Internet Anschluss ist bekannt (https://jurios.de/2021/11/18/urteil-gegen-oma-ohne-pc-wegen-filesharings/)?
Hätte die Oma einen VPN genutzt, um ins Internet zu gehen, hätte, sollte auf irgendeine weise eine Zuordnung möglich gewesen sein, diese Zuordnung niemals Bestand, weil jeder der VPN Nutzer hätte diese IP haben können, sie ging mit Ihrer wahren IP online und konnte aufgrund dessen verurteilt werden, weil sie keinen Täter im freien zugänglichen WLan nennen konnte/wollte. Ich hoffe dieser Umstand ist Dir jetzt bewusster. Sobald ein begründeter Zweifel aufkommt, bist Du nicht haftbar zu machen.
Und wenn ich tausend Mal mit Verbrechern in einen Topf geworfen werde, solange ich sauber bin, kann mir das am Arsch vorbeigehen, lieber so als anders.
Dir ist klar das Du Dir hiermit gerade selbst in Deinen Aussagen widersprochen hast, oder?
Warum sollten Geheimdienste dies versuchen wenn VPN Nutzer doch gar nicht anonym sind und warum sind diese Ressourcen nicht gerade gering?
Das zeigt doch das VPN eins der vielen Mittel ist sich zu verstecken oder in der Masse des verschlüsselten Verkehrs unter zu gehen, weil die anderen hat man doch ganz easy auf dem Schirm.
Du kannst 8 verschiedene Browser verwenden mit Deiner ISP IP oder verwendest 8 verschiedene Browser mit 8 verschiedenen VPN IP.
Mit der zweiten Wahl erreichst Du wesentlich mehr.
VPN ist kein Allheilmittel, stimme ich Dir zu, aber wer Datenschutz haben will und mit der eigenen IP durch die Weltgeschichte surft, kann auch mit seinem Namen und Adresse auf dem T-Shirt im Kaufhaus rum laufen. Frage ist dann, wer die Werbung nach Hause bekommt.
Auch wenn der Thread etwas alt ist (ich bin drüber gestolpert, weil ich ein ähnliches Problem mit gmx / Spamhaus hatte), nochmal ein paar Worte zum ursprünglichen Problem (abseits der Diskussion um Sinn und Nutzen einer VPN-Verbindung zum Zweck der Wahrung der Anonymität).
Hat bei mir nichts mit meiner IP oder einem VPN provider zu tun.
Soweit ich verstanden habe, prüft gmx Mails vor dem Versenden. Wird die Mail von gmx (nach eigenen Kriterien) als Spam eingestuft, erfolgt der Versand durch gmx über die (gmx) IP Adresse 82.165.159.14, die bei Spamhaus auf der Blacklist steht, was von gmx gewollt ist. Das ermöglicht dem empfangenden System (falls es auf die Blacklist zugreift), die Mail direkt als Spam zu klassifizieren und entsprechend zu reagieren. In meinem Fall: die Zustellung verweigern. (Und gmx verringert die Wahrscheinlichkeit, dass ihre anderen IPs auf der blacklist auftauchen.)
So weit nichts Neues, und bereits oben gesagt.
Als Ergänzung:
Es gibt eine Möglichkeit, darauf zu reagieren: über https://check.spamhaus.org/listed/?searchterm=82.165.159.12 [Show Details] kommt man an eine Erläuterung, inklusive gmx Kontakt (https://postmaster.gmx.net/en/case?c=uar). Habe ich genutzt.
Ob es letztlich daran lag - aber einen Tag später hat der Versand der Mail dann geklappt. Ohne irgendeine Änderung an Netzwerk, Provider, …
Danke für Deinen Bericht.
Wie Du habe ich mich auf die Spamhouse-Erläuterung hin an gmx und web-de gewandt. Außer dem Hinweis das man Free-Usern keinen Support gewährt kam leider nichts.
Meine Lösung des Problems ist nun, vor dem versenden von Mails den Torbrowser zu starten und in den Thunderbird-Verbindungseinstellungen manuell auf den Torproxy umzustellen.
Die 82.165.159.14 ist also eine gxm Spam-IP, über die Gmx mit Absicht mails versendet die intern als Spam eingestuft werden? Über die (bei Spamhouse nicht gelisteten) Ips versendet man dann die als nicht-Spam eingestuften Emails? Macht Sinn.
Wenn Dein Versand einen Tag später funktionierte nach der Invention, hat Gmx quasi eine andere IP genommen. Gabs seitdem nochmal Probleme mit anderen Mails beim Versenden?
Versendest Du über die ISP-IP oder einen VPN?
Sorry für die späte Reaktion, hab Deinen Beitrag leider erst verspätet zu Kenntnis genommen. Yep, den Hinweis mit „kein Support für free-user“ auf deren Websites kenne ich. Allerdings habe ich wie gesagt nicht direkt versucht, den Support zu kontaktieren, sondern das Formular hinter oben genannte URL (https://postmaster.gmx.net/en/case?c=uar). Die schrieben selbst, es gibt keine Rückmeldung… Ob das das Problem behoben hat oder nur Zufall im Spiel war weiß ich nicht. Ich kann nur sagen, dass es bei mir dann funktioniert hat.
Deine Zusammenfassung bzgl. der 82.165.159.14 halte ich für korrekt, genau so habe ich das verstanden.
Und ja, ich habe gelegentlich Probleme mit anderen Mails. An der Schule meiner Tochter gibt es email-Verteiler für bestimmte Klassen, Gruppen wie Elternvertreter etc. Das ist auch über ein Berechtigungskonzept clever gemanaged, mit meiner email-Adresse darf ich bestimmte Verteiler nutzen, andere nicht. Frag mich nicht, wer sich die Mühe macht, die zu pflegen… Kurz: wenn ich diese Verteiler anschreibe, wird meine Mail vom Schulserver empfangen und an den Empfängerkreis weitergereicht. Das hat immer wieder zu Problemen unterschiedlicher Art geführt. Ich vermute, dass gmx diese eine Mail, über die wir bisher sprachen, deshalb als Spam eingestuft hatte. Es kam aber auch schon zu Fehlermeldungen, weil Empfängersysteme „durchgereichte“ Mails generell zurückgewiesen hatten, weil die Schulserver-IP zurückgewiesen wurde etc. Ansonsten (gmx mail direkt an Empfänger) hatte ich bisher eigentlich keine Probleme.
Was Deine Lösung angeht, wundert mich, dass sie funktioniert. Tor verschleiert Deine IP Adresse. D.h. Du kommst (aus Netzwerksicht) anonym beim gmx-mailserver an. Sollte gmx Deine Nachricht wegen inhaltlicher Kriterien, Empfängerkreis etc. als Spam einstufen dürfte das aber keine Rolle spielen. Nur für den Fall, dass gmx Deine IP (egal ob VPN oder ISP-IP) als Spam-Grund ansieht, dürfte das einen Unterschied machen.
Und als letztes: ich hatte in dem Fall über meine ISP-IP verschickt.