In einschlägigen Foren werden hauptsächlich zwei VPN Anbieter angepriesen, welche in der Szene ein gewisses Ansehen genießen. Das ist einmal Perfect-Privacy.com (PP) und oVPN.to (oVPN). Ich nutze zur Zeit nur oVPN, da dieser Anbieter günstigere Preise im Gegensatz zu PP angibt. Beide Anbieter werden von den jeweiligen Parteien gelobt, bzw. kritisiert, wobei es im Endeffekt nur das Vertrauen das entscheidende Kriterium ist. Der Kunde muss dem Anbieter vertrauen, das dieser zu keiner Zeit Logfiles auf seinen Server weitergibt, bzw. die Live-Verbindungen analysiert.
Als ich den Betreiber (MrNice) von oVPN.to fragt, wie dieser denn seinen Kunden die beste Anonymität bietet, bat dieser mir an, über TeamViewer mit ihm nach Logfiles zu suchen. Ich wurde eingeladen in Struktur von oVPN Einblick zu erhalten und euch Lesern zu versichern, das dieser zu dem Zeitpunkt (10.03.12) keine Logdateien geführt hat.
Zunächst wurden mir die Serverkonfigurationen des OpenVPN gezeigt, welche ihre Logs nach /dev/null/ schreiben.
Danach gings weiter zum Apache-Accesslog, in dem zwar Logeinträge existieren, diese jedoch nur eine IP des Proxys beinhalten.
Nun wurde mir die Konfiguration des Nginx Proxies weitergemacht, welcher wiederum die Logdateien nach /dev/null schreibt.
Danach zeigte MrNice mir die Konfigurationen bzw. die Logdateien der Proxydienste (3proxy/dante/squid).
Squid:
Wie man sieht, ist die access.log 0 Byte groß, was bedeutet das dort nichts drin ist. Der Cache dient nur dazu, Daten kurz zwischenzuspeichern, jedoch sieht man dort höchstens die Zieladresse und nicht die Quellip.
Wer sich die Konfiguration vom Dante anschauen möchte, der kann dies auch unter folgender URL machen: https://cp.ovpn.to/socks/ua1.ovpn.to.conf
Der Proxy 3proxy läuft mit dem Parameter “-a”, womit dieser dazu gezwungen wird, keine Logs anzulegen.
Um nun sicher zu gehen, das auch wirklich keine anderen Logdateien unter /var/log/ entstehen, bzw. existieren hat der Anbieter diese nach /dev/null umgeleitet, bzw. ein Script erstellt, welches alle 15 Minuten diese Logs löscht, falls diese aus unerklärlichen Gründen vorhanden sein sollten.
Einen Ansatzpunkt, bei dem ein Anbieter an die IP-Adressen kommt, ist wenn dieser den aktuellen Netzwerkverkehr sich Live anzeigen bzw. mitschneiden lässt. Dann helfen auch die besten Logdateikonfigurationen nichts.
Dabei sollte man jedoch wissen, das dort auch die IP Adressen der anderen Server auftauchen, falls man einen weiteren Server als Proxy nutzt. Dies erschwert die Verfolgung eines einzelnen Benutzers, da man schauen müsste, wo geht die IP raus, wo geht sie beim Proxy rein, usw.
Es fiel das Stichwort “VM”, und MrNice erklärte mir, das er durchaus Server bzw. einzelne Bereiche in getrennten virtuellen Maschinen betreibt.
Nun interessierte mich die Sicherheit der “Anonymous Email”, welche als Service angeboten wird. Auch dort gibt es keinen Grund zur Sorge, denn die Maillogs werden für 24 Stunden gespeichert, um im Falle von Spam durchgreifen zu können. Wie immer, werden die IP Adressen anonymisiert.
In der Benutzerübersicht, bzw. bei einem Benutzer direkt, werden auch keine IP-Adressen gespeichert, wie ich es in meinem Profil sehen konnte.
Der Service wird mit der Aussage, die Emails würden verschlüsselt werden, gepriesen, was ich bestätigen kann.
Ich habe die Reihenfolge hier etwas verändert, um die Struktur zu wahren, deswegen nicht wundern, wenn dort die Frage nach den Mails auftaucht, obwohl ich gerne etwas zum Panel bzw. zur Nutzerdatenbank wissen wollte.
Zu allerletzt wollte ich wissen, wie es um die Sicherheit der Nutzerdaten steht, und forderter einen Einblick in die Datenbank. Den direkten Zugriff wollte bzw. konnte er mir nicht gewähren, jedoch gab er mir ein Screenshot des Inhaltes.
Nach diesem Einblick bin ich davon überzeugt, das oVPN.to keine Logeinträge erstellt, welche einen Benutzer belasten könnten bzw. irgendwie auf die Identität des Kunden schließen lassen könnten.
Dies ist natürlich der Momentanzustand, denn die Logdateien könnten natürlich einfach wieder aktiviert werden. Dies ist nun das angesprochene Vertrauen, welches der Kunde in den Betreiber setzen muss. Ein Betreiber möchte natürlich dieses Vertrauen und damit seine Kunden nicht verlieren, weswegen er das Logging nicht aktivieren sollte/wird.
Es wäre nun noch interessant einen Einblick in die Struktur von Perfect Privacy zu erhalten, um die beiden Anbieter wirklich vergleichen zu können.
Ich bedanke mich hier nochmal ganz herzlich für das Vertrauen und den Einblick in oVPN.to und wer sich nun anmelden möchte, kann dies mit diesem Link tun:
https://cp.ovpn.to/index.php?site=register&refid=7503864
Viel mehr gibt es gerade nicht zu berichten.
UPDATE:
Ich hatte nochmal nach dem Fall gesucht, als das BKA nach Daten fragte, und hier ist die Emailkonversation (von unten lesen):
Teil1: http://nopaste.me/raw/16944506864e63a194da055.txt
Teil2: http://nopaste.me/paste/7450432104f64c2f5d5edf
Gruß
gehaxelt