Vorratsdatenspeicherung löchrig wie Emmentaler

1. April 2012, 12:36

Es braucht keinen James Bond, um die Vorratsdatenspeicherung auszutricksen.

Die Vorratsdatenspeicherung (VDS) wird vor allem Unbescholtene treffen. Von den bösen Jungs gehen nur die Naivlinge den Datensammlern auf den Leim. Denn die Methoden zum Umgehung sind meist einfach, günstig und legal.

Die Vorratsdatenspeicherung zielt vor allem darauf ab, Beziehungsnetzwerke abzubilden: Wer kommuniziert wann von wo wie häufig mit wem? Analysesoftware extrahiert aus dem Datenberg vielsagende Beziehungsgeflechte. Das ist für Schnüffler oft interessanter, als der eigentliche Inhalt der Kommunikation - der im Zweifelsfall sowieso verschlüsselt oder eine bewusste Irreführung sein kann.

Grenzen

Die Vorratsdatenspeicherung hat aber ihre Grenzen: Sie gilt nur in bestimmten Staaten und ist auch dort jeweils unterschiedlich ausgestaltet. Außerdem ist der technische Aufwand sehr hoch. Deshalb müssen in Österreich nur Provider mitmachen, die mit ihren Diensten mehr als 277.000 Euro im Jahr umsetzen.

Also sind praktisch alle kommerziellen Dienste erfasst - nicht aber Server, die Privatpersonen oder Firmen, politische Parteien oder andere Organisationen selbst für den eigenen Bedarf betreiben. Wenn also ein E-Mail vom Konzern X an die Partei Y geht, wird darüber häufig nichts auf Vorrat gespeichert werden. Auch bei kostenlosen WLAN-Hotspots müssen keine Vorratsdaten generiert werden.

Online-Zugang

Im Zuge der Vorratsdatenspeicherung sollen die Internet Provider speichern, wer wann welchen Anschluss mit welcher IP-Adresse genutzt hat. Die Idee dahinter: Wenn im Zuge der Ermittlungen eine IP-Adresse in einem Logfile gefunden wird, kann mit den Vorratsdaten der Anschlussinhaber eruiert werden.

Trotzdem ist es zur insoweit anonymen Kommunikation gar nicht notwendig, sich in fremde WLANs zu hacken. Mit einer anonymen SIM-Karte für mobilen Internetzugang, einem kostenlosen WLAN-Hotspot und/oder einem Virtuellen Privaten Netzwerk (VPN) kann schon viel erreicht werden.

VPN

Bei einem VPN fließen die Daten nicht direkt zwischen dem eigenen Anschluss und dem Zielsystem, sondern über einen zwischengeschalteten Rechner. Nur dessen Identität ist für das Zielsystem erkennbar. Zwar könnte der zwischengeschaltete Rechner beschlagnahmt werden, aber wenn es dort keine Logfiles gibt, bringt das den Ermittlern nicht viel.

VPN-Dienste gibt es beispielsweise von Firmen und Universitäten für den eigenen Bedarf, von internationalen kommerziellen Anbietern für ein paar Euro im Monat oder werbefinanziert. Auch selbstgestrickte VPNs über einen (virtuellen) Server eines Hosting-Providers sind keine Hexerei.

In der Regel werden VPN für legitime Zwecke genutzt, um Unbefugten das Mitlesen zu erschweren oder Zensur zu umgehen. Alle VPN sind aber eine Frage des Vertrauens, die man dem Betreiber entgegen bringt. Im Extremfall kommt man vom Regen der Vorratsdatenspeicherung in die Traufe des VPN-Logfiles. Ein beliebter Weg, die eigene Identität zu verschleiern ist zudem das das von Freiwilligen betriebene Tor-Netz.

E-Mail

Auf ihr Privatleben bedachte User werden fortan E-Mail-Server nutzen, die nicht der Vorratsdatenspeicherung unterliegen: Das kann zum Beispiel ein (virtueller) Rechner bei einem Hosting-Anbieter sein auf dem man selbst einen Mailserver aufsetzt, oder einfach ein kommerzieller Dienst in einem VDS-freien Land. Bisweilen wird auch der Mailserver des Arbeitgebers eine Option sein.

Ein zu Hause am Breitbandanschluss betriebener Mailserver fällt ebenfalls nicht unter die Vorratsdatenspeicherung, womöglich aber andere Server, mit denen E-Mails ausgetauscht werden. Die Daten über den Inhaber des Breitbandanschlusses sind sehr wohl Teil der neuen Datensammlung, sofern es sich nicht um anonyme Mobilfunk-Zugänge handelt. Hier werden die Nutzer also Vorsicht walten lassen.

Technisch gesehen ist zum reinen Versand von E-Mails kein eigener Mailserver erforderlich. Ein winziges, kostenloses Programm am Laptop oder Handy reicht aus, um bei einem anderen Mailserver eine Nachricht einzukippen. In Kombination mit einer anonymen Verbindung kann man so zumindest in einer Richtung unerkannt Nachrichten übermitteln.

Telefonie

Beim klassischen Fernsprechen ist der Aufwand höher. Im Festnetz bieten sich Telefonzellen, Callshops oder zum Beispiel Telefone in Restaurants an. Für mobile Telefonie gibt es anonyme SIM-Karten mit Vorauszahlung. Wer möchte, wechselt diese häufig, um keine Bewegungs- und Kommunikationsmuster zu hinterlassen.

Dabei muss auch das Handy selbst gewechselt werden, weil die IMEI genannte Gerätenummer gespeichert wird. Alternativ kann die IMEI bei manchen Handys geändert werden, wenn man passende Software und ein Datenkabel zur Hand hat. Diese Vorkehrungen können noch mit ausländischen Calling Cards kombiniert werden.

Follow the Money

"Folge dem Geld" ist einer der simpelsten Ansätze von Detektiven. Wer aber seine Kommunikationsdienste bar bezahlt und, etwa beim Aufsuchen einer Telefonzelle oder eines Restaurant-Telefons Überwachungskameras meidet, reduziert sein Risiko erheblich. (dajs, derStandard.at, 01.04.2012)

Share if you care
Posting 1 bis 25 von 154
1 2 3 4

Beim Thema Spam möchte ich anmerken, dass GMail-Kontos davon scheinbar verschont bleiben. Ein Schelm wer Böses dabei denkt ;D

Für jeden der sich hier heuchlerisch beschwert und noch nicht unterschrieben hat :) : http://www.parlament.gv.at/PAKT/VHG/... Uebersicht

und für den rest?

...

Ein winziges, kostenloses Programm am Laptop oder Handy reicht aus, um bei einem anderen Mailserver eine Nachricht einzukippen.

Lieber dajs,
das funktioniert nur, wenn der Mailserver fehlerhaft konfiguriert ist. Die Mailserver der großen Provider sind es, die nehmen auch jeden Spam an.
Bei einem Mailserver der von einem kundigen Admin (die es bei den großen Providern nicht gibt) aufgesetzt wurde, wird die Verbindung bereits nach dem HELO/EHLO-Command getrennt.

1.) meldet sich ein solchen Programm mit einem Hostname den es nicht gibt
2.) gibt es zu diesem Namen keinen PTR-Record
3.) ist Ihr Gerät kein offizieller MX der Domain des Absenders

Wenn Sie mir nicht glauben, nehmen Sie mit mir Kontakt auf (als Mitarbeiter sehen Sie die Mailadresse nehme ich an) und ich gebe Ihnen meine Mail-Adresse auf meinem Server wo Sie es dann probieren können.

Wo steht, daß beim SMTP die sender-ip per reverse lookup gecheckt werden muß oder man nur über den MX der für die From-Domain (dar war ja damit gemeint, oder?) zuständig ist mailen darf? Die ganzen Techniken wie SPF & Co nett in der Theorie, aber gibt einige Problemchen damit.

Die Provider haben übrigens sehr fähige Mailserver-Admins, die aus gutem Grund nicht auf Brachialmethoden setzen. Problem ist SMTP selber und mit dem ganzen Flickwerk wird das nichts - was neues durchsetzen ist sehr schwer.

wer kann sich noch erinnern?

Als microsoft vor einigen jahren das "ende des spam" ankündigte. Damals war von 1,5 jahren die rede, gesehn hat man aber nie etwas davon. Spam und spoofing wird es immer geben, so wie postwurf und die typen, die diese autopolituren auf den parkplätzen der möbelhäuser anpreisen.

"Die Provider haben übrigens sehr fähige Mailserver-Admins, ..."

Das bezweifel ich, da ich schon mit einigen telefoniert habe. Die eine Hälfte weis nicht was RFC's sind und die andere Hälfte ist der Meinung, daß alle RFC's Microsoft geschrieben hat (speziell die, die vor der Microsoftgründung geschrieben wurden) und deshalb der Exchange-Server das beste ist.

"... die aus gutem Grund nicht auf Brachialmethoden setzen"

Das sind keine Brachialmethoden, das ist prüfen ob die RFC eingehalten wird.

"Problem ist SMTP selber und mit dem ganzen Flickwerk wird das nichts"

SMTP hat kein Problem. Die (Super)Admins haben entweder ein Verständnisproblem oder es interessiert Sie nicht. Hauptsache es läuft, wie is Wuascht.

geh...

Die wirklich guten admins sind halt gscheiter als alle RFC ;)
Das ist der wahrheit!

Telefoniert? Wohl eher mit der 1st Level-Hotline statt mit den Admins ;) Welcher ISP setzt Exchange ein?

Bitte die Stelle in den SMTP RFCs wo steht, daß reverse lookups verpflichtend zu verwenden sind!

Am besten in den Ferien einmal bei einem ISP für ein Praktikum bewerben und den Mailserver Admins ein wenig über die Schultern schauen!

Bitte die Stelle in den SMTP RFCs wo steht, daß reverse lookups verpflichtend zu verwenden sind!

Nicht aufgepasst, nochmal:
Es ist Plicht, daß der SMTP-Client bei EHLO seinen FQDN bekannt gibt. Es ist nicht Plicht diesen zu prüfen, kann man aber. Bei einer Prüfung sollte dann die IP rauskommen von der der Client sich meldet.
Es ist nicht Pflicht den PTR zu setzen, gehört aber zum guten Ton (und gute Admins tun das auch). Der SMTP-Server muß diesen nicht prüfen, er kann es aber.

Ergebnis:
Wenn es viel ist, bekomme ich 5 Spam-Mails im Monat.
Der Server verweigert ~15.000 Zustellversuche von Spam im Monat.

Es fehlt noch immer die Info, was die angeblich so schlechten Malserver Admins der großen Provider (deiner Meinung nach) falsch machen!
Kein PTR gesetzt? Bei wem? Fixer bounce wenn reverse lookup nicht passt wär brachial und machen nur wenige.

was die angeblich so schlechten Malserver Admins der großen Provider falsch machen!

Viele Server melden sich beim EHLO-Command mit falschen Namen (der FQDN ist hier Pflicht).

Nach einem Fehler (4yz oder 5yz) tun die Server so wie wenn es kein Problem gäbe und machen einfach weiter (sowas kenne ich nur vom Exchange).

Sie versenden Mails für Domains für die sie nicht zuständig sind (Spamschleuder).

Das sind so die gravierendsten Punkte die mir unterkommen.
Wenn ich die Admins darauf aufmerksam mache, reagieren Siwe entweder garnicht, oder man bekommt Aussagen wie: "mit allen anderen gehts ja auch".

Nur weil es Zig-Tausend falsch machen wird es deshalb nicht richtiger.

Und wenn sich der client beim EHLO mit einem Namen meldet, der nicht zum reverse lookup passt gleich bouncen, oder? Das gibt Brösel! ;)

Clients, die Fehler ignorieren oder nicht auf Antworten warten (early talkers) gehören abgewürgt - kein problem damit.

Weiters würdest die Domain aus "From" checken und bouncen, wenn das mail nicht vom eingetragenen MX kommt? Oder diverse checks, z.b. SPF, nicht passen.
Das gibt *richtig* Brösel.

Die Admins machen da gar nichts falsch - Problem ist, wie gesagt, SMTP. Da ist nichts ordentlich geregelt.

Es machen eher die Admins was falsch, die z.B. irgendwelche Sender-Checks machen und deswegen bouncen.

SMTP gehört frisch geregelt oder abgelöst - ist halt *sehr* schwer! Diskussionen gibts schon ewig!

Und wenn sich der client beim EHLO mit einem Namen meldet, der nicht zum reverse lookup passt

Falsch! Der Server prüft den A-Record, nicht den PTR-Record. Es ist Pflicht das sich jeder Server mit seinem FQDN meldet und bei der Abfrage des A-Records müsste demnach auch die IP retourniert werden von der der Server sich meldet.

"MAIL FROM"-Check:
Grundsätzlich mache ich daß, um Mails abzulehen die von einer Domain kommen die es garnicht gibt.
Ich prüfe aber auch den MX-Record, um Mails abzulehen die von Open Relays oder möglichen gecrackten Servern kommen.
Von solchen Servern kann man nur Spam erwarten den ich nicht haben will.

SMTP ist relativ frisch geregelt, nur wissen das die Admins nicht, sonst würde es nicht so viele Brösel geben.

EHLO ist Sache des Clients, aber ich denke wir wissen beide worum es geht ;) Klar der Server macht nach dem EHLO natürlich keine PTR Abfragen.
Anyway, ein SMTP-Server darf ein Mail nicht aufgrund eines DNS-Checks vom EHLO Parameter abweisen, würde aus meiner Sicht auch Brösel verursachen.
Kann aber natürlich sein, daß ich auch nicht am Stand bin, wenn das alles neu geregelt ist ;)
From-Checks kann man auch privat machen, aber nicht auf einem ISP host. Alles nicht so einfach! ;)

Anyway, ein SMTP-Server darf ein Mail nicht aufgrund eines DNS-Checks vom EHLO Parameter abweisen, würde aus meiner Sicht auch Brösel verursachen.

Warum nicht? Wenn Sie in die Bank gehen, sich als Hr. Meier vorstellen, eine Kundenkarte von Hr. Müller vorweisen und vom Konto eines Hr. Huber etwas abheben wollen, bekommen Sie auch nicht das was Sie wollen, odr?
Hier wie da ist das nur eine Sicherheitsüberprüfung.

"From-Checks kann man auch privat machen, aber nicht auf einem ISP host."

MTA ist MTA, ob der in einem KMU oder ISP steht und betrieben wird ist gleich.
Warum sollte ein ISP Mails von nicht existierenden Domains annehmen? Wo ist da der Sinn? Wo sind da die Vorteile?

Wenn alle MTAs prüfen würden, könnte das Spamaufkommen auf weit unter 1% des jetztigen gedrückt werden. Und wenn es nurmehr offizielle MTAs gibt, gibt es auch Ansprechpersonen um den Rest zu verhindern.

RFC zwingend?

Wo ham Sie sich denn verlesen?
Wer den sinn von RFC nicht schnallt, der soll sich ruhig bei upc und dergleichen bewerben. So hat man wenigstens immer zuverlässige server, die spoofing unterstützen. Für den ersten april z.b. Die server stehen auch regelmässig in diversen greylists. Inode sind (waren) die guten, upc sind wohl die besten...
Sieht man ja an den ergebnissen ;)

Schon klar, aber gibt halt nichts anderes als die RFCs

"Wo steht, daß beim SMTP die sender-ip per reverse lookup gecheckt werden muß ..."

In der RFC steht, daß die IP des Senders einen PTR-Record haben muß und der Sender sich beim HELO/EHLO-Command sich damit vorstellen muß.
Der Empfänger muß das nicht prüfen, aber er kann (und meine Server tun das).

"... oder man nur über den MX der für die From-Domain zuständig ist mailen darf?"

Sie dürfen über jeden Server mailen wenn es Spaß macht, seien Sie aber nicht verwundert wenn es nicht ankommt. Warum sollte Microsoft über a1.net verschicken oder Apple über chello.at? Wo ist da der Sinn?

"Die ganzen Techniken wie SPF & Co ..."

Über SPF sprach ich nicht und ist auch kein Ausschlußkriterium auf meinen Servern.
(zu geringe Verbreitung)

frage zu webmail

wenn ich nun gmx, hotmail, google+ oder ähnliches zum mailen benutze, wird da nur der aufruf der website protokolliert für VDS oder auch an wen ich maile bzw von wem ich mails bekomme?

wie ist das bei facebook, XING usw? kriegt da die VDS mit mit wem ich dort nachrichten tausche?

Die Webseiten, die Sie aufrufen werden angeblich nicht protokolliert, sondern nur Verbindungsdaten zu Ihrem Provider. Falls aber doch: Wenn Sie Hotmail über HTTPS aufrufen, könnte nur der Aufruf protokolliert werden, was Sie in und mit Hotmail machen aber nicht. Sehr wohl ist aber anzunehmen, dass Hotmail und Google bei Nachfrage mit den Behörden kooperieren, Facebook gibt dies sogar offen zu, dass sie bereitwillig kooperieren, bzw. sind dort die Schnüffler schon lange direkt mit entsprechenden Accounts drin.

Genau!

Webserverlogs müssen nicht geloggt werden. Der (Access/Zugangs) Provider muß protokollieren wer wann mit welcher (offiziellen) IP online war.

Webserverlogs behalten die Hostingprovider meist nur bis zur Auswertung für die Zugriffstatistik und danach sind die Details weg, wobei auch oft IPs/Hostnamen in die Statistik kommen, aber zeitlich nicht mehr genau zuordenbar und somit wertlos sind.

VDS stammt ja vom paranoiden Scheuble

Hat dafür jetzt die TASt gekippt. Für Scheuble gilt was Engels (oder?) ersonnen hat: Traue nie einem Gedanken der dir im Sitzen kommt.

Ähnliches Profil wie Fekter:
Zuerst Innenminister, jetzt Finanzminister. Dort wie da Unfug. Stützt Ausgaben auf Einnahmen die sich nicht realisieren -> Krida nennt man das.

Wissts ehs über dieses "Torproject" Bescheid? Habts das einfach runtergeladen und schon war alles "verschleiert"?

Posting 1 bis 25 von 154
1 2 3 4

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.