Privacy - Wat niemand over je mag weten

Voor degenen die denken dat VPN's anonimiteit bieden

16-05-2023, 15:05 door Anoniem, 16 reacties
Ik kwam vandaag in NANOG het volgende bericht tegen:

https://www.vice.com/en/article/dy3z9a/fbi-bought-netflow-data-team-cymru-contract

Blijkbaar bedoeld om VPN's te tracken. Ik doe het gewoon echt liever zonder VPN via de ISP, en gebruik een VPN waar het voor bedoeld is (site2site of roadwarrior).
Reacties (16)
16-05-2023, 16:04 door Anoniem
Door Anoniem: Ik kwam vandaag in NANOG het volgende bericht tegen:

https://www.vice.com/en/article/dy3z9a/fbi-bought-netflow-data-team-cymru-contract

Blijkbaar bedoeld om VPN's te tracken. Ik doe het gewoon echt liever zonder VPN via de ISP, en gebruik een VPN waar het voor bedoeld is (site2site of roadwarrior).

Het is een illusie om onzichtbaar bij overheden en 3 letter diensten te blijven.
VPN kan, mits je zorgvuldig omgaat hiermee, wel degelijk een bepaalde mate van anoniemiteit bieden. Daarnaast kunnen VPN's helpen bij het beveiligen van je verbindingen en het tegengaan van het lekken van je DNS requests.

Enfin, doe waar je je lekker bij voelt.
16-05-2023, 16:41 door Anoniem
Door Anoniem:
Door Anoniem: Ik kwam vandaag in NANOG het volgende bericht tegen:

https://www.vice.com/en/article/dy3z9a/fbi-bought-netflow-data-team-cymru-contract

Blijkbaar bedoeld om VPN's te tracken. Ik doe het gewoon echt liever zonder VPN via de ISP, en gebruik een VPN waar het voor bedoeld is (site2site of roadwarrior).

Het is een illusie om onzichtbaar bij overheden en 3 letter diensten te blijven.

Dat - als je 'person of interest' bent is beslist erg lastig.


VPN kan, mits je zorgvuldig omgaat hiermee, wel degelijk een bepaalde mate van anoniemiteit bieden.

Wat bedoel je concreet met 'zorgvuldig omgaan' met VPN ?

(ik neem aan dat je - net als dit artikel - VPN hier gebruikt in de betekenis van VPN service door een derde partij zoals een NordVPN . En niet in de betekenis "vpn naar mijn kantoor" , of VPN naar mijn thuisrouter vanaf mijn mobiel" ) .

En welke mate van anonimiteit tegen wie precies ?


Daarnaast kunnen VPN's helpen bij het beveiligen van je verbindingen en het tegengaan van het lekken van je DNS requests.

tegen welk soort aanvaller op welke plek zie jij zo'n commercieel VPN als "hulp bij beveiligen". ?

En tegen welke aanvaller op welke plek voorkomt het "lekken van mijn DNS requests" ?
(en, als contrast - aan welke ANDERE plek daarintegen laat ik mijn DNS requesten zien )


Enfin, doe waar je je lekker bij voelt.

Voor het je ergens lekker (of niet) bij voelen helpt het om veel concreter scenario's expliciteit te maken van welke mogelijke aanvallers op welke plek je met een bepaalde maatregel zicht op je verkeer ontneemt. Of juist aanlevert .

"Mijn favoriete vlogger adverteert voor NordVPN. Ik weet verder niet wie of wat NordVPN beheert of er de eigenaar van is, maar ik vind het een heel goed idee om al mijn Internet verkeer aan hen te laten zien . Door dat te doen voorkom ik dat Ziggo/KPN/Delta mijn Internet verkeer zien, en zien de sites die ik bezoek niet mijn ISP-IP zien en dat is een prima ruil. ".

Je moet goed bedenken dat je met een VPN (slechts) ruilt welke partij goed zicht kan hebben op je Internet verkeer, en op z'n best een extra buffer tegen min of meer "nette" civiele partijen hebt qua anonimiteit.
Het kan een reeele keuze zijn - maar veel van de reclame-hype zijn flinterdunne beloften.
16-05-2023, 16:56 door Anoniem
VPN is *nooit* bedoeld geweest voor pseudo anonimiteit. Dat is een functie die ze later erop hebben bedacht als hey mischien kunnen we dit verkopen naar de massa die geen kennis van IT heeft. Primair doel is een tunnel te maken tussen twee endpoints zodat enkel dat verkeer arriveert zonder inmenging van andere pakketjes en daarmee indringers die zich ook op het reguliere netwerk bevinden. Daarbovenop draait de VPN server en client weer TLS voor de encryptie want VPN zelf doet niks met encryptie je kan het ook over http proxy gooien.

Al het verkeer in Nederland kan worden afgetapt bij een van de knooppunten en dat gebeurt ook. Dat is al jaren zo hetzelfde met reguliere telecom. We zijn zelfs kampioen telefoontaps geweest ter wereld. Beetje als dat het publiekelijk geheim is dat we op Volkel kernkoppen hebben liggen van Amerika. We zullen het niet toegeven maar het gebeurt.

En ik kan je op een briefje geven dat we meer doen dan dat want we zijn een van de hoofdknooppunten voor de aankomst van transatlantische kabels voor rest van de europese infrastructuur.
https://blog.cyberwar.nl/wp-content/uploads/2020/10/Screenshot-2020-10-30-at-08.32.40.png

Dat neemt niet weg dat VPN nog steeds handig kan zijn voornamelijk zakelijk gezien. En ja het werkt voor groot deel voor het omzeilen van een IP range geo block voor Netflix etc maar dat is het ook zo beetje qua nut voor een consument het enige het gaat je niet beschermen tegen een piracy claim voor een torrent die je hebt gedownload. De realiteit is je bent gewoon niet interesant voor de meeste partijen om werk van te maken tot je geld in het laatje kan brengen zonder dat ze moeten procederen tot ze een ons wegen om de ISP aan het werk te zetten.

Pseudo anonimiteit is niet makkelijk en anonimiteit is tegenwoordig haast een ambacht die heel weinig bezitten nog kunnen onderhouden.
16-05-2023, 16:59 door _R0N_
Een VPN is het verleggen van vertrouwen.

Vertrouw je de VPN aanbieder meer dan je eigen ISP? Dan moet je en VPN nemen.
16-05-2023, 17:45 door Anoniem
Wanneer zijn VPN'snuttig?¶
Een VPN kan nog steeds nuttig voor u zijn in verschillende scenario's, zoals:

Uw verkeer verbergen voor alleen uw internetprovider.
Het verbergen van uw downloads (zoals torrents) voor uw ISP en anti-piraterij organisaties.
Uw IP verbergen voor websites en services van derden, waardoor IP-gebaseerde tracking wordt voorkomen.
Voor situaties als deze, of als u een andere dwingende reden heeft, zijn de VPN-providers die we hierboven hebben vermeld, degenen die volgens ons het meest betrouwbaar zijn. Het gebruik van een VPN-provider betekent echter nog steeds dat u de provider vertrouwt. In vrijwel elk ander scenario zou u een secure-by-design-tool zoals Tor moeten gebruiken.
16-05-2023, 19:14 door Anoniem
De enige lichte graad van persoonlijke bescherming, die de eindgebruiker zich nog weet te verschaffen,
bestaat uit het credo: "Go with the flow".

Val niet op, pas je aan, wijk niet af, hobbel mee.
Inwendig kun je er een heel andere mening op na houden, doch hou die voorlopig voor je.
Wees je inwendig ten volle bewust van je leefomstandigheden in het 'nieuwe (ab-)normaal".

Alles wat je Internetgebruik doet verschillen van het grote gemiddelde, komt verdacht over of kan dat zijn.
Men is bang van je, blind genomen als gezamenlijk aantal, het getal schrikt machthebbers af.
Gebruik van (web)proxies, vpn, tor, en andere anonimiserende maatregelen vallen daar onder.

Niemand ontkomt aan de 'spiedende data-blikken" van menig AI-data-sleepnet,
zeker als wij als menselijke breinen ook "aangekoppeld" worden of het wellicht al reeds zijn.

De geest is wat dat betreft al uit de fles, Aladin.
Zelfs de hoop, overgebleven in de doos van Pandora, toen Pandora deze snel besloot te sluiten,
dreigde onheilspellend te zijn. Mythen bevatten vaak veel wijze volkslessen.
Prometheus inspanningen, ten behoeve van de mens, werden hem niet in dank afgenomen

De AI-technologie krijgt gestalte en zal verkocht worden als u beschermend tegen 'de tweede dood".
(Ik wijs op interessante achtergronden als Kabbala, Gnostiek, ontdekking van het alefbet,
de Apocalyps van Johannes van of op Patmos, lezend als een uit te voeren script e.d.).

Met bijvoorbeeld het getal 666 - bestaande uit 6 neutronen, 6 protonen en 6 neuronen.
Juist maar waar? In het koolstofatoom, als element van het leven op aard.
Het getal van de mens - carbon versus silicon..
En de onderwerping aan Silicon Valley/Forest vindt nu plaats.
Nooit geweten dat ik in deze apocalyptische tijd zou komen te leven.

Ik zie hier 25 datawisselingen op security.nl aangegeven door mijn WebWall extensie in de browser.
Juist in deze tijd te leven kan aan de ene kant ook wel weer enerverend zijn.
Gebruik je creativiteit en begaafdheid ten dienste van het veiliger maken van de online infrastructuur.

#a-digital-avatar-in-this-matrix-world
16-05-2023, 22:39 door Anoniem
Door Anoniem:
En ik kan je op een briefje geven dat we meer doen dan dat want we zijn een van de hoofdknooppunten voor de aankomst van transatlantische kabels voor rest van de europese infrastructuur.
https://blog.cyberwar.nl/wp-content/uploads/2020/10/Screenshot-2020-10-30-at-08.32.40.png

Als je het verschil tussen "Noordzee" en "(trans) Atlantische Oceaan" niet scherp hebt , hoef ik het briefje dat je kunt geven niet echt te hebben.
Je ziet op dat plaatje helemaal niet dat er veel transatlantische kabels in NL aanlanden, alleen een hele berg naar vooral de UK .

Leef je uit op https://www.submarinecablemap.com/ (kijk, URL tags, handig !) , en zie dat de transatlantische kabels aanlanden in de UK, Denemarken, Frankrijk, Noorwegen - en ook ééntje in (ook) Nederland.

(eigenlijk alleen AC-1 [Atlantic Crossing] die ook in Nederland aanland, als ik zo kijk).
Wel opmerkelijk dat er door zee niks in het stukje duitse kust aankomt .

Uiteindelijk verkeer van de andere kant van de Atlantische Oceaan naar een landlocked Europees land door één van de aan zee gelegen landen getransporteerd zijn.
(En andersom - Aziatisch internet verkeer komt waarschijnlijk binnen door de diverse Middellandse-zee landen waar blijkbaar een hoop EU-Azie kabels aanlanden - de Rode zee is _bezaaid_ met kabels ).
17-05-2023, 09:47 door Anoniem
Door Anoniem: VPN is *nooit* bedoeld geweest voor pseudo anonimiteit. Dat is een functie die ze later erop hebben bedacht als hey mischien kunnen we dit verkopen naar de massa die geen kennis van IT heeft. Primair doel is een tunnel te maken tussen twee endpoints zodat enkel dat verkeer arriveert zonder inmenging van andere pakketjes en daarmee indringers die zich ook op het reguliere netwerk bevinden. Daarbovenop draait de VPN server en client weer TLS voor de encryptie want VPN zelf doet niks met encryptie je kan het ook over http proxy gooien.
Ik weet niet waar jij je informatie vandaan haalt, maar de VPN is echt wel bedoelt voor encryptie. En ja, toen ik in de jaren 90 met IPSEC bezig was kon je de tunnel (transport of tunnel mode) ook zonder encryptie configureren (IPSEC is een soort van framework) maar het doel was echt een ecrypted tunnel zoals TLS nu veel gebruikt wordt. Dit heeft overigens niets met anonimiteit te maken. Dat levert een VPN niet. Voor anonimiteit ben je afhankelijk van de betrouwbaarheid van de VPN leverancier en het land waaaring die zich bevindt. Meerdere VPN's cascaderen kan een mogelijke oplossing zijn, maar vergt ook jurisische kennis (lokale wetten).
17-05-2023, 11:44 door Anoniem
Door Anoniem:
Door Anoniem: VPN is *nooit* bedoeld geweest voor pseudo anonimiteit. Dat is een functie die ze later erop hebben bedacht als hey mischien kunnen we dit verkopen naar de massa die geen kennis van IT heeft. Primair doel is een tunnel te maken tussen twee endpoints zodat enkel dat verkeer arriveert zonder inmenging van andere pakketjes en daarmee indringers die zich ook op het reguliere netwerk bevinden. Daarbovenop draait de VPN server en client weer TLS voor de encryptie want VPN zelf doet niks met encryptie je kan het ook over http proxy gooien.
Ik weet niet waar jij je informatie vandaan haalt, maar de VPN is echt wel bedoelt voor encryptie. En ja, toen ik in de jaren 90 met IPSEC bezig was kon je de tunnel (transport of tunnel mode) ook zonder encryptie configureren (IPSEC is een soort van framework) maar het doel was echt een ecrypted tunnel zoals TLS nu veel gebruikt wordt.

Bij IPSec is het doel inderdaad encryptie - maar het is vanuit netwerk perspectief wel onzettend onhandig .

Je hebt toen waarschijnlijk ook gezien dat het vaak gebouwd werd met GRE tunnel voor V-N deel (virtual network) dat zich presenteert als een PtP netwerk verbinding, en daarbinnen dan IPSec voor het private aspect.
Je kunt (en kon) lang argumenteren of private betekende "niet gedeeld met andere klanten", of ook strikt encryptie vereist . Een puur GRE gebaseerd VPN is ook een "eigen" netwerk - alleen niet veilig voor afluisteraars op de verbinding .

Evenmin als frame relay pvc's of TDM of MPLS veilig zijn voor partijen die bij het verkeer kunnen.

Alleen zijn dat enterprise VPN technieken.

Het VPN zoals je mee doodgegooid wordt bij al die advertenties zijn typisch TLS gebaseerde VPNs.
Zoals jij als geen ander weet - IPSec is qua configuratie/interoperability een behoorlijke ramp.
17-05-2023, 14:51 door Anoniem
Een VPN biedt wel 100% zekerheid tegen Het Sleepnet.

Je verlengt al je activiteiten dan naar een land zonder sleepnet.

Of zonder Nederlandse banden. Bij Panama, Syrië, Rusland, Iran.
17-05-2023, 16:01 door Anoniem
Ook grotere VPN partijen/leveranciers geven toegang aan derde om "Mee te kijken", als je genoeg betaald of als een land dat vereist. Waan je dus niet veilig.
17-05-2023, 16:12 door Anoniem
Door Anoniem: Een VPN biedt wel 100% zekerheid tegen Het Sleepnet.

Je verlengt al je activiteiten dan naar een land zonder sleepnet.

Nee, je verlegt je zichtbaarheid naar de eigenaar van het VPN - totaal niet uitgesloten dat dat op de achtergrond een staatsinstelling is, die meteen iedereen die vindt dat ie geheim bezig wil zijn bij elkaar heeft , makkelijker nog een sleepnet voor 'alles'.

En naar het eventuele sleepnet van het land waar de VPN egress en ingress staat .


Of zonder Nederlandse banden. Bij Panama, Syrië, Rusland, Iran.

Goeie ruil (?) -
17-05-2023, 16:29 door Anoniem
Via torry.io anonymous view in de browser beschik je over PKCS#7 encryptie.

https://node-security.com/posts/cryptography-pkcs-7-padding/

Zeer robuust en een sterk encryptie element.

Zie https://node-security.com/posts/cryptography-pkcs-7-padding/

Maar je achterliggend IP is zichtbaar via https://node.torry.io/testip.php

luntrus
17-05-2023, 17:14 door Anoniem
Door Anoniem:
Door Anoniem: Een VPN biedt wel 100% zekerheid tegen Het Sleepnet.

Je verlengt al je activiteiten dan naar een land zonder sleepnet.

Nee, je verlegt je zichtbaarheid naar de eigenaar van het VPN - totaal niet uitgesloten dat dat op de achtergrond een staatsinstelling is, die meteen iedereen die vindt dat ie geheim bezig wil zijn bij elkaar heeft , makkelijker nog een sleepnet voor 'alles'.

En naar het eventuele sleepnet van het land waar de VPN egress en ingress staat .


Of zonder Nederlandse banden. Bij Panama, Syrië, Rusland, Iran.

Goeie ruil (?) -

Geen vergif voor westerse gasten in bepaalde landen.... zeker een goede deal!
17-05-2023, 20:12 door Briolet
Door Anoniem:Ik weet niet waar jij je informatie vandaan haalt, maar de VPN is echt wel bedoelt voor encryptie…

Nee. Kijk naar de afkorting en je weet wat het oorspronkelijk doel is van een VPN: Het opzetten van een virtueel privé netwerk. Dus van een externe lokatie werken alsof je op een intern netwerk aan het werk zit. Encryptie is dan een zeer wenselijk iets, maar is niet de essentie van een VPN.

De meeste VPN providers zijn strikt genomen geen echte VPN's omdat je nooit terecht komt op een virtueel intern netwerk, maar je wordt direct weer los gelaten op het publieke internet. Je gebruikt de vpn dienst eigenlijk als een soort proxy.
17-05-2023, 22:58 door Anoniem
Door Anoniem: Via torry.io anonymous view in de browser beschik je over PKCS#7 encryptie.

https://node-security.com/posts/cryptography-pkcs-7-padding/

Zeer robuust en een sterk encryptie element.

Zie https://node-security.com/posts/cryptography-pkcs-7-padding/

Maar je achterliggend IP is zichtbaar via https://node.torry.io/testip.php

luntrus

luntrus - als je de boel niet begrijpt moet je niet adviseren of interpreteren.

PKCS#7 is geen "encryptie" .

En jij bent totaal niet in staat om te oordelen dat het een "sterk en robuust encryptie element" is .

En ja - een afspraak over padding is gewoon nodig als je iets doet dat blokken van vaste lengte nodig heeft, en je data natuurlijk lang niet altijd een exact aantal blokken is. Padding is geen 'uitvinding' van pkcs#7 en evenmin uniek voor encryptie.

Je kunt prima een 512-bits RSA key certificaat (te kort en onveilig) met PKCS#7 formatteren en in je webserver als key gebruiken.

Het is een standaard formaat om encryptie-data en encrypie sleutels te formatteren , één van de mogelijke formaten voor het hele bouwwerk van X.509 certificaten en TLS encryptie.
Net zoals GIF, BMP, PNG standaard formaten zijn om image data te formatteren .

https://www.ssls.com/knowledgebase/what-are-certificate-formats-and-what-is-the-difference-between-them/

Als je wel eens met het handje certificaten gegeneerd en geinstalleerd hebt ben je dat het hele gehannes met pem,der,pkcs7,pkcs12 allemaal wel tegengekomen.

Je kunt niet zeggen "pkcs#7 is goed/sterk/robuust' - Je _kunt_ een set van goede encryptie keuzes ,goed geimplementeerd hebben waarin delen pkcs#7 format gebruiken. Evenzeer kun je slechte encryptie keuzes, een buggy implementatie hebben waarin ook delen pkcs#7 format gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.