it-swarm.com.de

VPN + HTTPS = 100% anonym?

Angenommen, ich besuche Twitter über HTTPS und ein VPN

Erstens weiß ich, dass HTTPS durchgängig verschlüsselt ist, sodass niemand außer Twitter wissen kann, was Daten gesendet wird, nicht einmal der VPN-Anbieter. Zweitens weiß ich, dass bei Verwendung eines VPN niemand außer dem VPN-Anbieter wissen kann, wer der Benutzer ist.

Twitter kennt also nicht den Benutzer und der VPN-Anbieter kennt den Daten nicht. Ist das wahr? Bin ich 100% anonym?

49
uihiuh

Twitter kennt den Benutzer nicht

Wenn Sie diesen Browser jemals verwendet haben, um eine Verbindung zu Twitter außerhalb des VPN herzustellen, hat Twitter möglicherweise Cookies oder (selbst im Fall eines vollständigen Löschens der Browserdaten) Browser-Fingerabdrücke verwendet, um Sie zu identifizieren. Auch wenn dies nicht der Fall ist, sollten Sie davon ausgehen, dass dies bei den Anzeigenanbietern der Fall ist.

niemand außer dem VPN-Anbieter kann wissen, wer der Benutzer ist.

Jeder, der Sichtbarkeit von Eingangsknoten und Ausgangsknoten für das VPN hat (ISPs, staatliche Akteure usw.), kann Paketabgleichstechniken anwenden, um Verkehrsströme zu identifizieren.

Sie haben auch das Risiko, dass sowohl Twitter als auch das VPN die Informationen, die sie über Sie haben, mit anderen Parteien teilen.

94
Hector

Wie Steffen betont, sind Sie vielleicht anonymer als ohne VPN, aber Sie sind weit davon entfernt, zu 100% anonym zu sein.

  • Ihr Webbrowser selbst kann eine enorme Menge offenbaren Informationen über Ihren Computer, Browser und andere Dienste, mit denen Sie möglicherweise verbunden sind. JavaScript wurde verwendet, um Personen auf Tor zu de-anonymisieren.
  • Dinge, die Sie posten, und Interaktionen, die Sie in sozialen Medien haben, können möglicherweise mit Ihnen korreliert werden, insbesondere wenn Ihre OpSec schwach ist.
  • A DNS Leak könnte Sie entlarven
  • Wenn Ihr VPN-Anbieter Verbindungsprotokolle führt und in einem Land arbeitet, in dem er diese Informationen weitergeben muss (oder wenn er die LEAs absichtlich einhält), können Sie abgespritzt werden.
  • Wenn Sie ausrutschen und auf dem Radar einer Strafverfolgungsbehörde landen, können diese nachsehen, ob Sie Zahlungen an Ihren VPN-Anbieter erhalten haben, Ihren ISP damit beauftragen, den Datenverkehr vom ISP zum VPN mit dem Zeitpunkt zu korrelieren, zu dem Beiträge auf Twitter usw.

Ich weiß nicht, ob Sie jemals im Internet zu 100% anonym sein können, aber wenn Sie können, sind mehr als HTTPS und eine VPN-Verbindung erforderlich.

58
DKNUCKLES

Die Verwendung eines VPN bedeutet nur, dass Twitter anhand der IP-Adresse keine Details über den Benutzer ermitteln kann. Es gibt jedoch möglicherweise andere Möglichkeiten, um genügend Details über den Benutzer zu erhalten, z. B. durch domänenübergreifendes Benutzer-Tracking (mithilfe von Cookies von Drittanbietern und anderen Techniken), das auf vielen Websites verwendet wird.

Abgesehen davon kann Twitter feststellen, dass die IP-Adresse zu einem bestimmten VPN gehört. Und wenn Sie bei der Interaktion mit Twitter gegen Gesetze verstoßen haben, verwenden diese möglicherweise das Gesetz, um vom VPN detaillierte Informationen über Sie zu verlangen. Wenn der VPN-Anbieter protokolliert, welchem ​​Benutzer zu welchem ​​Zeitpunkt welche IP-Adresse zugewiesen wurde, werden diese Informationen wahrscheinlich auch den Strafverfolgungsbehörden zur Verfügung gestellt.

16
Steffen Ullrich

Bei HTTPS geht es um Vertraulichkeit und Integrität von Inhalten, nicht um Anonymität von Parteien . Es bietet möglicherweise eine End-to-End-Verschlüsselung zwischen Ihrem Browser und dem Server, verbirgt jedoch nicht die Quell- und Ziel-IP-Adresse, Zeitstempel und Anforderungsgrößen. Es bietet keine Anonymität in Bezug auf die Netzwerkinfrastruktur.

Das VPN verbirgt jedoch Ihre persönliche IP-Adresse (von Ihrem ISP zugewiesen) vor Twitter. Wenn Ihr VPN-Anbieter jedoch Protokolle führt und alle miteinander sprechen (oder zum Sprechen gebracht werden *), können sie einfach den Spuren Ihrer persönlichen IP folgen Dies kann von Ihrem ISP verwendet werden, um Sie zu identifizieren. Sie benötigen möglicherweise nicht einmal Ihre ISP-Kooperation, wenn Ihr VPN-Anbieter Sie identifizieren kann (durch Kundenregistrierung oder Zahlungsinformationen).

Es gibt andere Netzwerklösungen (wie Tor ) deren Zweck es ist, die Netzwerkverfolgung bei korrekter Verwendung viel schwieriger oder praktisch unmöglich zu machen.

Beachten Sie auch, dass Ihre IP-Adresse nicht das einzige ist, mit dem Sie identifiziert werden können. Ihr Browser kann auch einige nützliche Informationen preisgeben (Cookies offensichtlich, aber auch dessen mehr oder weniger eindeutiger Fingerabdruck ).

Um diese Risiken zu minimieren, sollten Sie einen sicheren Browser im Inkognito-Modus verwenden (um Cookies und dergleichen zu vermeiden) und ihn verwenden nur für diesen Zweck (um Fingerabdruck-Cross-Matching zu vermeiden).

*: Alle Daten von Diensteanbietern können je nach Gerichtsbarkeit an Strafverfolgungsbehörden weitergegeben oder möglicherweise von einer einfallsreichen Organisation auf die eine oder andere Weise abgerufen werden.

11
zakinster

Ich weiß, dass HTTPS durchgängig verschlüsselt ist, sodass niemand außer Twitter wissen kann, welche Daten gesendet werden, nicht einmal der VPN-Anbieter.

Ja, wenn alles mit SSL korrekt funktioniert, aber das VPN ist per Definition ein Mann in der Mitte.

https://stackoverflow.com/questions/14907581/ssl-and-man-in-the-middle-misunderstanding

Ich würde lieber meinen ISP als einen VPN-Anbieter aus China, Indien oder Russland verwenden. Der mittlere Buchstabe [~ # ~] p [~ # ~] steht für privat und das ist sehr subjektiv.

Zweitens weiß ich, dass bei Verwendung eines VPN niemand außer dem VPN-Anbieter wissen kann, wer der Benutzer ist.

Sie kennen das VPN und die IP-Adresse wird mit anderen Benutzern geteilt. Du bist also nicht anonym. Sie haben diese IP-Adresse wahrscheinlich schon oft gesehen.

Was ich damit sagen möchte, ist, dass sie möglicherweise mehr Server-CPU-Zeit für die Überwachung von VPN-IP-Adressen im Vergleich zu anderen IPs zuweisen. Es heißt, durch Vereinigung schuldig zu sein. Sie haben Ihre Verbindung zu ihren Servern mit einem Flag versehen.

Mit VPNs sehen Sie aus wie die Frau im roten Kleid aus den Matrix-Filmen. Sie stechen in einer Menge vielbeschäftigter Benutzer hervor.

Twitter kennt den Benutzer also nicht und der VPN-Anbieter kennt die Daten nicht. Ist das wahr? Bin ich 100% anonym?

Warum sollte Twitter auf den Netzwerkverkehr angewiesen sein, um einen Benutzer zu identifizieren?

Ihr Verhalten allein kann ausreichen, um Sie zu identifizieren, wenn Sie eine der folgenden Aktionen ausführen:

  • Verwenden Sie ein VPN, um Ihre eigenen Tweets zu mögen.
  • Verwenden Sie ein VPN, um Links zu Ihren eigenen Websites zu veröffentlichen.
  • Verwenden Sie ein VPN, um Ihrem eigenen Konto zu folgen.
  • Verwenden Sie ein VPN, um Konten für Personen anzuzeigen, die Sie im wirklichen Leben kennen.
  • Verwenden Sie ein VPN, um Personen anzugreifen, die Sie im wirklichen Leben kennen.
  • Jemand kann Sie anhand Ihrer Aktivität identifizieren.

Wenn Twitter einen Benutzer in die reale Welt zurückverfolgen möchte, kann er eine der folgenden Aktionen ausführen:

  • Twitter kann einen Netzwerkfehler bei eindeutigen URLs vortäuschen, um festzustellen, ob Sie ohne VPN zurückkehren.
  • Twitter kann Sie profilieren, indem es Sie mit gefälschten Tweets anlockt.
  • Twitter kann Sie positionieren, indem Sie den Standort der Tweets verfolgen, mit denen Sie interagieren.
  • Twitter bittet andere Benutzer, Sie zu identifizieren.
  • Twitter bittet das VPN, Sie zu identifizieren.
  • Twitter bittet Facebook oder Google, Sie zu identifizieren.
  • Twitter kann den gesamten VPN-Verkehr auf dedizierte Server umleiten, die über zusätzliche Ressourcen zur Verfolgung von Benutzern mit hohem Risiko verfügen.

Ich habe keinen Beweis , dass sie einen der oben genannten Schritte ausführen, aber ich denke auch, dass es durchaus vernünftig ist, dies zu glauben. Angesichts der Geschichte der Idioten, die Twitter nutzen, um dumme oder noch schlimmere Dinge zu tun.

4
Reactgular

In diesem Universum gibt es keine 100% ige Anonymität. Selbst mit perfektem OpSec sind Sie immer noch verwundbar.

HTTPS wird als ziemlich sicher angesehen, aber das macht es nicht völlig unempfindlich gegen Abhören. Kryptografische Schwachstellen können möglicherweise immer noch in TLS vorhanden sein, sodass diese möglicherweise beschädigt werden (was immer wahrscheinlicher wird, wenn sich die Hardware weiterentwickelt und schneller arbeitet und Angreifern immer mehr Rechenleistung für Angriffe zur Verfügung steht).

Wie zakinster betonte, bietet HTTPS keine Anonymität, sondern nur Vertraulichkeit. HTTPS maskiert nicht den Ursprungshost einer Anforderung oder den Host, an den die Anforderung gesendet wird. Es wird nur der Inhalt der Anforderung maskiert.

Ein VPN kann ein gewisses Maß an Anonymität bieten, aber das VPN selbst weiß immer noch, wer mit ihm verbunden ist, und es ist immer noch möglich, dass jemand Ihre Identität vom VPN erhält (z. B. Social Engineering/Hacken des VPN-Anbieters, Vorladung von Strafverfolgungsbehörden für Informationen). usw.)

Wie Hector betonte, können ISPs Ihren Netzwerkverkehr zum/vom VPN sehen und möglicherweise anhand der Verkehrsanalyse herausfinden, ob Sie es waren. Es könnte so einfach sein, die Zeitstempel von Paketen zu überprüfen und sie mit dem Zeitpunkt zu korrelieren, zu dem der Remote-Host (Twitter) sie empfangen hat.

Es gibt keine 100% anonymen. Eine entschlossene Person mit den richtigen Ressourcen kann Sie schließlich finden, egal welche Maßnahmen Sie ergreifen.

1
ag415