Views
Contents |
Hinweise für Exit-Admins zur Bearbeitung von Abuses
Bei Missbrauch des Anonymisierungsdienstes wird die IP-Adresse des Exit-Mix ermittelt. Häufig wird der Server als ursächlich angenommen.
Vorbereitung
Bereits im Vorfeld der ersten Abuses kan man einiges tun, um den Ärger gering zu halten:
- Klären sie mit ihrem ISP, was sie mit ihrem Server tun und welche Probleme zu erwarten sind. Am besten fragt man vor Vertragabschluss, ob und unter welchen Bedingungen der Betreib eines Anonymisierungsservers toleriert wird und welche Anforderungen an die Bearbeitung der Abuses gestellt werden. Einige ISPs sagen: "Wir leiten alles weiter und gehen davon aus, dass sie sich darum kümmern." Andere ISPs wünschen eine Rückmeldung über die Bearbeitung.
- Mieten sie einen Server nicht in ihrem Heimatland. Das ist auf Grund der Gewährleistung einer hohen Anonymität von JonDonym empfohlen, dient aber auch der Vermeidung von Abuses. Häufig wird von einer Verfolgung unbedeutender Abuses abgesehen, wenn internationale Zusammenarbeit zur Identifizierung des Täters nötig wäre.
- Ein "sprechender" Reverse-DNS Eintrag kann über die Funktion des Servers aufklären. IT-affine Opfer oder Strafverfolger nutzen auch host oder nslookup.
- Das Whois-Record sollte entsprechende Informationen zum Server bieten. Der CCC liefert ein gutes Beispiel für die AnonBox.
- Ideal ist es, wenn der RIPE-Eintrag für die IP-Adresse des Servers direkt auf den Betreiber verweist. Dann gehen alle Abuses direkt an den Mix-Betreiber ohne Umweg über den ISP. Nicht alle ISPs bieten die Möglichkeit, den RIPE-Eintrag zu setzen. Wenn es möglich ist, sollten sie diese Option nutzen.
- Häufig testen Opfer oder Strafverfogungsbehörden die IP-Adresse des Servers mit einem Web-Browser, um sich über den Betreiber zu informieren. Es ist hilfreich, wenn auf Port 80 ein kleiner Webserver wie lighttpd eine Informationsseite bereitsstellt. Die JonDos GmbH stellt ein Beispiel für eine Exit Mix Information bereit. Bei strafrechtlich relevantem Missbrauch des Dienstes kann diese Information darüber entscheiden, ob man als Beschuldigter oder als Zeuge behandelt wird.
- Webbrowser installieren. (Debian:
# aptitude install lighttpd) - Das von der JonDos GmbH vorbereitete Beispiel finden sie in den Mix-Sourcen im Unterverzeichnis misc/exit-mix-notice. Wenn sie die Debian Pakete für den Mix Server nutzen, installieren sie bitte das Paket mix-exit-notice. Die vorbereitete Webseite finden sie im Verzeichnis /usr/share/mix-exit-notice. Passen sie die Configuration für den installierten Webserver an.
- Webbrowser installieren. (Debian:
SRC: DocumentRoot /home/mix/stable/misc/exit-mix-notice
DEB: DocumentRoot /usr/share/mix-exit-notice
Spam-Versendung via Webinterface
Oft wird eine Serie von Spam-Mails über das Webinterface eines Mail-Providers versendet. Der Spammer möchte anonym bleiben und nutzt in der Regel kostenfreie Anonymisierungsdienste, um sich im Webinterface des Mailproviders anzumelden.
Die Empfänger der Spam-Mails können anhand des Headers der Spam-Mails den Ursprung bis zum Exit-Mix zurück verfolgen. Sie senden eine Abuse-Mail an den ISP des Exit-Mix. Der ISP leitet die Mail an den Mieter des Servers weiter und erwartet eine Bearbeitung und Rückmeldung. Ignorieren sie diese Abuses nicht, auch wenn sie nicht strafrechtlich relevant sind. Ein dauerhaftes ignorieren kann einen Verstoß gegen die AGB des ISP bedeuten und zur Kündiung des Servers führen.
In der Regel erhält man zusammen mir der Abuse-Meldung die komplette Spam-Mail inklusive der Header. Ein fiktives Beispiel
Dear customer,
.
We received a complaint regarding an IP assigned to you. Please see the complaint at the
bottom of this e-mail. We urge you to take appropriate ation to prevent future complaints.
.
Security Response Team
.
Return-path: <blabla@bla.bl>
Delivery-date: Fri, 14 Mar 2015 06:39:21 +0200
Received: from pra7.smp.wab.co.za ([196.28.77.217])
....
Received: from 23.23.23.23
(SquirrelMail authenticated user medium)
by mail.domain.tld with HTTP;
Date: Fri, 14 May 2010 07:37:04 +0300 (EAT)
Subject: HELLO!!
From: ........
Im letzten Abschnitt Received: finden sie die nötigen Informationen, um ihrerseits die Abuse-Meldung weiter zu leiten. Die Header sehen verschieden aus. Man muss sich mit jeder Abuse-meldung individuell befassen.
- 23.23.23.23 ist ein Beispiel. Es sollte die IP-Adresse des Exit-Mix sein. Möglicherweise steht hier eine andere IP-Adresse, dann ist die Abuse-Meldung nur irrtümlich ihnen zugestellt worden. (Kommt auch vor, aber selten.)
- user medium ist der User-Account auf dem Mailserver, der für die Versendung der Spam-Mails verwendet wurde.
- mail.domain.tld ist der Mailserver, auf dem SquirrelMail (ein Web-Frontend) läuft.
Leiten sie die erhaltene Abuse-Meldung an den abuse Account des Mail-Providers weiter und bitten sie um Löschung des Spam-Account. Senden sie die Weiterleitung in Kopie an das Security Response Team ihres ISP, damit dort eine Rückmeldung vorliegt, dass und wie sie auf die Abuse-Meldung reagiert haben. Die meisten Provider sind damit zufrieden. Sie leiten ihre Rückmeldung ihrerseits an den Absender weiter.
Spam DNS-Blacklisten
Durch die Versendung von Spam-Mails oder Spam in Foren kommt es immer wieder vor, dass ein Exit-Mix von einer DNSBL als Spam-IP gelistet wird.
Für kostenfreie Exits ist das in der Regel kein Problem, solange der Server nicht auch für die Versendung von Mails genutzt wird. Die ISPs verteten meist die Meinung, das der Nutzer des Servers selbst dafür verantwortlich ist, ob die IP-Adresse auf einer DNS-Blackliste steht oder nicht. Da die meisten DNSBL auch Kommentare in Foren u.ä. auswerten, wäre es eine Sysiphos-Arbeit für den Admin, ständig und immer wieder den Server von allen DNSBL zu entfernen. Da es den Mix-Betrieb nicht beeinträchtigt, können kostenfreie Exits das Problem ignorieren. Eigene E-Mails sollte man standardmäßig über eine andere IP-Adresse versenden.
Für Premium-Dienste ist die Situation etwas anders. Da diese Dienste auch die anonyme Versendung von E-Mails via SMTP ermöglichen, sollten die Exit Mix Betreiber in dafür sorgen, dass ihre Server nicht auf DNSBL gelistet werden. Die Website Spam Database Lookup bietet die Möglichkeit, eine Vielzahl von DNSBL zu prüfen.
Stalking und Beleidigungen
Wenn Opfer von Stalking und Beleidungen sich an Exit-Mix Betreiber wenden, kann man auf die Möglichkeit zur Blockierung der anonymen Nutzung hinweisen. Webdienste (Blogs, Foren, Wikis oder andere Websites) können auf allen Exit-Mixen gesperrt werden, wenn der Betreiber der Website es wünscht.
Urheberrechts-Verletzungen
Urheberrechtsverletzungen sind bei JonDonym sehr selten. Die automatisiert erstellten Urheberrechts-Verletzungen sind bei den meisten Exit Mix Betreibern unbekannt. Die kostenfreien Kaskaden können nur für anonymes Surfen genutzt werden. BitTorrent über kommerzielle Kaskaden ist wenig lukrativ. Statt der Bezahlung des Traffic kann man sich das gewünschte Video auch kaufen.
Kreditbetrug u.ä.
Eine Bestellung bei einem Online-Shop erfolgt unter Angabe falscher Daten und mittels Anonymisierungsdiensten. Die Ware wird geliefert, aber die Rechnung wird nicht bezahlt. Der Online-Händler erstattet Anzeige und liefert als Beweismitteln die gespeicherte IP-Adresse. Es laufen Routine-Ermittlungen an und der Betreiber des Exit-Mix wird irgendwann als Beschuldigter oder Zeuge bei der örtlichen Kriminalpolizei vorgeladen.
Das ist kein Grund zur Beunruhigung. Nehmen sie den Termin zur Vorladung an oder vereinbaren sie einen passenden Termin. Erklären sie den Ermittlern, was sie tun und dass anhand der IP-Adresse eine Ermittlung des Täters nicht möglich ist. Ein Protokoll wird aufgesetzt und die Ermittlungen gegen den Exit-Mix Betreiber werden eingestellt. Ein vorbereitetes Informationsblatt über JonDonym ist hilfreich. (Möglicherweise wird der Beamte in Zukunft selbst den Dienst nutzen, um Datenspuren im Internet zu vermeiden.)
Mit etwas Routine können sie die Vorladung auch schriftlich beantworten und nachfragen, ob ihr persönliches Erscheinen zur Klärung weiterer Fragen nötig ist.
Schwere Straftaten
Mix-Betreuber stehen nicht außerhalb des Gesetzes. Bei schweren Straftaten besteht die Möglichkeit, dass man durch einen rechtskräftigen Beschluss gezwungen wird, Daten über die Nutzung des Dienstes zwecks Deanonymisierung der Nutzer zu speichern.
Spielen sie nicht "Katz und Maus" mit den Behörden. Erklären sie nicht ihr Einverständnis mit der Telekommunikationsüberwachnung, um später sinnlose Daten zu liefern, die ohne Kooperation der anderen Mixe nicht auswertbar sind. Erklären sie die Funktionsweise von JonDonym, die (hoffentlich) internationale Verteilung ihrer Kaskade und lassen sie sich von einem Anwalt beraten. Die JonDos GmbH wird sie unterstützen.
Bei der Umsetzung der Überwachung sind folgende Punkte zu beachten:
- Speichern sie nur die minimal nötigen Daten.
- Stellen sie sicher, dass niemand Zugriff auf die gespeicherten Daten hat.
- Geben sie Daten nur in dem Maße weiter, wie sie dazu gezwungen sind.
- Erlauben sie keine willkürliche Datensammlung. Wenn sie sich dagegen nicht wehren können, schalten sie ihren Server ab.
Ähnlich wie beim Kreditbetrug und ähnlichen kleinen Straftaten ist es auch bei schweren Straftaten möglich, dass der Betreiber des Mix Servers als tatverdächtig gilt. Man wird sie beim Verdacht auf Beteiligung an schweren Straftaten (z.B. in Zusammenhang mit Organisierter Kiminalität) nicht einfach vorladen und befragen. Die Ermittlungen gegen sie werden anfangs unbemerkt ablaufen und möglicherweise die Überwachung ihrer Telekommunikationsverbindungen einschließen, Überprüfung ihrer Bankkonten usw.
