geringe Nutzerzahl für die kostenpflichtigen Kaskaden

[x4info]

Hallo,

mache mir Gedanken, ob es nicht ein großer Nachteil der kostenpflichtigen Kaskaden ist, dass hier so wenige Nutzer gemixt werden.

Finde dass der Unterschied zu den kostenlosen Kaskaden ziemlich extrem ist.
Eventuell ist die Reduzierung der Anzahl der kostenpflichtigen Mixkaskaden eine Möglichkeit mehr Nutzer pro Kaskade zu haben.

Möchte auch eine erweitere Geschwindigkeits-/Preisstaffelung anregen? Evtl. sogar die kostenlosen nach einer gewissen Nutzungsdauer noch langsamer schalten. Vielleicht könnte man damit mehr Bezahlwillige finden. Andererseits wäre es ein Experiment - da gab es mal was beim öffentlichen Nahverkehr, eine Stadt hat die Preise reduziert und dadurch eine so viel höhere Auslastung bekommen, dass sie am Schluß mehr Einnahmen hatte.

Außerdem verbleibt, so wie es ist, bei mir das gGefühl, dass ich mit der Nutzung der kostenpflichtigen Kaskaden zusammen mit sehr wenigen für sehr viele, die gar keinen Kostenbeitrag leisten wollen, mitbezahle.
Das stört mich zwar nicht immer, z.B. wenn in einem armen Land, politisch aktive, kostenlos nutzen. Kann mir aber nicht vorstellen, dass bei der Nutzerzahl von kostenlosen Kaskaden, das vorwiegend der Fall ist.

Gibt es eigentlich Statistiken wieviele Stunden die kostenlosen Kaskaden im Jahr aus welchem Land genutzt werden. Wieviele Leute über Flatrates oder sonstige Bezahlung zur Finanzierung beitragen? (Davon abgesehen, gehe ich davon aus, dass ihr hier vielleicht auch sehr viel aus Idealismus investiert, ohne dass die Einnahmen überhaupt reichen - Danke dafür)


Danke

[cane]

mache mir Gedanken, ob es nicht ein großer Nachteil der kostenpflichtigen Kaskaden ist, dass hier so wenige Nutzer gemixt werden.

Der Unterschied ist geringer, als Sie vermuten.

Eventuell ist die Reduzierung der Anzahl der kostenpflichtigen Mixkaskaden eine Möglichkeit mehr Nutzer pro Kaskade zu haben.

Würde ich auch gern machen, aber die Betreiber spielen nicht mit. Wir haben leider keine Möglichkeit, die Mix-Betreiber zur Abschaltung von einigen Premium-Kasakden zu zwingen. (Diskussionen hatten wir schon öfters darüber.)

Evtl. sogar die kostenlosen nach einer gewissen Nutzungsdauer noch langsamer schalten.

Das ist bei uns nicht konsensfähig. Es gibt Nutzer, die wirklich nicht bezahlen können, z.B. aus dem Iran. Siehe: https://anonymous-proxy-servers.net/blo ... -Iran.html

Ein bisschen verstehen wir uns auch als Anti-Zensur-Service und eine solche Maßnahme würde gerade die Nutzer treffen, die JonDonym in erster Linie als Anti-Zensur-Dienst nutzen wollen.

Vor drei Jahren gab es eine Diskussion über die Einführung eines Captcha für kostenfreie Mix-Kaskaden, das man alle 30-50 Seiten lösen muss, bevor man weitersurfen kann. Vor 1,5 Jahren haben wir das "Surf-Erlebnis" auf den kostenfreien nach 20 Seiten unterbrochen und eine Werbeseite eingefügt - diese Maßnahmen waren auch unter deutschen Nutzern nicht konsensfähig.

Die Einblendung der Werbeseite (wir nannten es intern "Payment-Reminder") hat nicht zu einer Erhöhung der Premium-User geführt, eher würde ich einen Rückgang an Neukunden sehen.

Um neue zahlende Kunden zu gewinnen, müssen wir eine brauchbare Mindestqualität auf den kostenfreien Kaskaden bieten, sonst gibt es keine Neukunden. Der jetzige Stand ist meiner Meinung nach das Mindeste, was wir anbieten müssen. Die kostenfreien Nutzer noch weiter zu "verärgen" hilft nach meinen Beobachtungen nicht.

Außerdem verbleibt, so wie es ist, bei mir das gGefühl, dass ich mit der Nutzung der kostenpflichtigen Kaskaden zusammen mit sehr wenigen für sehr viele, die gar keinen Kostenbeitrag leisten wollen, mitbezahle.

Ich vermute, dass viele deutsche Nutzer sowohl Premium-Kasakden als auch kostenfreie Mix-Kaskaden nutzen, um in der Summe eine Reduzierung der Kosten zu erreichen.

Gibt es eigentlich Statistiken wieviele Stunden die kostenlosen Kaskaden im Jahr aus welchem Land genutzt werden.

Nein, wir haben keine aktuellen Statistiken, aber die Tageskurve der Auslastung lässt die Vermutung aufkommmen, dass die meisten Nutzer der kostenfreien Kaskaden aus Mitteleuropa kommen.

Davon abgesehen, gehe ich davon aus, dass ihr hier vielleicht auch sehr viel aus Idealismus investiert, ohne dass die Einnahmen überhaupt reichen.

Es reicht nicht für einen zweiten Vollzeit-Programmierer, es reicht nicht für ein Büro, es reicht nicht für eine tarifähnliche Bezahlung, aber es ist zuviel, um JonDos sterben zu lassen.

Seltsamerweise gab es durch die Snowden/Greenwald Enthüllungen keinen Zuwachs. So ein kleines bisschen (vielleicht 10% mehr Einnahmen) hätte ich schon erhofft.

[cane]

Um nochmal auf die Frage der geringen Nutzerzahlen zurück zu kommen:

mache mir Gedanken, ob es nicht ein großer Nachteil der kostenpflichtigen Kaskaden ist, dass hier so wenige Nutzer gemixt werden.

Finde dass der Unterschied zu den kostenlosen Kaskaden ziemlich extrem ist.

Es gibt ein paar Untersuchungen zu möglichen Angriffen auf Low-Latency Anonymisierungsdienste. Anhand der Ergebnisse könnte man mit einigen Zahlen den Nachteil durch geringe Nutzerzahlen auf Premium-Kaskaden quantitativ etwas verständlicher darstellen.

Wenn Sie einen guten Angriffsvektor für Low-Latency Anonymisierung haben (z.B. Websitefingerprinting-Angriffe unter Laborbedingungen) dann ergeben sich etwa folgende Verhältnisse für die Wahrscheinlichkeit der Deanonymiserung eines Nutzers:

VPN-Dienste: 99,8% Wahrscheinlichkeit der Deanonymisierung

JonDo-Kaskade mit 30-40 User: 24% Wahrscheinlichkeit der Deanonymisierung

JonDo-Kaskade mit 3000 User: 20% Wahrscheinlichkeit der Deanonymisierung

Tor Onion Router: 15% Wahrscheinlichkeit der Deanonymisierung


Anmerkung 1: Früher hatte die Mix-Kaskade "Dresden" mal 2.500-3.500 User.

Anmerkung 2: Die Zahlen sind aus unterschiedlichen wiss. Papern interpoliert, um die Verhältnisse im Vergleich zu VPN-Diensten und zu Tor darzustellen. Mit ganz speziellen auf Tor zugeschnittenen Traffic Confirmation Attacks konnte man unter Laborbedingungen schon 50% Wahrscheinlichkeit der Deanonymisierung erreichen und bei JonDo 60%, allerdings sind diese Zahlen nicht relevant für die Praxis, wie Mike Perry in einem Blogartikel beschrieben hat: https://blog.torproject.org/blog/critiq ... ng-attacks

Anmerkung 3: "Websitefingerprinting" ist etwas ganz anderes als "Browser Fingerprinting", das zum Tracking verwendet wird.

[Experimenter]

Wenn Sie einen guten Angriffsvektor für Low-Latency Anonymisierung haben (z.B. Websitefingerprinting-Angriffe unter Laborbedingungen) dann ergeben sich etwa folgende Verhältnisse für die Wahrscheinlichkeit der Deanonymiserung eines Nutzers:

VPN-Dienste: 99,8% Wahrscheinlichkeit der Deanonymisierung

JonDo-Kaskade mit 30-40 User: 24% Wahrscheinlichkeit der Deanonymisierung

JonDo-Kaskade mit 3000 User: 20% Wahrscheinlichkeit der Deanonymisierung

Tor Onion Router: 15% Wahrscheinlichkeit der Deanonymisierung

Sind in Ihrem Beispiel 2 und 3 die Anzahl Mix-Server in der Kaskade gleich oder spielt die Anzahl dieser Mix-Server gar keine Rolle bei der Wahrscheinlichkeit einer Deanonymisierung?

Falls sie doch zählt, wie würden sich die Wahrscheinlichkeiten dann verändern, wenn Sie Ihre Beispiele noch um die Anzahl Mix-Server in der Kaskade ergänzen?
also (2) JonDo-Kaskade (mit drei Mix-Servern) und mit 30-40 User
und (3) JonDo-Kaskade (mit zwei Mix-Servern) mit 3000 User

Seltsamerweise gab es durch die Snowden/Greenwald Enthüllungen keinen Zuwachs. So ein kleines bisschen (vielleicht 10% mehr Einnahmen) hätte ich schon erhofft.

Traurig ja, denn das könnte ja heißen, daß die paar Benutzer, die sich überhaupt um IT-Sicherheit scheren, bereits Jondo oder etwas ähnliches benutzen.

... und es könnte außerdem heißen, daß die Masse derer, die kein Jondo oder ähnliches benutzen, sich selbst durch "Horrormeldungen" wie den Snowden-Enthüllungen nicht aufwecken lassen, also im Vollschlafmodus und somit Biomasse für die Machthaber sind.

[Experimenter]

Wenn man das liest:
http://torrentfreak.com/nsa-authorized- ... ntfreak%29

Tracking people using proxies to hide their activities

While many consider proxies as useful tools to mask their online activities, it has to be presumed that organizations such as the NSA have the ability to track individuals using even multiple instances. The next set of questions skip over the mechanics of how that might be possible (with the clear implication that it is) and jump straight to what is permissible.

Wenn das stimmt, wovon wir leider ausgehen müssen, fürchte ich, spielt es also keine Rolle für die NSA und ihre Hintermänner, ob wir beim Jondo nun eine Kaskade mit zwei oder drei Mix-Servern benutzen?

[cane]

Sind in Ihrem Beispiel 2 und 3 die Anzahl Mix-Server in der Kaskade gleich oder spielt die Anzahl dieser Mix-Server gar keine Rolle bei der Wahrscheinlichkeit einer Deanonymisierung?

Es gibt Angriffe auf die Anonymität, bei denen die Anzahl der Mixe ein Rolle spielt (z.B. juristische Angriffe) und es gibt Angriffe auf die Anonymität, bei denen die Anzahl der Mixe keine Rolle spielt und eher die Anzahl der User eine (untergeordnete) Rolle spielt.

Die Beispiel-Zahlen, die ich genannt habe, nutzen Website Fingerprinting als Angriffsvektor. Ein globaler Angreifer beobachtet Eingang und Ausgang der Mix-Kaskaden und erkennt sozusagen den Traffic wieder und kann damit Nutzer deanonymiseren.

Bei diesem speziellen Angriff ist die Anzahl der Mix-Server in einer Kaskade belanglos, es kommt nur darauf an, Entry und Exit zu beobachten. Ich habe diesen Angriff als Beispiel gewählt, weil dabei der Einfluss der Nutzerzahlen bewertet werden kann.

(Hinweis: Low-Latency Anonymisierungsnetzwerke sind alle für Traffic Confimation Angriffe anfällig, bei denen ein gloabler Angreifer Input und Output korrelieren kann. Bei VPNs ist das besonders einfach, da es nur einen Server gibt und die NSA kann fast alle europäischen VPNs auf Knopfdruck deanonymisieren.)

Wenn das stimmt, wovon wir leider ausgehen müssen, fürchte ich, spielt es also keine Rolle für die NSA und ihre Hintermänner, ob wir beim Jondo nun eine Kaskade mit zwei oder drei Mix-Servern benutzen?

Gehen wir mal davon aus, dass die NSA durchaus JonDonym Traffic deanonymisieren könnte, wenn sie wollte. Ich kann nicht behaupten, dass JonDonym gegen einen Angreifer wie die NSA und Partner schützen kann, da das in unserem Angreifer-Modell auch nicht vorgesehen ist. (Das hatte ich schon im Mai letzten Jahres geschrieben, nach den ersten Leaks von Snowden.)

Bisher gab es noch keine Hinweise, dass sich die NSA & Co. mit JonDonym beschäftigt haben. Wenn 40.000 Mann loslegen würden (darunter die 300 besten Mathematiker der Welt), dann haben zwei Mitarbeiter bei JonDonym keine Chance dagegen.

Ich denke auch nicht, dass die Folien von Snowden über Tor den aktuellen Stand wiedergeben. Tor hat in den letzten 1-2 Jahren sehr an Popularität gewonnen, NSA und GCHQ werden ihre Aktivitäten auch verstärkt haben und bessere Ergebnisse erzielen. Wer weiß, welchen Tools in den letzten 2 Jahren eingeführt wurden, von denen Snowden nichts wusste/wissen konnte.

Die guten Paper zur Deanonymiserung von Tor/JonDo-Nutzern durch Traffic Coformation sind alle höchsten 1-1,5 Jahre alt, das wird die NSA auch gelesen haben.

Um sich gegen einen globalen Angreifer wie NSA & Co. zu schützen, braucht man geschlossene Netze. Das funktioniert mit Low Latency Anonymisierung nicht.

Trotzdem können Tor und JonDo Werkzeuge in einer Toolbox gegen Spionage sein, entscheidend ist aber das eigene Verhalten im Netz.


B.Schneier hatte einen schönen Vergleich mit einem Auto ohne Bremsen: Wenn man mit einem Auto ohne Bremsen fährt und sich ahnungslos darauf verlässt, dass alles funktioniert, dann hat man verloren. Wenn man die Grenzen erkennt und sich der Gefahren bewusst ist, dann hat man eine Chance, das Ziel zu erreichen. (Was ist das Ziel?)

[aiooo]

Bei VPNs ist das besonders einfach, da es nur einen Server gibt und die NSA kann fast alle europäischen VPNs auf Knopfdruck deanonymisieren.)

Könnten Sie diesen Punkt etwas genauer erklären. Wenn der VPN-Anbieter nicht loggt, wie kann man dann auf den "echten" Nutzer schließen?

[blympson]

Ein VPN ist nunmal nicht für eine Deanonymisierung gedacht, von daher sind da auch keine entsprechenden "Techniken" in Anwendung. Wenn, kann man höchstens von Verschleierung (zB. der ip) sprechen.
Sprich, es gibt ja nun noch genügend Erkennungsmerkmale, die Rückschlüsse ermöglichen, wie verwendete Hard-/Software, die Art des schreibens, aufgerufene Seiten, etc. Und alles hinterlässt kleine Datenhäuflein. Die müssen dann nur miteinander kombiniert werden (datafusion). Sowas geht inzwischen schnell, wenn man den Aufwand fahren kann...

[cane]

Könnten Sie diesen Punkt etwas genauer erklären. Wenn der VPN-Anbieter nicht loggt, wie kann man dann auf den "echten" Nutzer schließen?

Es gibt mehrere Methoden, mit denen Nutzer von VPNs deanonymisert werden können:

1: Korrelationsanalyse: Die Datenpakte haben aufbeiden Seiten des VPN (verschlüsselt zum User, unverschlüsselt zum Netz) die gleichen Größenverhältnisse und zeitliche Reihenfolgen. Auf der Nutzerseite sind sie einfach nur verschlüsselt. Wenn man den Traffic des VPN-Servers beobachtet, dann liefert eine einfache Korrelationsanalyse den Zusammenhang, welche Daten aus dem Netz an welchen Nutzer gesendet werden.

(Korrelationsanalyse ist ein mathematisches Standardverfahren, ich habe es vor 25 Jahren im Grundstudium in der Vorlesung "Mathe" gelernt, man braucht nur Zugriff auf den Traffic des VPN-Servers und ein bisschen Rechenleistung.)


2: Fingerprinting: Wenn man nur den Zugriff auf bestimmte Webseiten beobachten will (z.B. ist Facebook oder mail.ru für die NSA interessant), dann kann man einen Fingerprint der Webseite vorab berechnen. Der Fingerprint enthält die Elemente der Webseite, die bei einem Aufruf geladen werden.

Dann muss man nur den verschlüsselten Traffic des VPN auf User-Seite beobachten und auf die vorbereiteten Fingerprints warten, spart etwas Rechenleistung und man kann schneller reagieren. Wendolsky/Hermann haben 2009 nachgewiesen, dass die Verfahren bei VPNs und SSH-Tunneln mit fast 100% Trefferquote zuverlässig funktioniert.


3: gebrochene Keys: In den Folien von Snowden wurde ein Tool erwähnt, das den Analysten der NSA die Möglichkeit geben soll, auf Knopfdruck den Traffic der meisten europäischen Anonymiserungs-VPNS zu zu entschlüsseln und live aufzuzeichnen. (Ich habe den Link leider nicht mehr, weil mich VPNs nicht sehr interessieren.)

GCHQ is alleged to have broken the security on some 30 VPN systems, and has plans to get into 300 by 2015.

steht hier: http://www.theregister.co.uk/2013/09/05 ... l_reports/

Quelle hier: http://www.theguardian.com/world/2013/s ... s-security

PPTP und L2TP/IPsec VPNs sind praktisch gebrochen, sollte man nicht mehr nutzen. OpenVPN ist nur mit Schlüsseln von mindestens 2048 Bits sicher und mit Forward Secrecy.

Ob die Keys der durch einmaligen Einsatz von "Big Iron" in Fort Meadow gebrochen wurden oder evtl. durch einen Hack geklaut wurden oder ob einzelne Betreiber zur Herausgabe gezwungen wurde, ist für Nutzer wahrscheinlich unerheblich, wahrscheinlich eine Kombination von allen Möglichkeiten.


Wie von "blympson" geschrieben, sind VPNs nicht für die Anonymisierung konzipiert, sie dienen der Verbindung von zwei vertrauenswürdigen Endpunkten über unsichere Netze. Diese Aufgabe können VPNs gut ausfüllen.

JonDonym und Tor sind gegen Korrelationsanalysen robuster, weil sie für den verschlüsselten Traffic zwischen User und Exit feste Paketgrößen verwenden und die Eingänge/Ausgänge der Mix-Kaskaden bzw. Tor-Routen in unterschiedlichen autonomen System im Internet liegen, so dass nur ein großer globaler Angreifer die Möglichkeit hat, Eingänge/Ausgänge zum Anonymiserungsdienst gleichzeitig zu überwachen.

[cane]

Update: zum Thema "NSA und VPN" gab es gestern ein Update bei Intercept, Zusammenfassung bei Golem: http://www.golem.de/news/nsa-affaere-mi ... 05102.html