In Case of Inquiries ...

From JonDonym Wiki
Revision as of 14:13, 13 April 2011 by Geko (Talk | contribs)
Jump to: navigation, search

En2.png De2.png    <- prev | Content

Contents

Advices for Exit Mix Administrators Regarding Abuses

If the anonymization service got abused the IP address of the exit mix is usually identified. Often it is the case that the server is assumed to cause the abuse.

Preliminaries

Already before getting the first abuses there is something one can do to minimize the trouble later on:

  • Talk to your ISP and explain what you are doing with your server and what kind of problems may occur. The best thing is to ask before signing the contract whether and under which conditions it is tolerable to deploy an anonymization service at all and if there are requirements concerning the handling of abuses. Some ISPs say: "We are just relaying traffic and you are supposed to deal with abuses." Other ISPs want to get feedback regarding the handling of abuses.
  • Do not run the exit mix on a server in your home country. This is not only recommended by JonDos in order to provide high anonymity but serves avoiding abuses as well. Insignificant abuses are often not prosecuted if an international coordination is necessary to identify the offender.
  • A "talking" Reverse-DNS entry may clarify the function of the server: IT-savvy victims or prosecutors may use tools like host or nslookup.
  • The Whois record should contain respective information about the server. The AnonBox of the Chaos Computer Club is a good example.
  • Ideally, the RIPE entry of the server's IP should point to its operator directly. Then all abuses go directly to the mix operator without detour via the ISP. Not all ISPs are offering to set the RIPE entry but if it is possible you should use this option.
  • Victims or prosecutors are often checking the IP address of the exit mix server using a web browser in order to inform themselves about its operator. It is helpful if a small web server like lighttpd provides a information page on port 80. The JonDos GmbH offers an example of an Exit Mix Information. If the anonymity service was abused in a criminally liable way this information page can influence whether one is treated as a suspect or a witness.
    • Installing the web server. (Debian: # aptitude install lighttpd )
    • The example prepared by the JonDos GmbH do you find in the mix sources in the subdirectory misc/exit-mix-notice. If you are using the mix server debian packages please install the package mix-exit-notice. The prepared web page is available in the directory /usr/share/mix-exit-notice. Do not forget to adjust the configuration for the installed web server.
SRC:   DocumentRoot /home/mix/stable/misc/exit-mix-notice
DEB:   DocumentRoot /usr/share/mix-exit-notice

Spam-Versendung via Webinterface

Oft wird eine Serie von Spam-Mails über das Webinterface eines Mail-Providers versendet. Der Spammer möchte anonym bleiben und nutzt in der Regel kostenfreie Anonymisierungsdienste, um sich im Webinterface des Mailproviders anzumelden.

Die Empfänger der Spam-Mails können anhand des Headers der Spam-Mails den Ursprung bis zum Exit-Mix zurück verfolgen. Sie senden eine Abuse-Mail an den ISP des Exit-Mix. Der ISP leitet die Mail an den Mieter des Servers weiter und erwartet eine Bearbeitung und Rückmeldung. Ignorieren sie diese Abuses nicht, auch wenn sie nicht strafrechtlich relevant sind. Ein dauerhaftes ignorieren kann einen Verstoß gegen die AGB des ISP bedeuten und zur Kündiung des Servers führen.

In der Regel erhält man zusammen mir der Abuse-Meldung die komplette Spam-Mail inklusive der Header. Ein fiktives Beispiel

Dear customer,
.
We received a complaint regarding an IP assigned to you. Please see the complaint at the
bottom of this e-mail. We urge you to take appropriate ation to prevent future complaints.
.
Security Response Team
.
Return-path: <blabla@bla.bl>
Delivery-date: Fri, 14 Mar 2015 06:39:21 +0200
Received: from pra7.smp.wab.co.za ([196.28.77.217])
....
Received: from 23.23.23.23
       (SquirrelMail authenticated user medium)
       by mail.domain.tld with HTTP;
Date: Fri, 14 May 2010 07:37:04 +0300 (EAT)
Subject: HELLO!!
From: ........

Im letzten Abschnitt Received: finden sie die nötigen Informationen, um ihrerseits die Abuse-Meldung weiter zu leiten. Die Header sehen verschieden aus. Man muss sich mit jeder Abuse-meldung individuell befassen.

  • 23.23.23.23 ist ein Beispiel. Es sollte die IP-Adresse des Exit-Mix sein. Möglicherweise steht hier eine andere IP-Adresse, dann ist die Abuse-Meldung nur irrtümlich ihnen zugestellt worden. (Kommt auch vor, aber selten.)
  • user medium ist der User-Account auf dem Mailserver, der für die Versendung der Spam-Mails verwendet wurde.
  • mail.domain.tld ist der Mailserver, auf dem SquirrelMail (ein Web-Frontend) läuft.

Leiten sie die erhaltene Abuse-Meldung an den abuse Account des Mail-Providers weiter und bitten sie um Löschung des Spam-Account. Senden sie die Weiterleitung in Kopie an das Security Response Team ihres ISP, damit dort eine Rückmeldung vorliegt, dass und wie sie auf die Abuse-Meldung reagiert haben. Die meisten Provider sind damit zufrieden. Sie leiten ihre Rückmeldung ihrerseits an den Absender weiter.

Spam DNS-Blacklisten

Durch die Versendung von Spam-Mails oder Spam in Foren kommt es immer wieder vor, dass ein Exit-Mix von einer DNSBL als Spam-IP gelistet wird.

Für kostenfreie Exits ist das in der Regel kein Problem, solange der Server nicht auch für die Versendung von Mails genutzt wird. Die ISPs verteten meist die Meinung, das der Nutzer des Servers selbst dafür verantwortlich ist, ob die IP-Adresse auf einer DNS-Blackliste steht oder nicht. Da die meisten DNSBL auch Kommentare in Foren u.ä. auswerten, wäre es eine Sysiphos-Arbeit für den Admin, ständig und immer wieder den Server von allen DNSBL zu entfernen. Da es den Mix-Betrieb nicht beeinträchtigt, können kostenfreie Exits das Problem ignorieren. Eigene E-Mails sollte man standardmäßig über eine andere IP-Adresse versenden.

Für Premium-Dienste ist die Situation etwas anders. Da diese Dienste auch die anonyme Versendung von E-Mails via SMTP ermöglichen, sollten die Exit Mix Betreiber in dafür sorgen, dass ihre Server nicht auf DNSBL gelistet werden. Die Website Spam Database Lookup bietet die Möglichkeit, eine Vielzahl von DNSBL zu prüfen.

Stalking und Beleidigungen

Wenn Opfer von Stalking und Beleidungen sich an Exit-Mix Betreiber wenden, kann man auf die Möglichkeit zur Blockierung der anonymen Nutzung hinweisen. Webdienste (Blogs, Foren, Wikis oder andere Websites) können auf allen Exit-Mixen gesperrt werden, wenn der Betreiber der Website es wünscht.

Urheberrechts-Verletzungen

Urheberrechtsverletzungen sind bei JonDonym sehr selten. Die automatisiert erstellten Urheberrechts-Verletzungen sind bei den meisten Exit Mix Betreibern unbekannt. Die kostenfreien Kaskaden können nur für anonymes Surfen genutzt werden. BitTorrent über kommerzielle Kaskaden ist wenig lukrativ. Statt der Bezahlung des Traffic kann man sich das gewünschte Video auch kaufen.

Kreditbetrug u.ä.

Eine Bestellung bei einem Online-Shop erfolgt unter Angabe falscher Daten und mittels Anonymisierungsdiensten. Die Ware wird geliefert, aber die Rechnung wird nicht bezahlt. Der Online-Händler erstattet Anzeige und liefert als Beweismitteln die gespeicherte IP-Adresse. Es laufen Routine-Ermittlungen an und der Betreiber des Exit-Mix wird irgendwann als Beschuldigter oder Zeuge bei der örtlichen Kriminalpolizei vorgeladen.

Das ist kein Grund zur Beunruhigung. Nehmen sie den Termin zur Vorladung an oder vereinbaren sie einen passenden Termin. Erklären sie den Ermittlern, was sie tun und dass anhand der IP-Adresse eine Ermittlung des Täters nicht möglich ist. Ein Protokoll wird aufgesetzt und die Ermittlungen gegen den Exit-Mix Betreiber werden eingestellt. Ein vorbereitetes Informationsblatt über JonDonym ist hilfreich. (Möglicherweise wird der Beamte in Zukunft selbst den Dienst nutzen, um Datenspuren im Internet zu vermeiden.)

Mit etwas Routine können sie die Vorladung auch schriftlich beantworten und nachfragen, ob ihr persönliches Erscheinen zur Klärung weiterer Fragen nötig ist.

Schwere Straftaten

Mix-Betreuber stehen nicht außerhalb des Gesetzes. Bei schweren Straftaten besteht die Möglichkeit, dass man durch einen rechtskräftigen Beschluss gezwungen wird, Daten über die Nutzung des Dienstes zwecks Deanonymisierung der Nutzer zu speichern.

Spielen sie nicht "Katz und Maus" mit den Behörden. Erklären sie nicht ihr Einverständnis mit der Telekommunikationsüberwachnung, um später sinnlose Daten zu liefern, die ohne Kooperation der anderen Mixe nicht auswertbar sind. Erklären sie die Funktionsweise von JonDonym, die (hoffentlich) internationale Verteilung ihrer Kaskade und lassen sie sich von einem Anwalt beraten. Die JonDos GmbH wird sie unterstützen.

Bei der Umsetzung der Überwachung sind folgende Punkte zu beachten:

  1. Speichern sie nur die minimal nötigen Daten.
  2. Stellen sie sicher, dass niemand Zugriff auf die gespeicherten Daten hat.
  3. Geben sie Daten nur in dem Maße weiter, wie sie dazu gezwungen sind.
  4. Erlauben sie keine willkürliche Datensammlung. Wenn sie sich dagegen nicht wehren können, schalten sie ihren Server ab.

Ähnlich wie beim Kreditbetrug und ähnlichen kleinen Straftaten ist es auch bei schweren Straftaten möglich, dass der Betreiber des Mix Servers als tatverdächtig gilt. Man wird sie beim Verdacht auf Beteiligung an schweren Straftaten (z.B. in Zusammenhang mit Organisierter Kiminalität) nicht einfach vorladen und befragen. Die Ermittlungen gegen sie werden anfangs unbemerkt ablaufen und möglicherweise die Überwachung ihrer Telekommunikationsverbindungen einschließen, Überprüfung ihrer Bankkonten usw.

Personal tools