Domanda:
Come puoi essere scoperto usando Private VPN quando non ci sono log su chi sei?
jcho360
2013-07-30 18:04:38 UTC
view on stackexchange narkive permalink

So che ci sono 2 servizi di VPN (gratuito e a pagamento). Normalmente, le VPN gratuite hanno bisogno di denaro da qualche parte ea volte possono vendere le tue informazioni a qualsiasi agenzia che ne abbia bisogno.
Ora, se stiamo parlando di una VPN a pagamento in cui usano la crittografia e non conservano alcun registro o informazione sul utente, indirizzi IP o cosa stai facendo, come può essere rintracciabile un hacker? Quindi, i migliori hacker che sono stati catturati devono essere stati una VPN gratuita, perché erano troppo economici per pagare 7 -10 $ / mese o mi manca qualcosa.

Un estratto dalle FAQ di uno di questi servizi VPN. Lo hanno nell'informativa sulla privacy.

enter image description here

Come puoi essere sicuro che non tengano i registri? A meno che tu non veda la loro infrastruttura / codice effettivo, non lo saprai mai per certo.
Che ne dici di trovare una catena di pochi paesi con non hanno relazioni diplomatiche e utilizzare VPN su VPN su VPN ... ciascuno in quei paesi?
Qualcuno ha controllato Hide.io? Sono un servizio con sede a Hong Kong che afferma di non conservare i registri. Ho guardato la piccola stampa sulla loro pagina ToS (https://www.hide.io/page/legal) e sembra implicare che nessun registro viene preso o può essere fornito, e se la legge cambia lì, loro chiuderà il servizio. Qualcuno può verificare che questa sia effettivamente una VPN che in realtà non conserva i registri e quindi non sarebbe in grado di rispettare un'ordinanza del tribunale?
Che ne dici di trovare una catena di pochi paesi che non hanno relazioni diplomatiche ... e sono disposti a venderti in cambio di valuta fredda e forte poiché non ci sono assolutamente leggi che impediscono a entità straniere di aprire negozi e filtrare tutti i paranoici traffico. Denaro parla, comunicazioni libere e non manomesse cammina nelle terre dove le tangenti la fanno da padrone.
Lancia i dadi, paga il prezzo. Aspettati un certo livello di rischio quando intraprendi attività rischiose.
Tutti i moderni provider VPN mantengono il tuo registro.Non limitare al tuo IP, IP di destinazione, dominio, tipo di protocollo, dimensione del pacchetto.
@MichałŠrajer è possibile, in una situazione ideale.Ma ci sono altri indizi.come transazioni con carta, Paypal, sistema / browser / plug-in / traffico di aggiornamento software.
Otto risposte:
Adi
2013-07-30 20:36:25 UTC
view on stackexchange narkive permalink

Aggiorna / Nota: questo non ha lo scopo di scoraggiare l'utilizzo della VPN. Uso personalmente uno dei fornitori menzionati di seguito e ne sono molto soddisfatto. Il punto importante è non avere l'illusione di essere protetti al 100% dal provider VPN. Se fai qualcosa di così grave che gli attori statali ti inseguono, il provider VPN non rischierà se stesso per te. Se coloro che vengono dopo di te sono sufficientemente motivati, eserciteranno tutti i poteri legali (e non così legali) che hanno. Scaricare torrent o postare su forum anarchici probabilmente non è abbastanza motivante, ma d'altra parte minacce di morte per politici di alto livello ... Se c'è una cosa da prendere da questo post è questa: usa il buon senso.

Ho studiato questo argomento per più di 3 anni *: cercando provider VPN, leggendo la loro politica sulla privacy e le pagine legali, contattandoli, contattando i loro ISP quando possibile e ho concluso il seguente:

Sono riuscito a trovare zero provider di servizi VPN affidabili / affidabili e pubblicamente disponibili (gratuiti oa pagamento) che:

  • In realtà non conserva i registri di utilizzo.

  • In realtà non risponde con le tue informazioni personali quando viene presentato un mandato di comparizione.

Non sto esagerando, assolutamente none, zero, nada, nula, nulla, ciphr, cifra.

* Ovviamente non è una ricerca dedicata per 3 anni

Aggiornamento: riguardo a "fantastici provider di servizi VPN svedesi". Il fornitore di servizi svedese obbedisce all ' "Electronic Communications Act 2003 389". Le sezioni 5, 6 e 7 in "Trattamento dei dati sul traffico" proteggono completamente la tua privacy, ma vai un po 'oltre e leggi la sezione 8

Le disposizioni delle sezioni 5 a 7 non si applicano

  1. Quando un'autorità o un tribunale ha bisogno di accedere a tali dati come indicato nella Sezione 5 per risolvere le controversie.

  2. Per i messaggi elettronici che sono trasmessi o sono stati spediti o ordinati ao da un particolare indirizzo in una rete di comunicazioni elettroniche che è soggetta a una decisione su intercettazioni telefoniche segrete o telecontrollo segreto .

  3. Nella misura in cui i dati di cui alla sezione 5 sono necessari per prevenire ed esporre l'uso non autorizzato di una rete di comunicazioni elettroniche o di una servizio di comunicazione.

Nel caso in cui le autorità ordinino intercettazioni telefoniche segrete, il fornitore di servizi non divulgherà informazioni a riguardo

Sezione 19 Deve essere condotta un'operazione in modo che una decisione sulle intercettazioni telefoniche segrete e la telesorveglianza segreta possa essere implementata e in modo che l'implementazione non venga divulgata .

Aggiornamento 2: per quanto riguarda altri servizi VPN super anonimi altamente consigliati (esaminerò solo i primi due)

BTGuar d: È sufficiente dare un'occhiata all'Informativa sulla privacy per sapere che sta succedendo qualcosa di losco.

  • Prima o al momento di raccogliendo informazioni personali , identificheremo le finalità per le quali le informazioni vengono raccolte.

  • raccoglieremo e utilizzeremo delle informazioni personali esclusivamente con l'obiettivo di soddisfare gli scopi da noi specificati e per altri scopi compatibili, a meno che non otteniamo il consenso della persona interessata o come richiesto dalla legge .

  • Conserveremo le informazioni personali solo per il tempo necessario per l ' adempimento di tali scopi .

  • Lo faremo raccogliere informazioni personali con mezzi leciti ed equi e, se del caso, con la conoscenza o il consenso della persona interessata .

Puoi vedere chiaramente il linguaggio volutamente vago: "soddisfare gli scopi da noi specificati", quali sono gli scopi specificati da loro? Nessuno sa. Dicono anche chiaramente che raccoglieranno informazioni personali quando richiesto dalla legge. Nell'ultimo punto affermano persino che non devono nemmeno informarti sulla raccolta delle tue informazioni personali a meno che non sia "appropriato".

PrivateInternetAccess: questo è probabilmente uno del linguaggio legale più semplice del settore.

Accetti di rispettare tutte le leggi e i regolamenti applicabili in relazione all'uso di questo servizio. Devi inoltre accettare che tu o qualsiasi altro utente a cui hai fornito l'accesso non intraprenderai nessuna delle seguenti attività:

  • Caricamento, possesso, ricezione, trasporto o distribuzione di qualsiasi contenuto protetto da copyright, marchio commerciale o brevettato di cui non si è proprietari o privo di consenso scritto o licenza da parte del proprietario del copyright.

  • Accesso a dati, sistemi o reti, inclusi i tentativi di scansione o testare le vulnerabilità di un sistema o di una rete o di violare le misure di sicurezza o di autenticazione senza il consenso scritto del proprietario del sistema o della rete.

  • Accedere al servizio per violare qualsiasi legge al a livello locale, statale e federale negli Stati Uniti d'America o nel paese / territorio in cui risiedi.

Se infrangi una qualsiasi delle loro condizioni di condotta ( menzionato sopra)

Il mancato rispetto dei presenti Termini di servizio costituisce una violazione sostanziale del Contratto, e può comportare una o più delle seguenti azioni:

  • Emissione di un avviso;
  • Revoca immediata, temporanea o permanente dell'accesso a Privateinternetaccess.com senza rimborso;
  • Azioni legali contro di te per il rimborso di eventuali costi sostenuti tramite indennizzo derivante da una violazione;
  • Azione legale indipendente da parte di Privateinternetaccess.com a seguito di una violazione; o
  • Divulgazione di tali informazioni alle autorità di contrasto come ritenuto ragionevolmente necessario.
Potresti spiegare qual è il problema con, ad esempio, https://www.ipredator.se/? Lo considereresti non affidabile?
@ungerade - Stai scherzando, vero? È un servizio basato su abbonamento e ciò significa che per necessità conservano i dati relativi all'abbonamento e conservano anche i registri di accesso, senza nemmeno nasconderli nel loro [legal] (https://www.ipredator.se/page/legal). È, ovviamente, racchiuso in un linguaggio che farebbe sembrare che i loro servizi siano ragionevolmente sicuri da usare, se non sei in grado di leggere tra le righe (chiedendoti, quali informazioni non sono fornite e perché, non quale sia) . La mancanza di informazioni è evidente e non esclude affatto (non menzionato) il coinvolgimento di terze parti. ;)
@ungerade Ho aggiornato la mia risposta per coprire il caso di quel fornitore e di altri fornitori di servizi svedesi. Il caso n. 1 è un caso generale quando si tratta di ingiunzioni del tribunale e il caso n. 3 parla specificamente dell '"uso non autorizzato di una comunicazione elettronica" che è il gergo legale per hacking / cracking.
Il servizio VPN che utilizzo, https://www.privateinternetaccess.com/pages/privacy-policy/, afferma che `PrivateInternetAccess.com non raccoglie né registra alcun traffico o utilizzo della sua rete privata virtuale (" VPN ") o proxy. "
Non hai risultati della tua "ricerca" che puoi fornirci? Non che io sia scettico, ma credo che dovresti fornire almeno citazioni che possono contraddire le numerose affermazioni che molti provider VPN collegati da Torrentfreak (https://torrentfreak.com/vpn-services-that-take-your-anonymity- seriamente-2013-edition-130302 /) conserva assolutamente zero log.
@deed02392 Capisco il tuo scetticismo e hai tutto il diritto di essere scettico. Sfortunatamente, non ho prove solide oltre al ToS e all'Informativa sulla privacy delle società (che è più che sufficiente, IMO). Ho scritto un secondo aggiornamento soprattutto per coprire il link che hai citato.
@Adnan grazie per la tua risposta, quindi la tua conclusione per essere più sicuro (anonimo) il modo migliore è usare TOR? Grazie.
@jcho360 Esattamente. Questo decentralizzerà l'intero processo; non ci sarà un solo punto in cui le autorità possono presentare una citazione. Certo, questo non ti renderà sicuro al 100%, ma è di gran lunga una delle migliori opzioni.
Re: commenti fatti da @AndreasBonini e deed02392, sono perplesso di come un provider VPN senza log come Private Internet Access possa consegnare i dati di un utente se "Non conserviamo assolutamente alcun registro VPN di alcun tipo. Utilizziamo piuttosto indirizzi IP condivisi rispetto a IP dinamici o statici, quindi non è possibile abbinare un utente a un IP esterno ... Non condivideremo alcuna informazione con terze parti senza un ordine del tribunale valido. Detto questo, è impossibile abbinare un utente a qualsiasi attività sul nostro sistema poiché utilizziamo IP condivisi e non conserviamo assolutamente alcun registro. "
Fonte: http://torrentfreak.com/vpn-services-that-take-your-anonymity-seriously-2013-edition-130302/
@nitrl Beh, presumibilmente rischiano di essere citati in giudizio per averlo fatto in quel momento - non possono soddisfare i requisiti di legge per fornire una traccia di controllo su chi ha avuto accesso a cosa.
@nitrl Si prega di dare un'occhiata alle pagine ToS e legali di Private Internet Access. Puoi vedere chiaramente che tengono dei registri e non stanno cercando di nasconderli. Ti dicono chiaramente che se fai qualcosa contro le nostre regole informeremo le autorità. Ora pensaci, come potrebbero sapere che stai facendo qualcosa di illegale e cosa direbbero alle autorità se non tengono _alcuni_ registri? Ho menzionato tutto questo nella mia risposta e ho messo in grassetto le parti importanti.
@Svetlana Questo era ciò che mi confondeva: il fatto che affermano di essere "senza log" e tuttavia mantengono in qualche modo la capacità di sospendere gli utenti abusivi o fornire i log quando citati in giudizio. Suppongo stiano semplicemente mentendo ..
@TildalWave PrivateInternetAccess È un servizio in abbonamento ma non conserva NESSUNA informazione sull'abbonato. Puoi pagare il servizio con una carta regalo da quasi ovunque in modo completamente anonimo. Ho pagato il mio abbonamento con una carta regalo Target che ho acquistato in contanti al 7-11. Ovviamente conoscono l'indirizzo IP da cui mi connetto, ma solo se conservano i log che risalgono alla domanda dell'OP.
Mai sentito parlare di [PRQ] (http://www.prq.se/?intl=1)?
@ColeJohnson Sì, e questa risposta si applica ad esso. PRQ opera in Svezia, il che significa che è costretta in base a "Lag (2003: 389) om elektronisk kommunikation", come spiegato nel post, a collaborare con le forze dell'ordine per fornire informazioni e rintracciare hacker e altri utenti che commettono attività illegali. In effetti, nel [loro personale ToS] (http://www.prq.se/prq-av-en.txt) puoi leggerlo. "PRQ manterrà la riservatezza e non divulgherà le informazioni riguardanti il ​​Cliente ** salvo ove richiesto dalla legge **". In realtà, i loro ToS specificano persino l'hacking come qualcosa che non consentono.
Tom Leek
2013-07-30 18:23:42 UTC
view on stackexchange narkive permalink

La maggior parte dei servizi anonimizzati che affermano di "non conservare i log" in realtà lo fanno conservano i log, perché altrimenti si troverebbero in guai ancora più gravi quando i federali li contattano alle 6:00 con accuse di terrorismo. Un servizio VPN come quelli che citi fondamentalmente sta dicendo: "Sì, accettiamo di assumerci la piena responsabilità legale per tutto ciò che fai online per soli 7 $ al mese". Suona davvero ... plausibile?

Inoltre, il pagamento coinvolge le transazioni e le transazioni includono i log. Ovunque. In larga misura, le informazioni sulle carte di credito rubate mitigano i rischi di essere scoperti attraverso questi registri, ma aggiungono rischi aggiuntivi (ad esempio, ora c'è una frode con carta di credito e questo arruola altre agenzie di tre lettere nel perseguimento dell'autore del reato).

A meno che non si trovino in una giurisdizione che non subisce quel tipo di interferenza governativa, come le Seychelles.
L'Iraq e l'Afghanistan erano giurisdizioni che teoricamente non hanno avuto interferenze da parte del governo degli Stati Uniti. La pratica può differire dalla teoria.
Oooook. Quindi, quando gli Stati Uniti invaderanno le Seychelles, cambierò fornitore ... Tutto ciò di cui avevi bisogno era un riferimento ai nazisti e avresti avuto l'ultima carta vincente lì ...
Nonostante il sarcasmo (e sono abbastanza sicuro che i nazisti siano antecedenti a Internet di alcuni decenni), c'è un punto da considerare: per una VPN anonima, è necessario che il provider VPN non dia mai i log alle autorità; non ora, ma nemmeno l'anno prossimo. La fiducia nel provider VPN non è limitata al presente. Ciò significa che una strategia di cambio di fornitore non è sufficiente: potresti dover cambiare fornitore _ora_ perché il tuo fornitore _sarà "invaso" _ tra pochi mesi ... e non puoi ancora saperlo.
Ci sono molte giurisdizioni occidentali che non hanno una legge che afferma che sei responsabile nella misura in cui non sei in grado di fornire i registri. Non penso nemmeno che funzioni in questo modo negli Stati Uniti. Negli Stati Uniti una società viola la legge se non fa tutto ciò che è in suo potere per rispondere a una lettera di sicurezza nazionale.
Astrill in realtà ..: https://www.reddit.com/r/technology/comments/20k0i0/which_vpn_services_take_your_anonymity_seriously/
Gilles 'SO- stop being evil'
2013-07-30 19:15:10 UTC
view on stackexchange narkive permalink

Più precisamente, dalla informativa sulla privacy per il servizio VPN:

Memorizzeremo un timestamp e un indirizzo IP quando ti connetti e ti disconnetti dal nostro servizio VPN insieme all'indirizzo IP del singolo server VPN da te utilizzato. Non memorizziamo i dettagli o monitoriamo i siti Web a cui ti connetti quando utilizzi il nostro servizio VPN.

In altre parole, registrano quell'utente X (identificato dalle informazioni del suo account e dall'IP del client address) ha utilizzato l'endpoint V VPN da T1 a T2.

Ora supponiamo che le autorità vogliano sapere chi ha fatto qualcosa e sappiano che il colpevole proveniva da V al momento T. Chiederanno alla VPN provider, che può dire loro quale utente stava usando V in quel momento.

Una VPN fornisce solo un livello di isolamento tra l'identità dell'utente ei servizi a cui l'utente accede. In una situazione in cui vengono coinvolte le forze dell'ordine, non è molto. Se è possibile ottenere l'anonimato, è necessario utilizzare più hop, preferibilmente nel maggior numero possibile di giurisdizioni diverse. Leggi come funziona Tor.

Ho usato Tor, ma non mi è piaciuto quello che ho trovato lì ... sai di cosa sto parlando ... quindi non esiste una VPN sicura? non importa se paghi o no?
@jcho360 Sicuro contro cosa? Se vuoi essere anonimo dalle forze dell'ordine, devi trovare una VPN che non conservi i registri (illegale o legalmente rischioso nella maggior parte delle giurisdizioni) e il cui ISP e colleghi di instradamento non conservano i registri.
@jcho360 Se stai cercando _that_, allora _that_ quello che troverai. Tor o no. Non è che ti connetti a Tor e improvvisamente il tuo computer è pieno di CP.
@Adnan cos'è il CP?
@jcho360 Le cose che stai "trovando" su Tor.
Stephane
2013-07-30 18:44:01 UTC
view on stackexchange narkive permalink

Quando ti chiedi questo genere di cose, vale davvero la pena andare a leggere l ' informativa sulla privacy completa. Descrive in dettaglio cosa tengono nel registro.

Nello specifico, parlando di HMA, tengono un registro di quale indirizzo IP ti è stato assegnato. Ciò significa che, dato un ordine del tribunale, saranno (tenuti a) fornire la tua vera identità alle forze dell'ordine. Altri provider VPN (seri) fanno la stessa cosa.

HideMyAss _ha_ già fatto questo. Che è [come sono stati arrestati alcuni membri di LulzSec] (http://www.theregister.co.uk/2011/09/26/hidemyass_lulzsec_controversy/).
Simon
2013-07-30 21:42:11 UTC
view on stackexchange narkive permalink

Come ho affermato nella sezione dei commenti, non puoi mai essere sicuro che il tuo provider VPN non registri alcuna informazione che potrebbe essere trapelata al governo oa qualsiasi parte che abbia abbastanza potere.

Un altro modo per utilizzare una VPN sarebbe noleggiare un VPS e configurare il proprio servizio VPN su di esso. Tuttavia, dovresti effettuare i pagamenti con una carta di credito prepagata e non fornire alcuna informazione personale. I bitcoin sono spesso indicati come un modo anonimo per effettuare pagamenti, ma è stato dimostrato che non sono così anonimi dopo tutto.

Tieni presente che questa soluzione potrebbe non essere ancora perfettamente anonima , a meno che tu non divulga mai le tue informazioni quando ti connetti al tuo VPS (IP, posizione, ecc.), magari usando Tor come altri menzionati.

Perché dovresti assicurarti di non divulgare il tuo IP al tuo VPS?Non sarebbe sufficiente cancellare i log su di esso?
Mark Buffalo
2016-04-23 10:07:51 UTC
view on stackexchange narkive permalink

Nessuna di queste risposte sta effettivamente rispondendo alla domanda e nessuno sta menzionando il potere dietro i metadati. Andiamo nei dettagli su come questo può essere fatto.

Come puoi essere scoperto utilizzando VPN privata quando non ci sono registri su chi sei?

In generale, lì sono log su chi sei, anche se il tuo provider VPN non registra nulla sulle tue connessioni. Altre società stanno registrando altre informazioni su di te. Inserzionisti, ecc.

Sebbene un provider VPN possa affermare di non fornire i log di connessione, il suo provider di servizi Internet potrebbe farlo. Potrebbero dirti la verità, ma non la intera verità.

Ma per rispondere alla tua domanda, affrontiamo questo argomento partendo dal presupposto che il tuo provider VPN non stia registrando nulla.

I metadati sono molto più potenti di quanto la maggior parte delle persone creda

I metadati sono potenti. Quando i metadati possono abbinarti ad altre fonti di dati, trovarti non è difficile.

Ho creato un diagramma di flusso molto stupido per aiutare a spiegare come questo può accadere. Certo, diversi sistemi operativi lo rendono più difficile, ma in generale è molto più facile trovare un utente Mac o Windows o un utente di un dispositivo mobile che non un utente Linux.

Prima di leggere, presumi l'ID dispositivo potrebbe essere qualsiasi cosa: la chiave di Windows, le informazioni sul dispositivo hardware comunicate ai provider, gli indirizzi MAC utilizzati, gli indirizzi IP, le impronte del browser, qualunque cosa. Potrebbe essere un numero qualsiasi di cose.

How to donate your organs

Che tipo di informazioni sull'account potrebbero aiutarti a regalarti?

Qualsiasi servizio che utilizzi online per il quale accedi a un account per. Questi includono, ma non sono limitati a:

  1. Skype
  2. Steam
  3. Battle.Net
  4. Origin
  5. Account di posta elettronica
  6. Xbox Live
  7. Forum di discussione
  8. Aggiornamento di Windows
  9. Driver Nvidia

Se ti connetti a uno di questi mentre sei connesso a una VPN, e molte di queste sono connessioni automatiche che si ristabiliscono da sole una volta che ti connetti alla VPN, è emerso uno schema chiaro.

E questo è solo un piccolo elenco. C'è un numero infinito di servizi che faranno la stessa cosa. Tali fornitori di servizi registreranno il tuo tentativo di accesso e nella maggior parte dei paesi sono tenuti per legge a fornire tali dati se richiesto.

Conclusione

Nella maggior parte dei casi, puoi correre ... ma non puoi nasconderti. :) Certo, ci sono modi per aggirare questo problema, ma la stragrande maggioranza degli utenti VPN non ne è realmente consapevole. Questo è uno dei tanti motivi per cui coloro che "si nascondono dietro 7 proxy" continuano a essere scoperti.

Cosa succede se più utenti utilizzano lo stesso IP VPN?Come puoi sapere che un download torrent è stato eseguito dallo stesso utente che ha eseguito gli aggiornamenti di Windows?Non tutte le richieste invieranno un ID dispositivo.
Penso di aver fornito una spiegazione migliore [qui] (https://security.stackexchange.com/questions/121733/how-can-meta-data-be-used-to-identify-users-through-chained-vpns/121738# 121738).Bene, non tutte le richieste invieranno un ID dispositivo, ma se sei connesso a Windows Update in quel momento, possono restringere un elenco di potenziali sospetti.Nel tempo, attraverso un processo di eliminazione e mappatura dei modelli, ti prenderanno.
Per non parlare degli intervalli di tempo.
Dan Is Fiddling By Firelight
2013-07-30 22:42:15 UTC
view on stackexchange narkive permalink

Inoltre, tieni presente che basta un solo errore per essere scoperti. Effettua una singola visita a un sito di destinazione senza prima abilitare la tua VPN e hanno il tuo vero indirizzo IP. Se effettui un attacco in quella sessione, fai in modo che i dati di identificazione persistano dalla sessione non VPN a quella VPN (o viceversa) come un cookie di qualsiasi tipo o dati delle impostazioni del browser, o un nome utente (IIRC uno dei fallimenti anonimi proveniva da un singolo accesso non VPN a IRC) gli investigatori possono connettere la tua attività VPN a te anche se è davvero opaca come promette il marketing.

Christian
2013-12-18 03:32:15 UTC
view on stackexchange narkive permalink

Anche se il servizio che stai utilizzando fa tutto ciò che è in suo potere per proteggere la tua privacy, possono essere violati.

Se hai una grande azienda VPN i cui utenti pensano di poter utilizzare la VPN per nascondersi le loro identità, sono un obiettivo di alto valore per la NSA e altre importanti agenzie di intelligence.

Sì, o per cominciare sono un vaso di miele.;)


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...