Ein großer Verdienst von Edward Snowden ist nach meiner Meinung, dass er das Thema Überwachung einer breiten Masse vor Augen geführt hat. Und so wie viele Menschen heute sichere Messenger wie Threema und andere verschlüsselte Kommunikationsmittel nützen, dürften auch viele User dazu übergehen, ihre IP Adressen mit einem VPN (Virtual Private Network) zu verschleiern, um beim Websurfen nicht ständig und permanent identifiziert und getrackt zu werden. Dumm nur, dass es in modernen Browsern (Firefox und Chrome) eine neue Schnittstelle namens WebRTC gibt, die Echtzeitkommunikation direkt im Browser ermöglicht. Eigentlich ein tolles Feature, wenn da nicht die Lücke wäre, die es möglich macht, die „wahre“ IP Adresse des Anschlusses auszulesen. So berichten aktuell etwa Caschys Blog und auch Heise.de davon, und verweisen auf ein kleines Script von Daniel Roesler, das die Lücke verdeutlicht.
Ich nutze bisweilen eben auch ein VPN Service, namentlich den von CyberghostVPN und wollte natürlich testen, ob das Problem auch bei mir besteht. Und siehe da, es funktioniert NICHT! meine reale öffentliche IP wird also nicht ausgelesen und ich damit nicht deanonymisiert, super. Ich habe das also auf verschiedenen Systemen und mit verschiedenen WebRTC fähigen Browsern getestet und füge hier als Beleg mal eine Reihe von Screenshots an, wobei ich natürlich meine IP Adressen maskiert habe 😉 Getestet habe ich auf Windows 7 Home Premium 64 jeweils mit Firefox und Chrome in der aktuellen Version, auf Ubuntu 14.04 mit einem aktuellen Chromium Browser und auf einem HTC One X + mit CyanogenMod 10.2 (Android 4.3.1) und der aktuellen Version von Firefox mobile, jeweils im heimischen WLAN und im 3G Netz von O2. Im Screenshot rechts seht ihr, wie ich den Cyberghost Client eingestellt habe, welche Optionen ausgewählt wurden, um sicher surfen zu können. Unter Android sind diese ähnlich eingestellt, nur unter Ubuntu nicht, denn hier gibt es keine grafische Oberfläche wie unter Windows, sondern das System wird unter OpenVPN genutzt und erlaubt nur die Auswahl des Serverstandortes.
Nun habe ich meine Erkenntnis auch im Heise Diskussionsforum geteilt und dabei zusammen mit anderen ermitteln können, dass das auch bei Cyberghost nicht für jeden Server mit Sicherheit funktioniert, finnische zum Beispiel zeigen wohl doch die „echte“ IP des Nutzers an, wogegen zumindest die deutschen und die Serverstandorte in den USA ein Auslesen der echten IP Adresse nicht ermöglichen. Interessant in diesem Zusammenhang, dass auch TOR Nutzer berichten, dass sie deanonymisiert werden können. Allerdings scheint es in den Fällen daran zu liegen, dass die Nutzer mit dem normalen Browser über TOR surfen, und dort Plugins wie Flash oder Silverlight aktiviert haben, wodurch die wahre IP eben doch ausgelesen werden kann. Folglich gilt, wenn schon mit TOR, dann richtig, also mit TOR Browser Bundle ohne Java, Flash und Silverlight oder noch besser mit Tails im Live Boot Modus vom USB Stick.
Du hast ähnliche oder abweichende Beobachtungen gemacht? Dann bitte hier kommentieren oder mir schreiben und Infos teilen, möglicherweise können wir ja eine Liste der sicheren CyberghostVPN Server erstellen. Natürlich sind auch Hinweise auf weitere sichere VPN Anbieter gern gesehen. Und zum Schluss der Hinweis, dass ihr die WebRTC Schnittstelle auch deaktivieren könnt, unter Firefox muss die about:config „media.peerconnection.enabled“ auf „false“ gesetzt werden und unter Chrome hilft die Erweiterung: WebRTC Leak Prevent
cucumba meint
die chrome-Erweiterung „WebRTC Block“ funktioniert nicht mehr. Also Chrome (+ derivate) ist wieder offen!
Mit Erweiterung „ScriptSafe“ funktionierts, aber dann ist unter anderem js abgestellt.
Bastie Wendt meint
Hi cucumba, danke für deinen Hinweis. Ich kann das im Moment nicht prüfen, bei meinem CyberghostVPN ist die IP ja auch durch WebRTC nicht „verraten“ worden 😉 Liegt es vielleicht am Update von Chrome? Vielleicht hast da noch ein paar Infos dazu. Schaue mir später noch an, wenn ich es heute schaffe….
cucumba meint
Hier steht was dazu:
http://www.reddit.com/r/VPN/comments/2uxnmh/webrtc_block_extension_for_chrome_now_ineffective/
Und was die vpn angeht: hide.me, pp, cyberghost sind geschützt, freedome (fsecure) ungeschützt. Als Beispiele.