Provider - Kommunikation abfangen?

Hallo,
ich kenne mich mit dem Thema nicht sonderlich gut aus, vor allem was die Kommunikation zwischen Server und End-Anwender angeht.
Ist es möglich einem Provider die komplette Übertragung (vom Gesetzlichen jetzt mal dahingestellt) abzufangen und zu rekonstruieren ?
Also praktisch die gesamte Kommunikation abzufangen.
Gebe es überhaupt eine Möglichkeiten dagegen zu wirken außer eines von vornherein beider Seiten bekannten Schlüssels. Weil ja jegliche Kommunikation abgefangen werden würde.
Gruß

Ps. Ich bitte aber um sinnvolle Antworten!

Für den Provider ist das rein technisch überhaubt kein Problem, das ist so wie wenn jemand dir eine Nachricht zukommen lässt und dir sagt du sollst sie an jemand anderes weiterschicken. Ist die Nachricht nicht verschlüselt, kannst du sie ja auch einfach kopieren und die Kopie behalten.

Das was Froschcommander geschrieben hat ist völlig richtig.

Ergänzen sollte man aber, dass eine Verschlüsselung auch realisierbar ist, wenn vorher nicht beiden Seiten der Schlüssel bekannt ist. Dazu werden asymmetrische Verschlüsselungsverfahren verwendet.

Das geht sogar einen Schritt weiter. In den USA ist es "gang und gäbe", dass die NSA ganze Backbones (d.h. Verteilungszentren im Internet) auf ihre Serverfarmen clont um sie dort auszuwerten. Bekannt wurde dies, als sich die ISPs öffentlich beschwerten, dass sie für den anfallenden Arbeitsaufwand nicht genug bzw. überhaupt kein Geld bekommen.

Unverschlüsselte Nachrichten/Daten können von jedem in der Kette (WLAN/LAN Mitnutzer, ISP, Verteilungsknoten dazwischen) mitgelesen werden. Verschlüsselte Daten können, wenn es richtig gemacht wird, nur von Absender und Empfänger gelesen werden.

Das habe ich auch soweit gedacht. Aber wie kann man die Daten verschlüsselt übertragen ohne das der Provider mitlesen kann? Weil er ja wirklich alle Packete abfängt? Zudem wie groß ist der Auwand die Daten auszuwerten?

Btw. hat jemand etwas darüber zum lesen, vor allem
Vom tech. Aspekt.
Gruß

Der Provider darf rein rechtlich gar nichts mitschneiden oder auswerten. Selbst DPI (Deep Package Inspection) als Firewall/Filter Technik d.h. reinschauen um was für eine Art Daten es sich handelt, ist, bislang, nicht legal. Verschlüsselt kannst du Daten mithilfe von VPN abfangen. Die sind jedoch immer nur bis zu VPN Endpunkt verschlüsselt, d.h. ab dort kann man die Daten wieder abfangen und auslesen.

Wenn du dich für solche Themen interessierst, schau dir doch mal die Wikipedia Einträge zu VPN, Verschlüsselung, Deep Package Inspection und Firewall an.

Schon mal "Der Staatsfeind Nr. 1" gesehen? Das beschriebene Überwachungssystem ist nicht komplett fiktiv. Es nennt sich Echelon. Wie im Film gesagt wird "es wird automatisch nach Stichwörtern gefiltert, Computer schneiden alles mit - und das war in den 80ern so".

Internettraffic auszuwerten ist ein Stückchen komplexer und aufwändiger. Insbesondere durch die enorme Mengen an Daten und unterschiedlichen "Datentypen" (Audio, Video, Text, Binärdaten), welche versendet werden. Ist aber alles nur eine Frage der Rechenleistung. Im Jahr 2010 wurde der erste Supercomputer eingeweiht, der die vermutete Rechenleistung des menschlichen Gehirns (~1000 TFlop/s) erreicht. Der aktuelle Top Rechner erreicht 8000 TFlop/s.

Vielen Dank andy_0, hast mir sehr weiter geholfen!

Eine Sache noch

Verschlüsselt kannst du Daten mithilfe von VPN abfangen. Die sind jedoch immer nur bis zu VPN Endpunkt verschlüsselt, d.h. ab dort kann man die Daten wieder abfangen und auslesen.

Zum Vergrößern anklicken....

Wie genau hast du das gemeint?
Soweit ich versteh laufen die ganzen Daten über den Provider und er könnte alles mitlesen dh. auch die ganzen keys etz. ?

Hättest du vlt. auch eine Idee wo man sich darüber noch informieren kann vor allem die gesamte Netzwerktechnik von den Providern etc.

Vielen Dank nochmals !

Es läuft eigentlich so:
Du -> Provider -> anderer Provider -> Server

Mit VPN läuft es so:
Du => Provider => VPN Provider -> anderer Provider -> Server

Greifst du auf ein Server mit SSL zu (z.B. Onlinebanking, ...) läuft es für die eine Verbindung folgendermaßen:
Du => Provider => anderer Provier => Server

=> stellt eine verschlüsselte, -> eine unverschlüsselte Verbindung dar.

Dein Provider sieht also keine Daten, er weißt auch nicht "wohin" sie gehen, da er als Zielpunkt immer nur den VPN Anbieter hat. Erst dort werden die Pakete entpackt, neu verpackt und zum eigentlichen Ziel unverschlüsselt gesendet. Letztendlich verschiebt man damit die Problematik einfach nur einen Anbieter weiter (vom ISP zum VPN Anbieter).

VPN bietet jedoch durchaus Schutz, wenn du deinem LAN/WLAN (z.B. öffentliches WLAN Netz) nicht traust, da sämtliche Kommunikation vom PC zum Netzwerk verschlüsselt abläuft d.h. jemand anders im WLAN kann die Daten nicht mitlesen. Darüber hinaus hat VPN für Firmen verschiedene technische Vorteile, da sich sämtliche Geräte so verhalten, als wäre der externe Rechner per VPN im internen LAN.

Die Hardware von ISPs sind auch nur Netzwerkgeräte nach dem selben Prinzip wie bei dir im Heimnetzwerk auch. Man setzt Router, Gateways und Firewalls ein um den Verkehr zu regeln und abzusichern.

Wow vielen Dank für die Ausführliche Erklärung, selten das man so kompetente Hilfe kriegt!

Eine Frage noch,
die Daten laufen "Du => Provider" über den Provider auch wenn sie verschlüsselt sind, könnte er nicht den "Schlüssel" einfach gleich am Anfang abfangen und die Daten entschlüsseln auch ohne zu wissen wohin sie gehen oder woher sie kommen?
Weil es muss ja zuerst zwischen VPN und Endanwender eine Sichere Verbindung aufgebaut werden, jedoch könnte doch der Provider praktisch mich "faken" ? Ist sowas vorstellbar ?
Hab da noch etwas im Hinterkopf bezüglich SSL Verbindungen bin mir aber jetzt nicht sicher.

Gilt es eigentlich für die Kommunikation in beide Richtungen

Gruß

Solche Angriffsmethoden nennt man Man in the mIddle attack. Da ist sehr viel vorstellbar.

So könnte man auf deinem Rechner einen Trojaner einschleusen, welcher natürlich Zugriff auf sämtliche Daten hat, bevor diese verschlüsselt über das Netzwerk gesendet werden. Das selbe können sie beim VPN Provider machen.
Eine weitere Möglichkeit ist das Faken des Providers d.h. du verbindest dich nicht mit dem Provider sondern mit einem anderen Server. Genau auf diese Weise arbeitet z.B. GSM Überwachung. Das Telefon verbindet sich nicht mit der Einwahlzelle des Providers, sondern mit einem mobilem IMSI Catcher, welcher das Gespräch dann erst an den Provider weiterleitet.
Natürlich geht auch das Mitschneiden der Daten im LAN, WLAN, WAN (Kupferleitungen zwischen dir und deinem Provider) etc. Abhängig davon, wo die Verschlüsselung stattfindet, ist das erfolgreich oder auch nicht.

Die Problematik mit dem Schlüsselaustausch hast du korrekt erkannt. Dafür gibt es Verfahren, um Schlüssel sicher über eine unsichere Verbindung auszutauschen (siehe Diffie Hellman key exchange). Alternativ könnte man vordefinierte Hash/Passwörter verwenden, welche über eine andere Art der Kommunikation (z.B. der Post) sicher ausgetauscht werden.

Es gibt auch Verfahren um zu erkennen, ob der Teilnehmer der ist, wofür er sich ausgibt zu sein. Man verwendet dann einfach Authentifizierungsschlüssel. Solange diese dem jeweiligen Teilnehmer nicht gestohlen werden, kann man damit den Teilnehmer sicher identifizieren. So funktionieren Zertifikate für Webseiten etc.
Es gibt sogar komplette Kommunikations- und Chatsysteme, welche all diese Möglichkeiten kombinieren. Ein System nennt sich "Off The Record" Chat (gibt es als Plugin z.B. für Pidgin und Miranda IM) und verwendet nur verschlüsselte Kommunikation, Keys zur Verifizierung der Teilnehmer und gleichzeitig ist es nach Beendigung der Verbindung unmöglich zu beweisen, wer an der Kommunikation teilgenommen hat, da die jeweiligen Authentifizierungsschlüssel nach der initialen Identifikation nur für diese eine Kommunikation erstellt wurde.

Verschlüsselte Verbindungen sind für gewöhnlich Bidirektional d.h. sie findet in zwei RIchtungen statt.

Mit Hilfe von Quantenkryptographie ist es möglich, zu erkennen wenn jemand versucht das Gespräch (z.B. über die Leitung) zu belauschen. Durch spezielle Quanteneffekte (man kann ein Quant zwar "anschauen", jedoch verändert man dann seine Eigenschaft) wäre somit eine Überwachung "immer" erkennbar. Das ganze ist natürlich unabhängig davon, ob die eigentliche Kommunikation verschlüsselt oder entschlüsselt statt findet.

Vielen Dank auch für diese Antwort.
Und jetzt noch zurück zum Anfang, heißt es wenn ich über einen vertraulichen VPN Anbieter meine Daten beziehe ist es dem Provider nicht einfach so ohne weiteres möglich meine Daten zu lesen. Also wenn beide "sauber" sind und nicht mit Trojanern infiziert. Jedoch müssten die Daten verschlüsselt werden ?
Gibt es dafür vertrauliche Angebote im Internet?

DANKE
Grúß

https://www.vpntunnel.se/de/

Ist bisher der "schnellste" den ich getestet habe. Nur heißt schnell idR max. 5Mbit/s.

Mit Provider meinst du den ISP? Wenn du eine VPN Verbindung aufbaust, ist sämtlicher Inhalt nur von dir (der PC, Router, was auch immer das VPN aufbaut) und dem VPN Endgerät lesbar.

Was ist bei dir vertraulich? Es gibt billige russische Anbeiter, aber ob ich denen meine Daten "anvertrauen" würde ... Dann gibt es Anbieter in Deutschland, die dir eigentlich wenig bringen. Anbieter in Amerika sind auch möglich, jedoch muss dort, wie in Europa, geloggt werden. Außerdem können die Zugriffsdaten in den USA sehr leicht erfragt werden. Den meisten Sinn machen für gewöhnlich VPN Server in USA oder GB, damit man IPs aus den Länder hat um z.B. hulu.com verwenden zu können.

Die Firma Relakks (https://www.relakks.com/) betreibt im Auftrag der schwedigen Priatenpartei in Schweden VPN Server. Die sind sehr billig, aber ich glaube nicht so gut in der Geschwindigkeit. Es gibt dann noch Anbieter in der Schweiz (http://www.swissvpn.net/), aber die sind relativ teuer (und wo ist da der Vorteil?). In USA gibt es mehrere Anbieter, wie z.B. VyprVPN (https://www.goldenfrog.com/vyprvpn). Die bieten unlimitierten VPN mit sehr hohen Geschwindigkeiten und verschiedenen Serverstandorten (USA, GB, DE, FR, NL, CN) an.

Eine nicht aktuelle Auflistung findest du z.B. bei Gulli (http://board.gulli.com/thread/1428107-vpn-anbieter-ueberblick/).

Ach und erwähnen sollte man noch "Proxydienste" wie TOR und JonDonym. Die funktionieren teilweise anders. TOR ist kostenfrei und sehr langsam, JonDonym auf Bezahlbasis, wenig Traffic, und nicht so schnell, dafür eben wie bei TOR über sog. Kaskaden d.h. mehrere Server. Die Grundproblematik, dass man den ausgehenden d.h. letzten Server in der Kaskade vertrauen muss (da die Daten dort entschlüsselt werden) besteht auch hier.