Dansk VPN-udbyder med 1,75 ansatte leverer håndbold til udlandsdanskere og Twitter til Iran

Tobias Skytte bruger sin erfaring fra blandt andet at have været internetudbyder i Mozambique til at levere VPN-forbindelser til hr. og fru Jensen.

Du kan ikke tilgå denne side, fordi du befinder dig i det forkerte land. Og vi lytter i øvrigt med på, hvad der foregår. Sådan er virkeligheden anno 2014 på en voksende del af internettet, hvor rettigheder til indhold opstiller virtuelle grænsebomme, og lyssky elementer forsøger at aflure dine personlige data.

Der er ikke udsigt til, at det bliver bedre, og det er baggrunden for, at danske Tobias Skytte har startet sin egen virksomhed, CitizenVPN, hvor han sælger VPN-forbindelser til helt almindelige forbrugere.

»Det er den samme teknologi, som de store virksomheder bruger, bare til almindelige forbrugere, som får en VPN-forbindelse gennem min server,« forklarer Tobias Skytte til Version2.

Han er for nylig flyttet ind i et lille kontorfællesskab på Amager, fordi han efter fire år er nået dertil, hvor han gerne vil udvide sin virksomhed. I dag består virksomheden af ham selv, Android-app-udvikler Morten Slott Hansen på deltid, og hans kæreste, som har stået for en stor del af markedsføringsarbejdet.

VPN har i mange år været udbredt hos virksomheder for at sikre hjemmearbejdspladser eller medarbejdere, som på anden måde har brug for at få forbindelse til virksomhedens netværk, men ikke kan stole på den internetforbindelse, de eksempelvis får stillet til rådighed på hotellet.

Adgang til DR og amerikansk Netflix

De senere år er VPN-forbindelser også begyndt at blive brugt af private brugere, og det er også dem, Tobias Skytte henvender sig til.

Tobias Skytte, stifter af CitizenVPN, har blandt andet erfaring som internetudbyder i Mozambique. Foto: Jesper Stein Sandal

»Du får øget beskyttelse af dit privatliv. Du får VPN-serverens IP-adresse, så der er ingen, der kan spore tilbage til dig. Du får også mere sikkerhed, fordi forbindelsen har en stærk kryptering, og det er relevant i forhold til overvågning. Og så kan du få en IP-adresse i USA, Storbritannien, Tyskland eller Danmark, som kan bruges til at åbne op for tjenester, der er blokeret,« forklarer Tobias Skytte.

Den sidste funktion er især den, som får mange forbrugere til at benytte en VPN-forbindelse, fordi de eksempelvis kan få en amerikansk IP-adresse og dermed få adgang til den amerikanske udgave af Netflix, som har langt mere indhold end den danske på grund af begrænsninger i tjenestens rettigheder til at vise indholdet i visse lande.

»De fleste af brugerne er danskere i udlandet, der gerne vil se DR på nettet. Vi har brugere i 160 lande, men vi har mest markedsført os til danskere. Men vi så en stor stigning i eksempelvis Irak og i Iran, da de på et tidspunkt blokerede for Facebook og Twitter,« fortæller Tobias Skytte.

VPN-forbindelser kan på den måde bruges til at få adgang til tjenester, som et lands regering af forskellige grunde ikke ønsker, at befolkningen skal have adgang til. Da forbindelsen er krypteret, kan en internetudbyder heller ikke se, om brugeren streamer film fra Netflix eller lægger billeder fra en demonstration ud på Twitter.

Firma på Bahamas

Sporet vil ende hos CitizenVPN's server, og derfor har Tobias Skytte også måttet sikre sig mod, at efterretningstjenesten kommer og banker på døren.

»Det var en bekymring i starten, så jeg startede faktisk et firma på Bahamas, som er det firma, der leverer forbindelserne. Det danske firma er kun en salgsagent. Det var også for ikke at kunne komme til at ligge under pres fra efterretningstjenesten i eksempelvis USA, som kunne tvinge en amerikansk udbyder til at udlevere oplysninger. Bahamas har en stærk lovgivning vedrørende privatlivets fred,« forklarer Tobias Skytte.

Serverne er lejet hos forskellige hostingcentre, men Tobias Skytte står selv for administrationen og opsætningen. Det hele er bygget op af open source på softwaresiden med blandt andet PPTP og OpenVPN, og understøttelse for L2TP er også på vej. Og for Tobias Skytte er det ikke ukendt territorium at være udbyder af internetforbindelser.

»Jeg har boet ti år i Mozambique, hvor det ene firma, jeg startede, var en internetudbyder, hvor jeg startede helt tilbage med modemmer og siden gik over til ADSL og trådløst internet. Så det her ligger ret ligefor, for det er bare en virtuel internetudbyder,« fortæller Tobias Skytte.

Som internet-iværksætter i Afrika var der dog nogle særlige udfordringer, fordi det især var vanskeligt at skaffe kapital til at etablere en virksomhed, selvom der i Mozambique kun fandtes én internetudbyder på daværende tidspunkt.

»Der var et nationalt teleselskab, men det var nemt at konkurrere mod, fordi der manglede alt. Så det var nemt at finde kunder, men det var svært at finde uplinks og personer med teknisk knowhow. Vi havde også en kyllingefarm, og den klarede sig langt bedre,« fortæller Tobias Skytte.

Vælg VPN-udbyder, som du vælger revisor

Tilbage i Danmark startede han i 2010 CitizenVPN, fordi de eksisterende udbydere af VPN-forbindelser til private hovedsageligt henvender sig til folk, der har sat sig ind i teknologien.

»Jeg tror, at i fremtiden vil næsten alle have en VPN-forbindelse, men det kræver, de kan finde ud af det. Generelt er folk glade for det, når de finder ud af at bruge det og for eksempel sidder i Spanien og vil se håndbold eller Tour de France med danske kommentatorer,« siger Tobias Skytte.

VPN-markedet er dog også et marked, hvor mange udbydere ikke spiller med åbne kort, fordi de i visse tilfælde opererer i en gråzone. Det betyder, at ikke alle udbydere har lettilgængelige kontaktinformationer.

»Jeg har prøvet at være helt up front med, hvem jeg er. Personligt ville jeg ikke lade min trafik gå gennem en ukendt server. Jeg mener, man bør vælge sin VPN-udbyder, som man ville vælge sin revisor eller advokat. Udbyderen kan indsætte HTML og malware eller stjæle dine data,« siger Tobias Skytte.

100.000 potentielle brugere i Danmark

Næste skridt for CitizenVPN er at finde kapital til blandt andet at markedsføre tjenesten til et større publikum.

»Alt er sat og kører stabilt. Hr. og fru Jensen skal vide, at vi eksisterer og skal kunne bruge os. Jeg tror, der er potentiale for over 100.000 brugere i Danmark, hvis man bare ser på, hvor mange der har Netflix,« siger Tobias Skytte.

I princippet burde VPN-teknologien ikke være nødvendig, hvis alt var åbent på internettet, og alle kunne stole på alle. Men både udbredelsen af malware, efterretningstjenesternes overvågning, blokering af hjemmesider i visse lande og debatten om netneutralitet tyder på, at det ikke er dén vej, udviklingen går.

»Jeg tror, at internettet kun udvikler sig i én retning: flere begrænsninger og mere overvågning. Principielt synes jeg ikke, der skal være begrænsninger, og alle skal have adgang til alt på et åbent internet. Det er nødvendigt for et frit, demokratisk samfund,« siger Tobias Skytte.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (27)

Kommentarer (27)
Kim Henriksen

"så der er ingen, der kan spore tilbage til dig."

VPN servererne kan heller ikke hackes, certifikater og IP adresser kan ikke hijackes.

Tror han det er for sjovt at TOR bruger så meget energi på at route mellem forskellige noder?!?!

Alt i alt virker det her mere som en reklame for endnu en "Get-me-a-US-ip-so-I-can-watch-US-Netflix" tjeneste....

Tobias Skytte

Kim,

Brugere kan tilslutte med OpenVPN der kører 256bit AES med TLS hvilket giver perfect forward secrecy. Nøglerne udskiftes herved hver time så selvom det skulle lykkedes at knække (extremt usandsynligt) så kan der kun brydes den times kommunikation.

AES er endvidere godkendt af NSA til 'Top Secret' kommunikation og er en meget velkendt standard der selv efter en del år på bagen ikke er fundet nævneværdige svagheder ved.

E.Snowden har udtalt at kryptering er noget af det der virker overfor selv NSA

Mht. TOR så er der flere svagheder. F.eks. blev en bruger fanget af FBI uden at de overhovedet skulle knække TOR som sådan. Der er også andre svagheder og det er efterhånden velkendt at NSA kører mange exit-nodes og hvis de tilfældigvis 'ejer' hele kæden som du bruger så kan de spore dig.

Mht. VPN serverne og om de kan hackes så kan man jo aldrig være sikker. Dog skal nævnes at alt køres på Linux og open source på commodity-servere, hvilket nok er noget mere sikkert end hvis det var Windows og Cisco. Vil de blive opdaget hvis de kom ind? det er jo så spørgsmålet. Eet er i hvert faldt sikkert: Hvis du ikke bruger VPN så har de automatisk dine data. Mht. IT sikkerhed så gælder det om at gøre det så svært som overhovedet muligt for 'dem'.

Slutteligt, mht. 'sporing' skal du tænke på at enhver webside som du besøger helt automatisk har din IP adresse, og det har de ikke hvis du bruger VPN. Eller når du downloader en torrent så kan alle se din IP (hvis du ikke har VPN). Her får du beskyttelse mod den generelle overvågning og mod at f.eks. en vilkårlig person DDOS'er din IP. NSA, GCHQ, FE m.v. vil kun kunne spore dig hvis de decideret har hacket den VPN server du bruger... (modsat at du automatisk bliver sporet hvis du ikke gør)

Mht. Netflix reklame, så har vi faktisk gjort meget ud af sikkerheden (og ikke bare at kunne levere en IP i et andet land). Herunder bla. oprettet firma i Bahamas for ikke at skulle være underlagt US/EU pres.

Leon Todran

€ 9/måned for 4 lande…Latterligt
jeg betaler $5/måned for 36 lande (inkusiv dk) - OpenVPN, L2TP, PPTP og HTTP / SOCKS5 proxy. Igen log af VPN trafik, 24/7 Support, 2048 bit kryptering, UBEGRÆNSET trafik, osv…
www.ironsocket.com

Tobias Skytte

Leon,

Du kan faktisk komme ned på €7/måned ved køb af 12 mdr (€8,75 inkl. moms).
Desuden kan du i stedet købe et antal GBs hvis du ikke lige skal streame/downloade en masse. Så kan du f.eks. få 10GB for €9 (€11,25 inkl. moms) og det kan du så spede ud over f.eks. 6 mdr (op til 12 mdr), og så er du nede på ca. €2/md.

Endvidere så sælger de et abonnement hvorimod vi kun sælger et fixed antal måneder eller GB. Vi har en del brugere der kun fornyer med f.eks. 1 måned når de tager på ferie, så sparer de abonnementet resten af året når de alligevel ikke bruger det.

Vi har også UBEGRÆNSET trafik. Vi har set brugere downloade med 40-50 mbit/sec men højere er helt sikkert meget muligt. Vi logger heller ikke VPN trafik.

Så vidt jeg kan se i deres FAQ så har de 'kun' 1024bit kryptering på OpenVPN, men her refererer de sandsynligvis til authentikerings nøglen. Det der er vigtigt er hvilken algoritme (og bits) de bruger til selve datastrømmen og der er så vidt jeg ved ikke muligt at køre mere end 256bit med AES (blowfish kan gå op til 448bit og er vist det højeste). Vi bruger f.eks. også 1024bit på CA cert.

Det ser ikke ud til at de har nogen app. Vi har en native 100% dansk produceret Android app der kører OpenVPN (een af de få der gør det), app'en kan frit benyttes til alle konto-typer og kræver NUL konfiguration (alt er automatisk) så det er super nemt i forhold til at skulle bruge 'OpenVPN Connect' app som de henviser til og som er bøvlet at installere (upload af certifikater, config osv.).

Der vil altid være prisforskelle på forskellige produkter. Den du nævner er baseret i Hong Kong (hvilket var ret svært at finde på websiden, prøv selv).

Vi satser på at mange danskere vil foretrække at handle med et dansk firma med dansk support, ikke mindst når alt deres data flyder gennem VPN serveren. At det så er lidt dyrere, det er er der jo så meget der er i Danmark, men jeg syntes ikke det er en helt fair sammenligning.

Tobias Skytte

Adam,

Tak for det :-)

Jeg tror ikke de vil vinde noget. Hvis de selv har fundet huller i AES så må de antage at der er en sandsynlighed for at andre landes regeringer/efterretningstjeneser måske også har fundet det hul, og så ville det være tåbeligt at bruge til deres egne 'Top Secret' kommunikationer...

Kim Henriksen

Mht. TOR så er der flere svagheder. F.eks. blev en bruger fanget af FBI uden at de overhovedet skulle knække TOR som sådan.

Fra dit link: "it seems that the FBI got itself a list of Harvard users that accessed the Tor network, and went through them one by one to find the one who sent the threat"

Fuldstændig samme metode kan bruges mod din VPN tjeneste!

Dog skal nævnes at alt køres på Linux og open source på commodity-servere, hvilket nok er noget mere sikkert end hvis det var Windows og Cisco.

Skal vi ikke lige have slået fast at; fordi det kører på Linux og er open source, er det samme som der ikke er sikkerhedshuller!

Men det er garanteret også den slags "salgs gas" du fyrer af overfor kunderne! (Jeg bruger selv Linux Mint bruger)

Hvis du ikke bruger VPN så har de automatisk dine data. Mht. IT sikkerhed så gælder det om at gøre det så svært som overhovedet muligt for 'dem'.

Jeg er så træt af "de", hvad fanden er det for et fjende billed, der konstant bliver klasket op, hvis ikke det er terrorister så det onde efterretningstjenester.

Eller når du downloader en torrent så kan alle se din IP (hvis du ikke har VPN)

Hvis du downloader torrents via en VPN forbindelse (fordi du har brug for den højere båndbredde), så det med 99% garanti, fordi du sidder og downloader den nyeste Spider Man film ;-)

Jan Andersen

Dejligt med nogen der finder nye markeder, skaber vækst og arbejdspladser til glæde for os allesammen. Så jeg vil ikke håne dit produkt, men blot ønske dig held og lykke med projektet.

/Jan

Tobias Skytte

Kim,

Nu var det jo dig der bragte TOR op som om det er et eller andet vidundermiddel der løser alle privacy-problemer. Jeg pointerede bare at der er svagheder ved det (ligesom der er svagheder ved ALT). Bevares, TOR er da fint og kan anbefales, men det har også sine begrænsninger.

Nej Linux og andet FOSS er ikke garanti for at der ikke er sikkerhedshuller, hvilket jeg da heller ikke har sagt. Men hvis jeg havde kørt Windows eller f.eks. en Cisco AS så ville der nok være noget større sandsynlighed for NSA bagdøre.

Pointen er at der er fokus på sikkerhed, og det er generelt anerkendt at open source er bedre end en eller anden black-boks man ikke kender indholdet af.

'De' og 'dem' er dem som du gerne vil beskytte dig imod. Det er forskelligt fra bruger til bruger. F.eks. hvis du gerne vil beskytte dig imod masseovervågning så er 'dem' = diverse regeringer og efterretningstjeneser.

Torrents bliver mere og mere udbredt til at distribuere alt muligt og der er sågar en Torrent chat app. F.eks. bliver den Linux Mint du siger du bruger bla. distribueret via torrents. Måske er jeg, som bruger, ikke interesseret i at alverden kan se at min IP har downloaded Linux Mint...

John Hansen

Jeg er umiddelbart imponeret over de foranstaltninger CitizenVPN hævder de foretager for at beskytte deres brugeres anonymitet. Angiveligt logger de hverken brugerens IP addresse eller færden på nettet imens servicen anvendes. Dog er der utallige eksempler på VPN udbydere der som CitizenVPN højt og helligt lovede at de ingenting loggede, men som alligevel har udleveret den ene log fil efter den anden med informationer om brugeren til myndighederne. En VPN udbyder fortæller altid det kunderne vil høre, men når det kommer til stykket er det som regel løgn.

At man ikke skal indtaste addresse når man køber et abonnement hos CitizenVPN er en god start, men så snart man har indtastet sine kreditkort opysninger er ens anonymitet kompromitteret. De acceptere Bitcoins men det er besværligt og i bund og grund ikke anonymt. Hvis CitizenVPN virkelig ville beskytte kundens anonymitet burde de acceptere betalingsmuligheder som paysafecard og Westeren Union.

Udfra hvad jeg kan se i deres opsætnings vejledning har Linux brugere ikke mange muligheder. Der er et punkt der hedder Ubuntu og så en vejledning til at opsætte PPTP. Hos de fleste VPN udbydere er det muligt at downloade en OpenVPN konfigurationsfil ellers har de en side der oplyser hvilke informationer man skal indtaste i sin OpenVPN klient.

Martin Rasmussen

Brugere kan tilslutte med OpenVPN der kører 256bit AES med TLS hvilket giver * perfect forward secrecy*


Det er sikkert en fejl, fra din side, men det er altså blot forward secracy, det der med perfekt, er der intet i denne verden der er, heller ej titel på det referede wikiartikel.

Vi har også UBEGRÆNSET trafik. Vi har set brugere downloade med 40-50 mbit/sec men højere er helt sikkert meget muligt. Vi logger heller ikke VPN trafik.

Ret baset ved vi ikke om du eller de taler sandt. Men at gå ud fra at de logger, er måske lige at komme for meget i deres mund, specielt når vi ikke ved om det er sådan.

Bevares, TOR er da fint og kan anbefales, men det har også sine begrænsninger.

Exit nodes kan bruges som aflytningsstationer imod dig, ergo er de ikke fine. Folk der tror på sikkerhed igennem Tor, vil jeg påstå ikke har sat sig ned og lavet en sikkerhedsvurdering, på hvem der overvåger hvem.
( https://encrypted.google.com/#q=nsa+owns+exit+nodes+tor )

Sidst men ikke mindst;
Hvad gør i så snart i handler med kunder som '3' som laver deep packet inspection på alle deres kunder ( https://encrypted.google.com/#q=deep+packet+inspection+3 ), og derved til en hver tid kan beslutte at sige at alt VPN trafik, er noget de ikke vil have?
Hvad så når landet de kommer fra, er USA, eller anden slyngelstat vi nu går og får bildt ind er onde mod os?
Hvad så når "landet" opdager at du bevist stiller en server til rådighed der omgår deres blokeringsnet -> De vil da med det vups blokere dine ip'er. Efter du har skiftet ip på dine servere et par gange, så vil de bare selv overvåge din service, og automatisk blokere dem for deres "brugere.

VPN er ikke dårligt, men at kalde det 'løsningen', er naivt.
Herudover synes jeg du appellere lige lovligt meget til folks paranoia, uden at gøre opmærksom på hvor sårbar du selv er, som virksomhed, såfremt du/I bliver målet fra 'andre stater'.

Hvad siger dine servere til at blive ddos' angrebet eksempelvis?
Hvordan har dine udbydere med det?

Martin Rasmussen

Nej Linux og andet FOSS er ikke garanti for at der ikke er sikkerhedshuller, hvilket jeg da heller ikke har sagt. Men hvis jeg havde kørt Windows eller f.eks. en Cisco AS så ville der nok være noget større sandsynlighed for NSA bagdøre.

Arh... nu synes jeg sku' du maler fanden på vægen igen.
Hint, Google snow'dens Linux distro, og du vil se at jeg ud fra næsten samme belæg kan sige at Linux er usikkert.

Lad os nu holde os til hvad dit produkt levere, i stedet for at proklamere alt andet er usikkert i forhold til dit produkt.

Christian E. Lysel

Hejsa Tobias.

Da jeg læste artiklen var der meget hurtigt 3 simple spørgsmål:

1) Er installationen tempest sikret?

2) Hvordan har i forbedret sikkerheden i OpenSSL?

3) Hvordan forhindre i aflytning af både den indadgående og udadgående netværks trafik?

Og pas nu på med at tro at AES256 giver høj sikkerhed.

https://www.schneier.com/blog/archives/2012/03/can_the_nsa_bre.html

hvilket følgende er et fint eksempel på:

http://blog.spiderlabs.com/2013/01/defeating-aes-without-a-phd.html

Tobias Skytte

Martin,

Vi bruger Ephemeral Diffie-Hellman key exchange (DHE) hvilket gør at en evt. kompromitteret nøgle ikke kan bruges til at komprittere forudgående nøgler. Det er det som er 'perfect' i relation til 'forward secrecy'. Du kan evt. læse mere her

Mht. logning så skrev jeg 'Vi logger heller ikke VPN trafik.'. Det skal forstås sådan at ligesom de andre du linkede ikke logger, så gør vi det heller ikke. Så jeg påstår ikke at de ikke gør det.
Ja du har i princippet kun mit ord for at vi ikke logger. Men du må så tage i betragtning at vi bruger betydelige resourcer på at f.eks. levere servicen fra et firma i Bahamas. Det har vi gjort netop for at undgå at skulle være underlagt e.g. EUs lognings direktivet. Det ville være lidt omsondst at sætte alt det op og så alligevel logge (specielt når det netop ikke er et lovkrav i Bahamas). Der ville også være betydelige extra omkostninger for os at logge.
Jeg udtaler også netop i artiklen at jeg syntes man skal vælge VPN udbyder som man vælger sin advokat eller revisor.
Mht. den ubegrænsede trafik, så er du da velkommen til at købe en konto og prøve at downloade med 50mbit. Vi har i øvrigt industriens nok længste tilfredshedsgaranti på 6 mdr så hvis du ikke er tilfreds så siger du bare til.

Mht TOR så er vi enige, men det er da bedre end ingenting.

Mht. 3's DPI og om de evt. i fremtiden vil spærre for VPN, så skal man tage i betragtning at rigtig mange virksomheder bruger præcis samme VPN teknologi som vi gør så deres ansatte kan komme på firmanettet hjemmefra. Dvs. hvis de spærede vha. DPI så vil de nok få en masse sure kunder. Det står jo så kunderne frit at vælge et andet selskab.
Endvidere tilbyder vi at man kan vælge at tilslutte med OpenVPN (SSL) på TCP port 443. Dvs. trafikken ligner præcis alm. HTTPS trafik. Dette vil gøre det extra svært at spærre vha. DPI. Om det kan lade sig gøre? vides ikke, vi har ikke oplevet det endnu.

Det er rigtigt at et land eller f.eks. en webside kan blokere vores server IP'er. Det vil dog være forholdsvist resourcekrævende at gøre da de så skal holde øje med server IP'er fra alverdens VPN udbydere, IP'ere der relativt ofte ændres.

Jeg har aldrig kaldt VPN for 'løsningen' (over alle løsninger). Men det virker, og det har det snart gjort i mange år, og det bliver kontinuerligt udviklet. Samtidig er det som sagt svært for regeringer at begrænse fordi så lægger de sig ud med alverdens store firmaer der bruger det hver dag.

Det med Linux vs. e.g. Windows eller Cisco. Lad venligst være med at lægge ord i min mund. Jeg har nævnt det som blot endnu en ting vi har gjort fordi vi har fokus på sikkerheden. Jeg har aldrig 'proklamere alt andet er usikkert i forhold til dit produkt.' som du siger.

Tobias Skytte

Christian,

1) Jeg kan, af gode grunde, ikke udtale mig om den fysiske sikkerhed men kun om de ting der er offentlige alligevel (som f.eks. hvilken krypterings algoritme der bruges).

2) Vi har ikke forbedret sikkerheden af OpenSSL. Vi bruger OpenVPN med AES 256bit TLS/DHE.

3) Vi kan ikke forhinde aflytning af ind/udgående server trafik. Den indadgående er krypteret og mht. den udadgående så er trafikken mixet med andre brugers trafik, dvs. det vil (sandsynligvis) ikke kunne bevises i en retsag at trafik fra/til et bestemt sted oprindte hos en specifik bruger (det er mig bekendt ikke sket endnu i hvert tilfælde).

Mht. AES så jo det giver HØJ sikkerhed. Det er nok noget af det sikreste. Men jeg har aldrig påstået at det er ufejlbarligt og kan ikke garantere at man som bruger ikke afslører sig selv på andre måder.
Den sidste du linkede har ikke noget at gøre med AES som sådan (i relation til VPN), de prøver at knække en webserver hvilket er noget helt andet (idet serveren jo giver et svar hver gang og de så analyserer dette svar). VPN fungerer komplet anderledes.

Tobias Skytte

John,

Mht. logning så se mit svar til Martin ovenstående

Mht. anonyme betalinger så tilbyder vi faktisk, ud over bitcoin, betaling med Western Union og Moneygram (på websiden i hvert tilfælde). Det er ikke vist på forsiden men det skal vi også have gjort noget ved så tak for den.
Western Union er dog ikke optimalt da det i nogle lande kræver at man viser ID for at sende penge.

Vi arbejder i øvrigt p.t. på at implementere betaling med CashU (som er en slags paysafecard til mellemøsten), og bagefter det laver vi sandsynligvis også med Pasysafecard.

Mht. Linux opsætnings guides, så har du helt ret. Det er for dårligt og det vil jeg meget gerne gøre noget ved snarest. Du kan også downloade OpenVPN konfigfiler der virker til Linux hos os, f.eks. kan du hente dem der passer til Windows de kan bruges umiddelbart med Linux.

Christian E. Lysel

Hejsa Tobias.

1) Jeg gætter på det ikke er tilfældet.

2) OpenSSL er et sikkerheds mareridt .. jeg ville undlade at compilere alt det jeg ikke brugte .... se fx https://community.openvpn.net/openvpn/wiki/heartbleed

http://www.cvedetails.com/vulnerability-list/vendor_id-3278/Openvpn.html ... specielt at man kan køre software på klient siden (Exec Code) ... ikke just det dine kunder efterspørger.

3) At den udadgående trafik er mixet med andre brugers trafik, ser jeg ikke som den store beskyttelse. Var jeg NSA ville jeg sammenligne den indgående og udgående trafik med hinanden, og fx kikke på payload størrelser og tidssammenfald.

Den ukrypteret trafik bør også kunne afslører ganske meget.

Den krypteret trafik siger også en del. Skifter brugeren IP, vil session id i OpenVPN protokollen kunne bruges til at sammenkører de forskellige IP adresser, ligeledes med certifikatet under TLS handshaket.

Lader du klienterne under TLS client Hello kører med alle ciphers, eller har du begrænset dem ind til kun de ciphers serveren køre med?

Det sidste jeg linket til, er en der tror hans røv bliver reddet af AES.

Tobias Skytte

Christian,

Den liste du linker til viser 11 vulns over næsten ligeså mange år, så lidt over een om året. Er det for meget? tja.
Lad mig også lige slå fast at vi er ikke, og har aldrig været, sårbare overfor heartbleed. Heller ikke på websiden.

Det er muligt man kan udlede noget ved at analysere både ind og udgående trafik fra en VPN server mht. timing osv. Men så vidt vides er det aldrig blevet brugt til noget praktisk som har resulteret i en retsag og fældet en bruger (dog vides det ikke om det kan have været brugt i hemmelige retsager).

Hvad der derimod er helt sikkert, er at hvis du ikke benytter en VPN (eller evt. TOR eller andet) så er din trafik helt åbenlys for dem der ellers ville kunne lave den slags analyse af trafikken (dvs. myndigheder el. hackere). Og det er også helt åbenlyst, for den webside/service du benytter, hvad din IP er.

Vi lader ikke klienterne vælge cipher i øvrigt.

Kaj Jensen

Fin artikel og lyder som en god service men holder mig selv til VPN med safe pay. Så snart i er med på den skal det da helt sikkert prøves!

Christian, Martin og Kim....Zzz det er trist at læse jeres kommentarer. Hvor er alle de rigtige - dvs. de gode gamle debattører? Derhar været kedelige trolls på alle artikler de sidste 5-6 uger. Trolls eller spammers. Jeg mister interessen.

John Hansen

Jeg synes det er meget fint at Christian, Martin og Kim fremlægger nogle kritikpunkter omkring teknikken, således folk der er interesseret i en VPN forbindelse kan tage disse med i deres overvejelser. Dog bør det nævnes at kritikpunkterne gælder for stort set alle VPN udbydere, da måden hvorpå VPN serverne konfigureres er mere eller mindre identisk.

Det der primært differentierer VPN udbyderene er hvad de reelt logger og hvordan de reagere på henvendelser fra efterretningstjenester osv. Efter min erfaring er det de færreste udbydere der har rygrad til at stå imod, når myndighederne banker på døren og hævder at tjenesten har været brugt til terrorisme, piratkopiering eller lign. Har man en oprigtig tro på frihed og anonymitet må man acceptere at der er en risiko for misbrug. Min pointe er, at hvis VPN udbyderen kan udlevere informationer om en terrorist eller piratkopist kan den også udlevere informationer om en systemkritiker, whistleblower eller lign.

Hvis CitizenVPN er en af de VPN udbydere som oprigtigt vil beskytte brugerens anonymitet, så tager jeg hatten af og håber at de får stor success.

Christian E. Lysel

Hejsa Tobias.

Beklager jeg sende den korte liste over sårbarheder i openssl ... her er den lange liste https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=openssl og her er den officielle liste http://www.openssl.org/news/vulnerabilities.html

At der er såbarheder der giver serveren adgang til at køre programmer på brugerne maskiner ... må siges at være meget uheldigt.

Det jeg prøver at sige, er at det er uheldigt at bruge openssl ... antog blot der var enighed omkring dette, efter heartbleed ... kan dog forstå det ikke er sivet ind hos alle brugere af openssl endnu.

Der er desværre også set mange uheldige implementationer af SSL.

Jeg spørger ikke til om i lader klienterne vælge ciphers .... prøv at start en pakke sniffer og kik på hvilke ciphers klienterne tilbyder at kører med .... er denne liste på 1 eller over 10?

Du kan hente http://goo.gl/SM7UBF og kik i pakke nr 10.

Hvilket tiltag har i udført for at sikre brugeren bedre med OpenVPN?

Personligt ville jeg aldrig bruge et projekt som OpenVPN ... som et minimum havde jeg brugt en del tid på at sikre installationen bedre ... men jeg havde nok valgt noget andet.

"Problemet" med med OpenVPN er det er meget udbredt på klient siden og udfra det kan jeg godt forstå valget.

Tobias Skytte

Hej Christian,

Du får det til at lyde som om der er sårbarheder i OpenVPN der kan køre kode på klient computeren, så lad mig lige slå fast at den seneste sårbarhed der kunne det var fra 2008 (dvs. 2 år, næsten 3, før vi begyndte at bruge det).
Endvidere så var den sårbarhed kun på computere der ikke kørte Windows, slemt nok men ikke altomfattende.

Det er muligt du syntes det er uheldigt at bruge openssl, men hvis alternativet ikke er meget bedre så kan det være ligemeget. Du skal også tænke på at kommerciel closed-source software nemt kan være infiltreret af f.eks. NSA. Det er jo allerede vist hvordan NSA f.eks. indsætter bagdøre i Cisco udstyr på vej ud til kunden. Der kan også være andre spillere, f.eks. Kina.

OpenVPN er, som du siger, meget udbredt på klient siden. Grunden er at, udover at det har stærk kryptering osv., så er det den VPN type som er sværest for en internet-udbyder at blokere/begrænse/detektere. De andre to (udbredte) typer VPN er PPTP og L2TP/IPsec, begge af disse er nemme at blokere for en internet udbyder. Vi tilbyder også PPTP, men det er faktisk ret tit at det bliver throttlet af brugers udbyder eller at brugers router helt blokerer for det. Hvis bruger ikke har adgang til routeren (f.eks. hvis han er uvidende eller han bruger hotellets wifi) så kan han intet gøre.

OpenVPN derimod virker nærmest altid da vi kører det på port 53,80,443 og 1194 med både UDP og TCP. Så selv en ekstremt restriktiv udbyder (typisk f.eks. en satellit internet udbyder) som kan finde på at blokere alt andet en www og dns (port 53/80/443) kan ikke blokere/begrænse det.

Christian E. Lysel

Hej Tobias.

En så alvorlig sårbarheden betyder der noget helt galt med udviklingen, også selvom den efter hånden er 6 år gammel ... hvilket tiltag er fortaget for det ikke sker igen?

Angående OpenSSL prøv at læs http://www.version2.dk/blog/nsas-gennembrud-eller-noget-53787

Jeg er enig i at alternativet ikke er bedre ...

Prøv en dag at læse https://www.schneier.com/book-sandl.html

Henrik Kramshøj Blogger

Husk også at kommercielle implementationer af SSL var sårbare, eksempelvis Junipers SSL VPN

Junos Pulse/SA (SSLVPN): Details on fixes for OpenSSL "Heartbleed" issue (CVE-2014-0160)/JSA10623
http://kb.juniper.net/InfoCenter/index?page=content&id=KB29004

og Cisco har en fin liste over deres produkter som er ramt af Heartbleed
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cis...

Så vidt jeg kan se har Tobias gjort flere ting for at gøre VPN nemmere, og det betyder i sidste end at VPN bliver brugt - og ikke skubbet væk, fordi det er for besværligt. Så god vind herfra! Go go go - det løser en masse problemer, og nogle af de hårde problemer (som ikke er løst) bliver ikke nødvendigvis værre. Konklusionen er derfor at sikkerheden har fået et stort nyk opad!

Full disclosure, jeg kender Tobias i forvejen

PS Jeg synes det er god kritik der kommer frem, håber bare dem som fremfører det gør det konsekvent i resten af deres liv med IT-sikkerhed ;-)

kenneth krabat

Jeg har været hos CitizenVPN igennem nogle år, og stoler på Tobias udsagn om, at de ikke logger. DET er ikke tilfældet med de fleste billigere tjenester. Desuden er servicen høj - der er svar med det samme, hvis tidszonen passer og Tobias er konstant interesseret, hvis man oplever underlige reaktioner fra andre landes udbydere, f.eks. da jeg var i Tyrkiet og pga. nationale restriktioner ikke kunne logge på med OpenVPN, men kun PPTP.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017