Warum Hamachi sterben muss (oder: Hamachi vs. FrOSCon)

So, jetzt muss ich das mal öffentlich machen. Bisher war das ja nur so eine Vermutung, aber seit heute weiß ich es ganz sicher: Hamachi ist der letzte Müll. Und ich versuche, es so gut wie möglich zu erklären, damit es auch die Hamachi-Zielgruppe versteht.

Was ist Hamachi?

Hamachi (oder LogMeIn Hamachi) ist ein proprietärer VPN-Dienst (Virtuelles Privates Netzwerk). Man hat eine Kontaktliste, in der man seine Freunde mit ihren Rechnern zu privaten Netzwerken hinzufügen kann. Mit diesen Freunden kann mandann über eine verschüsselte Verbindung Netzwerkpakete austauschen, als wäre man im gleichen LAN. Zum Beispiel kann man dann Netzwerkspiele spielen, für die man sonst entsprechende Weiterleitungen in Routern oder Ähnliches konfigurieren müsste oder die auf Broadcasts angewiesen sind. Besonders unter Gamern ist Hamachi sehr beliebt, weil es sich einfach bedienen lässt und (meistens) einfach so funktioniert.

Was habe ich bisher kritisiert?

Bisher habe ich mich einfach über die offensichtlichen Probleme beschwert. Hamachi ist proprietär und closed source. Niemand kann den Programmcode lesen oder überprüfen. Niemand kann feststellen, wie gut die Verschlüsselung ist und ob mein Netzwerkverkehr wirklich nur bei denen ankommt, die ich zu einem meiner Netzwerke hinzugefügt habe. Niemand kann prüfen, ob nicht die Entwickler von hamachi heimlich mitlesen.

Vor einiger Zeit habe ich mal jemanden, den ich ansonsten sehr wertschätze, gefragt: “Woher weißt du denn, dass Hamachi sicher ist?”. Ich bekam die Antwort: “Na, weil die Entwickler das sagen.” Wenn ich diesen Dialog einmal ins allgemein verständliche übertragen darf: Das ist ungefähr so, als würde ich sagen: “Ich klebe meine Briefe nicht zu, weil die Post sagt, dass sie da trotzdem nicht rein gucken.” Was passiert aber zum Beispiel, wenn die Entwickler ihr Wort nicht halten? Oder die Polizei sie während einer Ermittlung zwingt, die Daten auszuhändigen? Oder wenn bei den Betreibern eingebrochen wird und die Daten geklaut werden?

Die meisten Leser hier sind sich dieser Probleme bewusst – ich hoffe aber, dass der Artikel weitere Verbreitung findet. Fakt ist: Niemand kann sicher sagen, was Sache ist, weil es niemand nachprüfen kann. Das ist aber ein generelles Problem von proprietärer Software und ist keine Eigenheit von Hamachi. Nur aufgrund der Verbreitung von Hamachi und dem angebotenten Dienst wird es sehr relevant.

Was habe ich heute gemerkt?

Nun, eigentlich fing alles damit an, dass ich gestern Abend einmal auf meinem ArchLinux Hamachi installiert habe, um ein Netzwerkspiel mit einem Freund spielen zu können, der Hamachi benutzt. Ich kann ja mit meiner Firewall umgehen und deshalb sicherstellen, dass zumindest keine Daten über das Hamachi-Netzwerk fließen, die da nichts zu suchen haben. Das funktionierte auch ales ganz hervorragend.

Und heute versuchte ich dann, den Verwaltungsserver der FrOSCon zu erreichen. Und das ging nicht. Da auch der Web-Dienst Down for everyone or just me behauptete, der Server sei tot, suchte ich das Problem zuerst nicht bei mir. Aber als ich dann alles mögliche versuchte, blieb mein Blick auf einmal an einem Detail hängen:

management.froscon.de has address 5.9.196.90

Huch, Moment: Da kommt dir doch etwas bekannt vor. Mal eben nachsehen …

root@keks:/home/nik # hamachi
version    : 2.1.0.68
pid        : 637
status     : logged in
client id  : 112-345-846
address    : 5.159.61.80    2620:9b::59f:3d50
nickname   : Natureshadow-Keks

Das sieht verwirrend aus, das wichtige ist aber: Ich habe im Hamachi-Netz die IP-Adresse 5.159.61.80. Einmal kurz für die weniger technischen Leser: Jeder Computer (egal ob Privatanschluss oder Server) hat eine eindeutige Adresse, die so genannte iP-Adresse. Jede Adresse gibt es weltweit nur einmal. Wenn ich zum Beispiel die Website www.google.de aufrufen möchte, wird in Wirklichkeit eine Verbindung zu 173.194.35.184 aufgebaut. Das ist die IP-Adresse eines Servers von Google. Google hat für diese Adresse bezahlt, sie offiziell zugewiesen bekommen und darf sie als Einziger benutzen – niemand sonst!

Wer jetzt aufgepasst hat, wird gemerkt haben, dass sowohl meine Adresse im Hamachi-Netz als auch die des FrOSCon-Servers mit 5. anfangen. Es sind unterschiedliche Adressen, aber sie fangen gleich an. Das wäre nicht schlimm. Aber Hamachi denkt offensichtlich, dass alle IP-Adressen, die mit 5. anfangen, zu Hamachi gehören. Und deshalb versucht es auch, alle Netzwerkverbindungen zu Adressen, die mit 5. anfangen (genauer in das Subnetz 5.0.0.0/8, für die technischen Leser), über das Hamachi-Netz zu routen. Solange Hamachi läuft, kann ich den FrOSCon-Server also nicht erreichen.

Es wird aber noch wesentlich schlimmer. Schauen wir uns nochmal an, welche Adresse ich im Hamachi-Netz habe, nämlich 5.159.61.80. Ich dachte bis gestern, dass diese Adresse wenigstens LogMeIn, dem Betreiber von Hamachi, gehört. Tut sie aber nicht:

inetnum:         5.159.56.0 – 5.159.95.255
netname:         DE-TLN-20120727
descr:           terralink networks GmbH

Das ist die Ausgabe des whois-Kommandos, das anzeigt, wem eine Adresse gehört. Die Adresse, die Hamachi mir zugeteilt hat, gehört der Firma terralink networks GmbH aus Hamburg. Zum Vergleich einmal die Adresse des FrOSCon-Servers:

inetnum:         5.9.196.88 – 5.9.196.95
netname:         FROSCON-EV
descr:           FrOSCon e.V.

Uns gehört diese Adresse, hochoffiziell. Und ja, irgendjemand, der Hamachi benutzt, hat auch diese unsere IP-Adresse bekommen. Ohne, dass wir es wissen.

Hamachi verteilt also fremdes Eigentum. Es ist zwar “nur” eine IP-Adresse, aber es ist fremdes Eigentum und sie dürfen das nicht einfach an andere Leute verteilen. Gut, die eigentlichen Besitzer der Adressen haben dadurch keinen direkten Schaden. Es geht hier aber um 16,5 Millionen Adressen, die alle nicht erreichbar sind, wenn man Hamachi benutzt.

Ein weiteres Szenario ist das Fälschen von Websites und anderen Diensten. Ich habe ja schon gesagt, dass irgendjemand im Hamachi-Netz auch die IP-Adresse des FrOSCon-Servers bekommen hat. Dieser jemand könnte jetzt für alle Personen, mit denen er über ein Hamachi-Netzwerk verbunden ist, unsere Website fälschen. Ein einfaches Beispiel: Er könnte unsere echte Website kopieren, einen anderen Termin drauf schreiben udn alle Personen, die in seinen Netzwerken sind, würden am falschen Tag vor der verschlossenen Tür stehen. Das ist ein nicht sehr spektakuläres Beispiel und kann auch nicht viel Schaden anrichten – aber die Möglichkeit ist da und man muss nur das nötige Glück und Geschick haben, um damit etwas Böses anzustellen.

Fazit

Was Hamachi da macht, geht gar nicht. Ich fasse nochmal zusammen:

  • Die verschlüsselung von Hamachi ist möglicherweise nicht sicher. Niemans kann das überprüfen.
  • Die Hamachi-Software selber ist möglicherweise nicht ischer. Niemand kann prüfen, ob die Betreiber von Hamachi oder andere Personen nicht darüber an eure Daten kommen.
  • Hamachi verteilt fremdes Eigentum in Form von IP-Adressen und “zensiert” für seine Benutzer insgesamt 16,5 Millionen Server im Internet, die ihr so lange ihr Hamachi benutzt nicht mehr sehen dürft.
  • Nichts davon haben die Betreiber von Hamachi euch verraten – vertraut ihr ihnen immer noch?

Wirklich, jeder kann benutzen, was immer er möchte. Aber er soll es bitte mit Verstand tun! Wenn man ein VPN mit seinen Freunden haben will, gibt es dafür andere Möglichkeiten. Wer mich fragt, bekommt sehr gerne Hilfe dabei.

Update: Wikipedia weiß das mit den IP-Adressen und der Sicehrheit auch, falls mir mir jemand nicht glaubt.

Share

14 Gedanken zu “Warum Hamachi sterben muss (oder: Hamachi vs. FrOSCon)

  1. Pingback: maltris.org » Blog Archive » Warum Hamachi nicht sterben muss (und: Warum freies denken bei Closed-Source kein Ende finden muss)

  2. Es kommt noch besser: Auch Hetzner verteilt im neuen RZ16 nur noch 5.0.0.0/8 er IP-Adressen. Das Thema mit diesem VPN-Dienst ist da im Forum auch schon häftigst diskutiert worden.

    Unter Windows hilft es wohl nichtmal den Client zu beenden. Die Routen sind persistent eingetragen. Man muss teils den Client deinstallieren.

    Es gibt aber auch den ein oder anderen Backbonebetreiber, der noch nicht mitbekommen hat, dass 5.0.0.0/8 jetzt auch für Internetserver freigegeben wurde.

  3. Pingback: Hamachi macht’s besser: Spaß mit dem Verteidigungsministerium | NaturalNik Broadcast

  4. “Wenn man ein VPN mit seinen Freunden haben will, gibt es dafür andere Möglichkeiten. Wer mich fragt, bekommt sehr gerne Hilfe dabei.”

    Du erklärst in diesem Artikel für DAU’s was eine IP Adresse ist, willst aber nicht direkt die Alternativen nennen. Vielleicht kannst du da ja nochmal nachbessern. ;-)

  5. Jetzt gibts bei Hamachi neue IPS vorne

    VORHER: 5.——

    JETZTE: 25.——-

  6. Nur mal so ergänzend: deine Erfahrung in allen ehren. Aber klappt das seit Jahren wunderbar.

    Die für den Tunnel verwendeten IP-Adressen stammen aus dem Bereich 5.0.0.0/8. Dieser öffentliche IP-Bereich ist am 30. November 2010 von der IANA an das RIPE zugeteilt worden, dadurch kommt es zu Kollisionen mit IP-Adressen im Internet. Bei einem aktiven Hamachi-Tunnel sind Internet-Hosts in dem Netz 5.0.0.0/8 nicht erreichbar.[1] Am 19. November 2012 schwenkte LogMeIn auf den Bereich 25.0.0.0/8,[2] welcher zu diesem Zeitpunkt ausschließlich vom Außenministerium Großbritanniens verwendet wurde, weswegen der Hersteller der Tunnelsoftware hier keine Probleme sieht.
    Also es gibt alternativen aber wie gesagt, bei mir klappt das seit Jahren.

  7. Hach, das ist ja hervorragend, dass es seit Jahren wunderbar funktioniert :) ! Die Welt ist schön, Hamachi sollte ein rosa Pony als Logo bekommen :) !

    Weißt du, Atomenergie und einige andere potentiell gefährliche Ideen funktionieren auch seit Jahren ganz gut. Naja, von einigen Kollateralschäden mal abgesehen – aber wen interessieren die schon? So lange es funktioniert, muss man es keineswegs richtig machen, man muss nur genügend PR-Menschen bezahlen :) !

  8. Deine Einwände sind völlig irrelevant da es ja die IP-Adressen tunnelt. Und welche IP-Adressen ich in meinem LAN benutze, kann der FrOSCon mal piep egal sein. Diese 5. oder jetzt 25.er Adressen sind nach außen hin nicht sichtbar. Sie werden getunnelt verschickt. Also eingekapselt in _meine_ öffentliche IP-Adresse, die mein Provider meinem Router zugewiesen hat. Keine andere IP-Adresse akzeptiert der Provider außerdem.
    [IP-Header Provider(Nutzdaten: [IP-Header Hamachi(Nutzdaten: z.B. Gaming)] ]

    Es gibt also im Internet keine “Kollisionen”… Es gibt Überschneidungen für das Subnetz 5.0.0.0/8 , das stimmt. Das hier dann der PC die Pakete an das directly connected Netz weiterleitet ist auch klar, damit ist für diesen Benutzer die Seite nicht mehr erreichbar, da der PC die Pakete ins VPN schickt. Pech gehabt –> sollte dem Benutzer klar sein und ist völlig logisch.

    IP-Adressen im LAN gehören Jedem.

    Warum allerdings Hamachi nicht einfach 10.0.0.0/8 oder 10.99.0.0/16 benutzt, kann ich auch nicht nachvollziehen.

    Gruß
    Matze

  9. Du hast meine Einwände ja auch offenbar gar nicht verstanden.

    Der durchschnittliche Nutzer, der Hamachi nötig hat, ist eben nicht in der Lage, selber zu erkennen, dass ihm das halbe Internet wegmaskiert wird. Punkt.

  10. Interessanter Beitrag. Aber was ist denn nun eine Alternative zu Hamachi?
    Was ich genau suche ist Folgendes:
    Ich betreibe ein Netzwerk mit Server und mehreren Clients. Alle Clients nutzen für diverse Programme Netzwerklaufwerke, welche in Wirklichkeit ein Ordner auf dem Server sind. Jetzt möchte ich dieses Netzlaufwerk auch auf einem Client an einem anderen Ort, also nicht im LAN, sondern über Internet verbunden einbinden können.
    Was gibt es da für Möglichkeiten?
    Danke
    Jojo

  11. Ein weiteres Szenario ist das Fälschen von Websites und anderen Diensten. Ich habe ja schon gesagt, dass irgendjemand im Hamachi-Netz auch die IP-Adresse des FrOSCon-Servers bekommen hat. Dieser jemand könnte jetzt für alle Personen, mit denen er über ein Hamachi-Netzwerk verbunden ist, unsere Website fälschen.
    ——————————————————————————————————-
    Äh das, hat nicht wirklich was mit hamachi zu tun ich mein das, ist dann ja eine Person die sowas “Böses” tut, also Gegenfrage: “Mit wem spielst du ?”. Deine Aussage könnte man auch vereinfacht darstellen “Weil irgendjemand mit irgendwas im Internet Mist machen kann muss das Internet verboten werden.” Sorry aber ich finde den Artikel irgendwie ein bisschen übertrieben.

  12. Hmm ich lese irgendwie nur so ein Hamachi ist scheiße gehate. (So ein kleines stück zumindest.)

    Wie wäre es wenn du mal sagst für was du Hamachi genau nutzt?
    Ich glaube nämlich dass leute die damit Zocken, nicht wirklich probleme damit haben. (Es werden soweit ich weiß heutzutage, schon mehr programme dafür genutzt, als nur Hamachi. Kann mich aber auch irren.)
    Der Punkt ist der bedarf dafür ist da, weil viele Publisher einfach Server abschalten und somit der normale MP nicht mehr funktioniert. Womit sie eigentlich schon ein Betrug machen, weil es bei der Vermarktung hieß. “Mit MP.” Aber das ist gesetzlich ja nicht geregelt was leider Schade ist.

  13. Hallo,

    Der einwand zur Verschlüelug. Man kann da auch einfach ein 16k Bit IPSec Tunnel durchlaufen lassen. Ist dann auch nicht mehr zu knacken.

    Ich nutze den Hamachi nur weil der billige Alice Router ein Problem mit GRE, AH und den gazen anderen Protkolle die nicht TCP, UDP oder ICMP sind. Was mich ziemlch aufregt.
    LG, Herbrich

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Additional comments powered by BackType