用VPN翻牆真的安全嗎?
2021年3月21日(德國之聲中文網)越來越多國家對特定網站進行封鎖,或在網路中有針對性地搜尋批評或反對言論。當網路受到政府控制時,使用者便無法自由獲取訊息。反對派人士用於組織抗議活動的社群網站,也可能一夕之間無法再使用。
快速解決辦法:VPN
當政府對網路實施審查時,許多使用者會訴諸最簡單的解決辦法來翻牆,例如虛擬專用網路(VPN)。
VPN最早是為設有多處據點的企業進行內部通訊而開發,通過網路上的加密隧道互連。利用相同原理,使用者也可以通過VPN,從一個不自由的國家網路中,使用個人電腦連上自由網路中的伺服器。
供應商的承諾
如今所有人都可以輕鬆使用VPN,免費取用相關應用程式。在网絡應用程式的下载排名中,VPN甚至名列前茅。但用戶在使用VPN時,經常忽略了其中的風險。
市面上存在大量VPN應用程式,供应商做出了各種安全承諾。例如:在手機上安裝相關App後,便能安全上網;個人數據不會被竊取;用戶可以使用其他國家的流媒體服務,規避國家審查、開啟被封鎖的網站。
VPN如何運作?
VPN是通過加密隧道方式,連接客戶端和遠端VPN伺服器。用戶可以從客戶端進入開放網路。舉例而言,若用戶在德國通過電腦或手機連接位於日本的VPN伺服器,瀏覽網站時,網站的營運者會以為這名用戶身處日本。這樣的「捉迷藏」游戲原理在於,用戶不是用自己的IP地址上網,而是VPN伺服器的地址。
使用VPN身份會外洩嗎?
基本上,網路審查單位可以辨識出誰在使用VPN,但無法立即得知隧道中流動的數據。
因此,一些獨裁政權直接禁止民眾使用VPN。這些政府會封鎖進入外國VPN伺服器的通道,在極少數的情況下會有針對性地追蹤用戶。但政府通常無法統一對VPN採取措施,因為許多外國企業也使用VPN作為內部通訊之用。
只要政府不將境外VPN伺服器地址加入防火牆,用戶仍然可以用其規避審查。
VPN的數據是否安全?
VPN還有第二個弱點:用戶的所有數據是通過VPN供應商輾轉進入自由網路。但用戶可能對這個供應商一無所知,只能盲目相信數據不會外洩。VPN供應商能看到用戶訪問了那些網站以及訪問次數,甚至看到未加密的通訊內容,例如電子郵件。
這些數據可能被供應商存取,用戶使用網路的數據也可能被出售。對VPN供應商而言,這是一種成功的商業模式。他們可以向訂閱VPN服務的終端用戶收取費用,同時向廣告商販售或提供用戶的網路使用數據。
在最糟的情況下,VPN供應商會將數據出售或提供給政府單位。即使供應商承諾不販賣用戶數據,但數據遭到存取,本身已經是一種風險。無論是安全性不足或遭到駭客攻擊,數據外洩的情況時有所聞。
更好的解決方案:洋蔥路由Tor
更安全的辦法是選擇一個不收集用戶數據的系統。瀏覽器Tor就能做到這一點。"Tor" 是英語"The Onion Router"的縮寫(中文通譯為"洋蔥" )。當用戶進入某個Tor網頁,"洋蔥"瀏覽器就會建立一條經過多個匿名路由的通道,從而進入Tor網路,而受訪網站也會建立起進入Tor網路的通道。只有在Tor網路的內部,這兩條通道才"殊途同歸"。由於通信經由多條路由實現,而每條路由都在上一條加密路由的基礎上進一步加密,其多層加密的結構頗似洋蔥。
Tor的優點是,沒有任何一層「洋蔥」能同時得知用戶身份以及目的地。用戶訪問了哪些網站以及訪問頻率都不會被存取,因為這些數據並不存在。這樣的結構被稱為「隱私設計」(Privacy by Design)。
Tor是一個非營利性項目,主要有大量志願者營運,免費提供用戶使用。但它存在一個小缺點:有時網路連接會發生故障。為了提供更多隱私空間,不得不犧牲速度與便利。
如果想要使用境外IP地址快速瀏覽網路,不追求最大程度地保護個人隱私,那便可以選擇自己能信任的VPN供應商。但提醒用戶,不要輕易相信VPN比較網站上的排名。
因為這樣的排名通常不是獨立評估結果,裡頭包含VPN供應商贊助的鏈接。比較安全的做法是咨詢可信賴的數字安全專家,或參考權威性刊物的最新VPN評價。
我們在網路留下的足跡
計算機終端在網路进行交流時會交換IP地址。沒有IP地址,就沒有www。但通過IP地址就能鎖定個人身份的說法,往往言過其實,因為IP地址很少能與一個人綁定。
小型文本文件「Cookie」也是如此。用戶可以自行關閉cookie,對於臉書和谷歌等網路巨頭而言,cooking不再具有太大的重要性。與此同時,如今通過所謂的「指紋識別技術」(Fingerprinting)可以更精準地識別用戶。瀏覽器能利用圖形元素收集時區、鍵盤設置、網路插件、設定等相關訊息。
指紋識別的準確率通常超過99%,目前大受大型網路企業的歡迎。與登入功能結合後(例如亞馬遜或谷歌),指紋就能直接與用戶的真實身份連接。
收集指紋數據的不只有網路巨頭,還有第三方網站。例如當用戶造訪www.xyz.com網站時,若網站上的圖片或編程語言JavaScript來自第三方,那麼第三方伺服器也能在用戶毫不知情的情況下,看到其活動軌跡。
© 2021年 德國之聲版權聲明:本文所有內容受到著作權法保護,如無德國之聲特別授權,不得擅自使用。任何不當行為都將導致追償,並受到刑事追究。