網路隱私不再,VPN 重新成為顯學

作者 | 發布日期 2017 年 04 月 25 日 8:21 | 分類 網路 , 資訊安全 follow us in feedly

上個月底,美國參議院投票否決 FCC 法案,允許網路供應商自由分享用戶的網路瀏覽資料,此舉引來一陣譁然。許多用戶開始尋找保護網路隱私的方法,其中就屬 VPN(虛擬私人網路)最受歡迎。VPN 真的可以保障我們的網路隱私嗎?



在開始之前,先讓我們回顧整個事件的前因後果。網路供應商提供網路服務,同時蒐集用戶的網路瀏覽資料,如果有人願意出錢,網路供應商很樂意將這些資料讓出去。為了約束網路供應商,FCC(聯邦通信委員會,由美國國會授權設立的機構)於去年 10 月訂出一套法案,要求網路供應商轉讓用戶資料前必須得到用戶的同意,這套法案於去年 12 月正式生效。

今年 3 月 26 日,參議院以 50 票對 48 票的結果,推翻了 FCC 法案。這份決議案將送往白宮進行第二階段投票,一旦投票通過,FCC 法案就正式失效,而且 FCC 將無法再次訂出類似法案來保護用戶隱私,也難怪美國網友人心惶惶。

▲ 參議院否決 FCC 法案,造成高度爭議。

你或許會納悶,為什麼參議院要否決 FCC 法案?為什麼要放任網路供應商胡作非為?答案很簡單,因為 FCC 法案擋了企業財路。用戶的網路瀏覽資料有很高的價值,廣告商、資訊公司、甚至是駭客,都想取得這些資料。FCC 原本想替大家的隱私把關,可惜這份美意在資本家從中作梗下付諸流水。

事實上,美國人根本沒有選擇網路供應商的權利。網路供應商全是同個模樣,一邊賺你的錢,一邊試圖轉賣你的個資。無論 AT&T、Spring 還是 T-Mobile,他們的手機都有內建追蹤軟體。Verizon 在手機內暗中安裝追蹤系統,讓別人可以飽覽你的網頁瀏覽紀錄。Comcast 為了利益口不擇言,認為自己有權處分用戶的網路瀏覽資料,宣稱此舉有助於經濟成長,簡直誇張至極。

▲ 手機上網同樣有洩漏個資的風險。

參議院否決 FCC 法案後,以美國為中心的部落客立刻採取因應措施,試圖阻止網路供應商的追蹤,而他們的選擇就是 VPN。VPN 可以將送出去的資料加密,這些資料透過網路連到 VPN 伺服器進行解密,最後到達你想前往的網站。換言之,VPN 就是你與網路間的中間人。

在使用 VPN 的情況下,網路供應商只能取得加密後的資料(看起來是一堆亂碼),無法拿出去轉賣。供應商知道你有上網,卻不知道你上網做了哪些事情。目前市面上有許多 VPN 供應商,服務費用從免費到每月 10 美元都有,收費 VPN 的效能與穩定性通常會優於免費 VPN。

▲ VPN 有不錯的安全性,且入手門檻很低。

從歷史的角度來看,VPN 已經行之有年,以高度安全性著稱。商業界特別喜歡使用 VPN,VPN 成本低廉且安全,很適合用於電子商務與商業資訊交換。一般用戶同樣受惠於 VPN,玩家藉由 VPN 玩到海外遊戲,如《艦隊 Collection》。使用公共網路的用戶習慣搭配 VPN 保障隱私,避免個資被人看光光。

VPN 可以存取區域限制的內容,越過專制政府的網路屏障,是許多用戶的救星。VPN 供應商可以將伺服器設在世界上任何一個角落,哪裡有 VPN,哪裡就有上網的自由。若你連到英格蘭的 VPN,就能夠存取英國限定的網路內容,收看精彩的 BBC 頻道;若你住在北韓或中國,VPN 可以幫助你繞過國家封鎖。或許 VPN 的連線效率稍微差了些,但根本無傷大雅。

▲ 翻牆軟體在中國新疆被視為暴力恐怖軟體。

VRP 是好用工具,卻不是萬靈丹。一旦 VPN 的需求增加,爭議就會跟著膨脹。當你使用 VPN 同時,你也把自己的網路瀏覽資料送到對方手上。假如 VPN 業者心懷不軌,或是內部保密不確實,你的個資就有洩漏的危險。

VPN 正好處於法律的模糊地帶,缺乏有力的監督機制,這代表你很難找到一個值得信賴的 VPN 業者。況且大部分 VPN 是開放程式碼的免費軟體,只要對方有一定的技術力,就可以監控你的網路行蹤。

▲ 利用 VPN,順利玩到《艦隊 Collection》。

你戴上名為 VPN 的錫箔帽,以為可以抵擋駭客入侵,VPN 業者卻把你的個資賣給別人、送到政府手上,甚至用你的名義盜刷信用卡。最糟的狀況是:VPN 業者就是政府的眼線,專制國家最喜歡搞這種手段。

今年年初,以加州大學柏克萊分校為首的單位針對手機市場的 VPN 進行調查,發現有將近 18% 的 Android VPN 根本沒有替用戶加密。這些 VPN 業者為何如此大膽?因為沒有那個必要。如果 VPN 業者被用戶抓包,他們可以刪除自己的 App,然後找個地方躲起來,風頭過後再換一個招牌重操舊業即可。假如 VPN 業者把你的個資拿去轉賣,那麼他們也沒有比網路供應商好到哪去。

自由誠可貴,安全同樣不容忽視。選擇 VPN 之前得先做好功課,探聽業者的風評,用網路上的方法檢測 VPN 的安全性。網站《That One Privacy Site》將數量龐大的 VPN 整理成清單,列出每個 VPN 的所在國度(代表他們受到哪些國家的法律約束)、IP 位置,以及是否提供匿名付款方式,諸如此類。

▲ That One Privacy Site 把數量龐大的 VPN 整理成表格。

根據 That One Privacy Site 的資料,我們可以整理出幾家頗具聲譽的 VPN 業者,像是 SlickVPN、Tunnelbear 與 Hideman,不過 VPN 是否好用還是得根據你的需求而定。順道一提,除了網路供應商與 VPN 業者,你的手機服務商也會蒐集你的個資。若你想用手機進行需要保密的動作,記得利用 VPN 來自保,別讓壞人有機可趁。

VPN 就像一把雙面刃,它可以保護你的安全,也可以破壞你的隱私。然而這不代表 VPN 一無是處,只要小心使用,VPN 仍是十分有用的工具。事實上,我們還有另一個絕招:自己擔任 VPN 供應者。美國那邊的 Sovereign、OpenVPN 與 AutoVPN 等公司都可以讓你租用他們的主機架設 VPN 伺服器,前提是得具備架設伺服器的知識,並支付必要的費用。

▲ Tunnelbear 的 VPN 服務在美國頗受好評。

網路安全不會憑空而降,我們得自己去爭取,願意付出多少心血,就能夠獲得多少安全。若你負責電子商務的業務,就更需要注意網路安全。VPN 可以保障隱私,但是 VPN 充其量不過是權宜之計,它無法幫助我們改善大環境。一旦我們決定親自捍衛網路隱私,就很難要求政府改善大環境,結果就是給企業與駭客趁虛而入的機會。

我們可以暫時用 VPN 與保障隱私的瀏覽器插件(如 NoScript 或 Privacy Badger)來應急,同時努力改善大環境。網路隱私並非個人的問題,而是一個複雜的政治議題,需要一群人竭盡心力,努力相當長的一段時間,才可以找出一套長程的解決方案。我們必須主動出擊,向網路供應商與政府施壓,要求他們正視消費者的權益,事態才有機會出現轉機。

▲ NoScript 幫你檔掉網站的 Scripts,藉此提升網路安全性。

舉例來說,我們可以建議網站捨棄 HTTP 協定,改用可以避免監聽與中間人攻擊的 HTTPS 協定。HTTPS 不僅可以提供較安全的瀏覽環境,還可以提高網路供應商追蹤用戶的難度。然而 HTTP 轉 HTTPS 可不是在網址中間加一個 S 而已,整個網站必須做出大幅調整,此舉勢必會衝擊網站的營運。

2016 年,美國月刊雜誌《連線》(Wired)將網站轉換為 HTTPS,整個轉換作業耗時 5 個月,其間發生許多惱人的安全性問題,使得工程師焦頭爛額。如果你經常瀏覽的網站還沒換成 HTTPS,可以考慮使用「HTTPS Everywhere」,這個瀏覽器插件可以提供類似 HTTPS 的效果,增加你的網路安全性。

▲《連線》於去年將網站升級為 HTTPS。

意圖蒐集用戶個資的機構簡直多到罄竹難書。除了網路供應商與 VPN 業者外,Google、Amazon,以及許多熱門的 App,都會利用 cookies 或 scripts,隨時找機會蒐集用戶的個資。你可以用 Disconnect 或 uBlock Origin 等插件來隱藏行蹤,可是若你想要使用任何種類的帳號登入服務,就必須停用這些插件,就算使用 VPN 也沒有意義。說得極端一點,這些機構對我們的了解程度,可能比我們的父母還要深。

沒有經過一番努力,就無法在網路世界中保持隱私。VPN 的確方便好用,然而 VPN 只能治標,要解決問題還是得從根本著手。有機會記得留意資安的議題,呼籲大家重視網路隱私,找出貢獻一己之力的途徑,別繼續放任政府或企業侵犯我們的隱私權。

(本文由 T客邦 授權轉載;首圖來源:StockSnap.io)