Slide
Slide
Slide
Hitachi_AI_HCI
Hitachi_HCI
HCI
previous arrow
next arrow

全球私隱關注升級 消費VPN服務興起

[新科技速遞] [NordVPN] [VPN]

WireGuard也不能提昇私隱,設計紀錄用戶IP,反而暴露了身份。類似NordVPN以雙重NAT隱藏,登錄後先有轉譯一次,然後重態NAT再轉譯第二次。

新科技速遞

中國宣佈《國安法》,要求港府設立國安機構和執行機制,或中央政府按需要在香港設立負責國家安全的相關機關,定期向中央政府提交國家安全相關報告。

VPN是保護身份和內容,故此可繞過防火牆,並無法知道內容,並且可存取地區受限制的內容。傳統上,VPN只是企業以互聯網建立內聯網的技術,以VPN連接多地辦公室,或者遠程連接,一般防火牆均具備了VPN功能。

政府和廣告商追蹤用戶,內容供應商因版權原因,限制地區內容存取權。消費級VPN也流行。近期本港網上興起了熱列討論。不少人關心《國安法》實施,會否影響個人私隱。全球政府加強網絡監控,地緣政治和國安考慮,斯諾登事件後,歐美用戶關心私隱問題,以VPN連接變成了常態。

中國大陸為VPN最大用戶群,類似Google服務無法取用,VPN成公開的秘密,透過國外VPN或Proxy閘道,以獲得更多資訊。即使是資訊自由的歐美國家,VPN增長也迅速,除了反政府監控,大模規數據外洩,網民對保護身份免致外洩,愈來愈關注。

全球VPN市場模規;2027年估計達至713億美元。新冠肺炎下VPN用量亦上升,據美國最大VPN服務供應商NordVPN表示,用戶數量以倍數上升。

近代加密技術,除非獲得金鑰,幾乎不可能通過攔截破解。所以真正的問題,反而是如何以VPN保障用戶身份。

類似NordVPN 總部在巴拿馬,基本上不留日誌檔(Logs),當地亦沒有法律要求,更難追查身份

VPN加匿名瀏覽器

追尋用戶真正身份,就從多方面蒐集資料,從物理層、傳輸層,一直上至應用層的登錄。理論上,用戶可匿名登錄應用。不幸的是,瀏覽器仍錄下大量數據。

假設以未登錄或匿名的瀏覽器,Tor Browser 或Firebox私隱模式之類,連接的IP位址,仍會暴露行蹤,甚至翻查網絡服務(例如Yahoo或MSN),就可知道用戶真正身份。

VPN是否完全可逃避追蹤?答案當然是否定。VPN卻大大增加偵查難度。

執法機構向外地服務供應商(例如Google、Yahoo、Microsoft,任何SMTP或Web Mail),取得用戶登錄資訊,確定連線建立地點,找到提供服務ISP或流動營運商,銷定當日派出IP,配合登錄機器(電話、電腦、無線路由器)Mac位址(物理位址)關係,就可鎖定用戶身份。

如果VPN登錄外國網絡,再前往目的地,執法機構蒐證,須向外國機構提出理據要求,取證過程繁複,要先經對方內部的法律意見,取證時間以月計算。

即使獲得了真正IP位置,每名用戶擁有多個設備。事隔多月,有關電腦和路由器,亦可能已不知所蹤。

鑑於網絡罪案嚴重,蒐證和舉證極之困難,國際刑警組織在新加坡建立全球創新總部,以便加快追查。香港警方偵辦案件,則以重案組配合「網絡安全及科技罪案調查科」(CSTCB)蒐證,每次查案涉及大量人力,取走所有機器,錄取系統日誌檔和Mac位址,網絡罪案更難於偵破。

本港實施《國安法》後,外國服務供應商是否合作?仍是未知之數。警方取得登錄檔,類似NordVPN 總部在巴拿馬,基本上不留日誌檔(Logs),當地亦沒有法律要求,建立和解除VPN也沒痕跡;假若用戶以Tor瀏覽器,即使已經加密,仍有機會查出IP位址,NordVPN整合Onion over VPN,完全隱藏Tor瀏覽器IP位址。

翻牆技術日新月異

用戶登入任何應用仍留下痕跡。NordVPN登錄應用層以Socks5代理伺服器(也就是網絡的第5層),原本直接連線的封包,送往Socks5代理伺服器,再透過伺服器把封包送達正確位置,故此可繞過防火牆和越過國界的封鎖。不少軟件沒代理連線功能,額外安裝的Socks5可透過代理伺服器連線應用。NordVPN也具備類似Obfuscation功能,也能突破更嚴密的互聯網封鎖。

雖然說,機器物理層可能是唯一留下線索,不少路由器以轉譯功能(NAT),向終端發出內部IP,執法機機須確保網絡供應商,保留連線數據(即內部IP與Mac位址關係),不過到獲得IP或Mac位址,再核對上網時間,可能是數月後;假設用戶從咖啡室上網,須找到當日上網的機器Mac位址,才足證明兩者關係。

VPN保護了數據和私隱,卻大大減慢了傳送速度;尤其是舊一代協定。近年興起的WireGuard,以源碼簡單,亦大大提昇了速度,NordVPN可以WireGuard作協定(NordVPN包裝在NordLynx協定內),據說速度快了4倍。

不過WireGuard也不能提昇私隱,設計紀錄用戶IP,反而暴露了身份。類似NordVPN雙重NAT隱藏,登錄後先有轉譯一次,然後重態NAT再轉譯第二次。但WireGuard屬較新的協定,可能不穩定。

不少保守用戶沿用OpenVPN協定;亦有VPN服務加快清洗WireGuard的IP紀錄,以免留下VPN session紀錄。

不少人從GCP等雲服務安裝WireGuard,以為可保障私隱。其實WireGuard只是加密數據,不會保護身份。WireGuard只作為內容傳送加密,Linux新內核更有內建功能,通過雲服務存取其他地區的限制內容,WireGuard則是不錯的選擇。

詳情可瀏覽: https://bit.ly/3cflvpy

Leave a Reply

Your email address will not be published. Required fields are marked *