【创科广场】全球私隐关注升级 消费VPN服务兴起
内地宣布《港区国安法》,要求港府设立国安机构和执行机制,或中央政府按需要在香港设立负责国家安全的相关机关,定期向中央政府提交国家安全相关报告。
VPN能保护身分和内容,故此可绕过防火墙,并无法知道内容,并且可存取地区受限制的内容。传统上,VPN只是企业以互联网建立内联网的技术,以VPN连接多地办公室,或者远程连接,一般防火墙均具备了VPN功能。
政府和广告商追踪用户,内容供应商因版权原因,限制地区内容存取权。消费级VPN也流行。近期本港网上兴起了热列讨论。不少人关心《港区国安法》实施,会否影响个人私隐。全球政府加强网络监控,地缘政治和国安考虑,斯诺登事件后,欧美用户关心私隐问题,以VPN连接变成了常态。
中国大陆为VPN最大用户群,类似Google服务无法取用,VPN成公开的秘密,透过国外VPN或Proxy闸道,以获得更多资讯。即使是资讯自由的欧美国家,VPN增长也迅速,除了反政府监控,大模规数据外泄,网民对保护身分免致外泄,愈来愈关注。
全球VPN市场模规;2027年估计达至713亿美元。新冠肺炎下VPN用量亦上升,据美国最大VPN服务供应商NordVPN表示,用户数量以数上升。
近代加密技术,除非获得金钥,几乎不可能通过拦截破解。所以真正的问题,反而是如何以VPN保障用户身分。
VPN加匿名浏览器
追寻用户真正身分,就从多方面搜集资料,从物理层、传输层,一直上至应用层的登录。理论上,用户可匿名登录应用。不幸的是,浏览器仍录下大量数据。假设以未登录或匿名的浏览器,Tor Browser或Firebox私隐模式之类,连接的IP位址,仍会暴露行踪,甚至翻查网络服务(例如Yahoo或MSN),就可知道用户真正身分。
VPN是否完全可逃避追踪?答案当然是否定。VPN却大大增加侦查难度。执法机构向外地服务供应商(例如Google、Yahoo、Microsoft,任何SMTP或Web Mail),取得用户登录资讯,确定连线建立地点,找到提供服务ISP或流动营运商,锁定当日派出IP,配合登录机器(电话、电脑、无线路由器)Mac位址(物理位址)关系,就可锁定用户身分。如果VPN登录外国网络,再前往目的地,执法机构搜证,须向外国机构提出理据要求,取证过程繁复,要先经对方内部的法律意见,取证时间以月计算。
即使获得了真正IP位置,每名用户拥有多个设备。事隔多月,有关电脑和路由器,亦可能已不知所终。
鉴于网络罪案严重,搜证和举证极之困难,国际刑警组织在新加坡建立全球创新总部,以便加快追查。香港警方侦办案件,则以重案组配合网络安全及科技罪案调查科(CSTCB)搜证,每次查案涉及大量人力,取走所有机器,录取系统日志档和Mac位址,网络罪案更难于侦破。
本港实施《港区国安法》后,外国服务供应商是否合作?仍是未知之数。警方取得登录档,类似NordVPN总部在巴拿马,基本上不留日志档(Logs),当地亦没有法律要求,建立和解除VPN也没痕迹;假若用户以Tor浏览器,即使已经加密,仍有机会查出IP位址,NordVPN整合Onion over VPN,完全隐藏Tor浏览器IP位址。
用户登入任何应用仍留下痕迹。NordVPN登录应用层以Socks5代理伺服器(也就是网络的第5层),原本直接连线的封包,送往Socks5代理伺服器,再透过伺服器把封包送达正确位置,故此可绕过防火墙和越过国界的封锁。不少软件没代理连线功能,额外安装的Socks5可透过代理伺服器连线应用。NordVPN也具备类似Obfuscation功能,也能突破更严密的互联网封锁。
翻墙技术日新月异
虽然说,机器物理层可能是唯一留下线索,不少路由器以转译功能(NAT),向终端发出内部IP,执法机关须确保网络供应商,保留连线数据(即内部IP Mac位址关系),不过到获得IP或Mac位址,再核对上网时间,可能是数月后;假设用户从咖啡室上网,须找到当日上网的机器Mac位址,才足证明两者关系。
VPN保护了数据和私隐,却大大减慢了传送速度;尤其是旧一代协定。近年兴起的WireGuard,以源码简单,亦大大提升了速度,NordVPN可以WireGuard作协定(NordVPN包装在NordLynx协定内),据说速度快了4倍。
不过WireGuard也不能提升私隐,设计记录用户IP,反而暴露了身分。类似NordVPN双重NAT隐藏,登录后先有转译一次,然后重态NAT再转译第二次。但WireGuard属较新的协定,可能不稳定。
不少保守用户沿用OpenVPN协定;亦有VPN服务加快清洗WireGuard的IP记录,以免留下VPN session记录。
不少人从GCP等云服务安装WireGuard,以为可保障私隐。其实WireGuard只是加密数据,不会保护身分。WireGuard只作为内容传送加密, Linux新内核更有内建功能,通过云服务存取其他地区的限制内容,WireGuard则是不错的选择。
