网路隐私不再,VPN 重新成为显学

  • 775views
网路隐私不再,VPN 重新成为显学

上个月底,美国参议院投票否决 FCC 法案,允许网路供应商自由分享用户的网路浏览资料,此举引来一阵譁然。许多用户开始寻找保护网路隐私的方法,其中就属 VPN(虚拟私人网路)最受欢迎。VPN 真的可以保障我们的网路隐私吗?

在开始之前,先让我们回顾整个事件的前因后果。网路供应商提供网路服务,同时蒐集用户的网路浏览资料,如果有人愿意出钱,网路供应商很乐意将这些资料让出去。为了约束网路供应商,FCC(联邦通信委员会,由美国国会授权设立的机构)于去年 10 月订出一套法案,要求网路供应商转让用户资料前必须得到用户的同意,这套法案于去年 12 月正式生效。

今年 3 月 26 日,参议院以 50 票对 48 票的结果,推翻了 FCC 法案。这份决议案将送往白宫进行第二阶段投票,一旦投票通过,FCC 法案就正式失效,而且 FCC 将无法再次订出类似法案来保护用户隐私,也难怪美国网友人心惶惶。

网路隐私不再,VPN 重新成为显学

参议院否决 FCC 法案,造成高度争议。

你或许会纳闷,为什幺参议院要否决 FCC 法案?为什幺要放任网路供应商胡作非为?答案很简单,因为 FCC 法案挡了企业财路。用户的网路浏览资料有很高的价值,广告商、资讯公司、甚至是骇客,都想取得这些资料。FCC 原本想替大家的隐私把关,可惜这份美意在资本家从中作梗下付诸流水。

事实上,美国人根本没有选择网路供应商的权利。网路供应商全是同个模样,一边赚你的钱,一边试图转卖你的个资。无论 AT&T、Spring 还是 T-Mobile,他们的手机都有内建追蹤软体。Verizon 在手机内暗中安装追蹤系统,让别人可以饱览你的网页浏览纪录。Comcast 为了利益口不择言,认为自己有权处分用户的网路浏览资料,宣称此举有助于经济成长,简直夸张至极。

网路隐私不再,VPN 重新成为显学

手机上网同样有洩漏个资的风险。

参议院否决 FCC 法案后,以美国为中心的部落客立刻採取因应措施,试图阻止网路供应商的追蹤,而他们的选择就是 VPN。VPN 可以将送出去的资料加密,这些资料透过网路连到 VPN 伺服器进行解密,最后到达你想前往的网站。换言之,VPN 就是你与网路间的中间人。

在使用 VPN 的情况下,网路供应商只能取得加密后的资料(看起来是一堆乱码),无法拿出去转卖。供应商知道你有上网,却不知道你上网做了哪些事情。目前市面上有许多 VPN 供应商,服务费用从免费到每月 10 美元都有,收费 VPN 的效能与稳定性通常会优于免费 VPN。

网路隐私不再,VPN 重新成为显学

VPN 有不错的安全性,且入手门槛很低。

从历史的角度来看,VPN 已经行之有年,以高度安全性着称。商业界特别喜欢使用 VPN,VPN 成本低廉且安全,很适合用于电子商务与商业资讯交换。一般用户同样受惠于 VPN,玩家藉由 VPN 玩到海外游戏,如《舰队 Collection》。使用公共网路的用户习惯搭配 VPN 保障隐私,避免个资被人看光光。

VPN 可以存取区域限制的内容,越过专制政府的网路屏障,是许多用户的救星。VPN 供应商可以将伺服器设在世界上任何一个角落,哪里有 VPN,哪里就有上网的自由。若你连到英格兰的 VPN,就能够存取英国限定的网路内容,收看精彩的 BBC 频道;若你住在北韩或中国,VPN 可以帮助你绕过国家封锁。或许 VPN 的连线效率稍微差了些,但根本无伤大雅。

网路隐私不再,VPN 重新成为显学

翻墙软体在中国新疆被视为暴力恐怖软体。

VRP 是好用工具,却不是万灵丹。一旦 VPN 的需求增加,争议就会跟着膨胀。当你使用 VPN 同时,你也把自己的网路浏览资料送到对方手上。假如 VPN 业者心怀不轨,或是内部保密不确实,你的个资就有洩漏的危险。

VPN 正好处于法律的模糊地带,缺乏有力的监督机制,这代表你很难找到一个值得信赖的 VPN 业者。况且大部分 VPN 是开放程式码的免费软体,只要对方有一定的技术力,就可以监控你的网路行蹤。

网路隐私不再,VPN 重新成为显学

利用 VPN,顺利玩到《舰队 Collection》。

你戴上名为 VPN 的锡箔帽,以为可以抵挡骇客入侵,VPN 业者却把你的个资卖给别人、送到政府手上,甚至用你的名义盗刷信用卡。最糟的状况是:VPN 业者就是政府的眼线,专制国家最喜欢搞这种手段。

今年年初,以加州大学柏克莱分校为首的单位针对手机市场的 VPN 进行调查,发现有将近 18% 的 Android VPN 根本没有替用户加密。这些 VPN 业者为何如此大胆?因为没有那个必要。如果 VPN 业者被用户抓包,他们可以删除自己的 App,然后找个地方躲起来,风头过后再换一个招牌重操旧业即可。假如 VPN 业者把你的个资拿去转卖,那幺他们也没有比网路供应商好到哪去。

自由诚可贵,安全同样不容忽视。选择 VPN 之前得先做好功课,探听业者的风评,用网路上的方法检测 VPN 的安全性。网站《That One Privacy Site》将数量庞大的 VPN 整理成清单,列出每个 VPN 的所在国度(代表他们受到哪些国家的法律约束)、IP 位置,以及是否提供匿名付款方式,诸如此类。

网路隐私不再,VPN 重新成为显学

That One Privacy Site 把数量庞大的 VPN 整理成表格。

根据 That One Privacy Site 的资料,我们可以整理出几家颇具声誉的 VPN 业者,像是 SlickVPN、Tunnelbear 与 Hideman,不过 VPN 是否好用还是得根据你的需求而定。顺道一提,除了网路供应商与 VPN 业者,你的手机服务商也会蒐集你的个资。若你想用手机进行需要保密的动作,记得利用 VPN 来自保,别让坏人有机可趁。

VPN 就像一把双面刃,它可以保护你的安全,也可以破坏你的隐私。然而这不代表 VPN 一无是处,只要小心使用,VPN 仍是十分有用的工具。事实上,我们还有另一个绝招:自己担任 VPN 供应者。美国那边的 Sovereign、OpenVPN 与 AutoVPN 等公司都可以让你租用他们的主机架设 VPN 伺服器,前提是得具备架设伺服器的知识,并支付必要的费用。

网路隐私不再,VPN 重新成为显学

Tunnelbear 的 VPN 服务在美国颇受好评。

网路安全不会凭空而降,我们得自己去争取,愿意付出多少心血,就能够获得多少安全。若你负责电子商务的业务,就更需要注意网路安全。VPN 可以保障隐私,但是 VPN 充其量不过是权宜之计,它无法帮助我们改善大环境。一旦我们决定亲自捍卫网路隐私,就很难要求政府改善大环境,结果就是给企业与骇客趁虚而入的机会。

我们可以暂时用 VPN 与保障隐私的浏览器插件(如 NoScript 或 Privacy Badger)来应急,同时努力改善大环境。网路隐私并非个人的问题,而是一个複杂的政治议题,需要一群人竭尽心力,努力相当长的一段时间,才可以找出一套长程的解决方案。我们必须主动出击,向网路供应商与政府施压,要求他们正视消费者的权益,事态才有机会出现转机。

网路隐私不再,VPN 重新成为显学

NoScript 帮你档掉网站的 Scripts,藉此提升网路安全性。

举例来说,我们可以建议网站捨弃 HTTP 协定,改用可以避免监听与中间人攻击的 HTTPS 协定。HTTPS 不仅可以提供较安全的浏览环境,还可以提高网路供应商追蹤用户的难度。然而 HTTP 转 HTTPS 可不是在网址中间加一个 S 而已,整个网站必须做出大幅调整,此举势必会冲击网站的营运。

2016 年,美国月刊杂誌《连线》(Wired)将网站转换为 HTTPS,整个转换作业耗时 5 个月,其间发生许多恼人的安全性问题,使得工程师焦头烂额。如果你经常浏览的网站还没换成 HTTPS,可以考虑使用「HTTPS Everywhere」,这个浏览器插件可以提供类似 HTTPS 的效果,增加你的网路安全性。

网路隐私不再,VPN 重新成为显学

《连线》于去年将网站升级为 HTTPS。

意图蒐集用户个资的机构简直多到罄竹难书。除了网路供应商与 VPN 业者外,Google、Amazon,以及许多热门的 App,都会利用 cookies 或 scripts,随时找机会蒐集用户的个资。你可以用 Disconnect 或 uBlock Origin 等插件来隐藏行蹤,可是若你想要使用任何种类的帐号登入服务,就必须停用这些插件,就算使用 VPN 也没有意义。说得极端一点,这些机构对我们的了解程度,可能比我们的父母还要深。

没有经过一番努力,就无法在网路世界中保持隐私。VPN 的确方便好用,然而 VPN 只能治标,要解决问题还是得从根本着手。有机会记得留意资安的议题,呼吁大家重视网路隐私,找出贡献一己之力的途径,别继续放任政府或企业侵犯我们的隐私权。