網路隱私不再,VPN 重新成為顯學

 

上個月底,美國參議院投票否決 FCC 法案,允許網路供應商自由分享用戶的網路瀏覽資料,此舉引來一陣譁然。許多用戶開始尋找保護網路隱私的方法,其中就屬 VPN(虛擬私人網路)最受歡迎。VPN 真的可以保障我們的網路隱私嗎?

在開始之前,先讓我們回顧整個事件的前因後果。網路供應商提供網路服務,同時蒐集用戶的網路瀏覽資料,如果有人願意出錢,網路供應商很樂意將這些資料讓出去。為了約束網路供應商,FCC(聯邦通信委員會,由美國國會授權設立的機構)於去年 10 月訂出一套法案,要求網路供應商轉讓用戶資料前必須得到用戶的同意,這套法案於去年 12 月正式生效。

今年 3 月 26 日,參議院以 50 票對 48 票的結果,推翻了 FCC 法案。這份決議案將送往白宮進行第二階段投票,一旦投票通過,FCC 法案就正式失效,而且 FCC 將無法再次訂出類似法案來保護用戶隱私,也難怪美國網友人心惶惶。

你或許會納悶,為什麼參議院要否決 FCC 法案?為什麼要放任網路供應商胡作非為?答案很簡單,因為 FCC 法案擋了企業財路。用戶的網路瀏覽資料有很高的價值,廣告商、資訊公司、甚至是駭客,都想取得這些資料。FCC 原本想替大家的隱私把關,可惜這份美意在資本家從中作梗下付諸流水。

事實上,美國人根本沒有選擇網路供應商的權利。網路供應商全是同個模樣,一邊賺你的錢,一邊試圖轉賣你的個資。無論 AT&T、Spring 還是 T-Mobile,他們的手機都有內建追蹤軟體。Verizon 在手機內暗中安裝追蹤系統,讓別人可以飽覽你的網頁瀏覽紀錄。Comcast 為了利益口不擇言,認為自己有權處分用戶的網路瀏覽資料,宣稱此舉有助於經濟成長,簡直誇張至極。

參議院否決 FCC 法案後,以美國為中心的部落客立刻採取因應措施,試圖阻止網路供應商的追蹤,而他們的選擇就是 VPN。VPN 可以將送出去的資料加密,這些資料透過網路連到 VPN 伺服器進行解密,最後到達你想前往的網站。換言之,VPN 就是你與網路間的中間人。

在使用 VPN 的情況下,網路供應商只能取得加密後的資料(看起來是一堆亂碼),無法拿出去轉賣。供應商知道你有上網,卻不知道你上網做了哪些事情。目前市面上有許多 VPN 供應商,服務費用從免費到每月 10 美元都有,收費 VPN 的效能與穩定性通常會優於免費 VPN。

從歷史的角度來看,VPN 已經行之有年,以高度安全性著稱。商業界特別喜歡使用 VPN,VPN 成本低廉且安全,很適合用於電子商務與商業資訊交換。一般用戶同樣受惠於 VPN,玩家藉由 VPN 玩到海外遊戲,如《艦隊 Collection》。使用公共網路的用戶習慣搭配 VPN 保障隱私,避免個資被人看光光。

VPN 可以存取區域限制的內容,越過專制政府的網路屏障,是許多用戶的救星。VPN 供應商可以將伺服器設在世界上任何一個角落,哪裡有 VPN,哪裡就有上網的自由。若你連到英格蘭的 VPN,就能夠存取英國限定的網路內容,收看精彩的 BBC 頻道;若你住在北韓或中國,VPN 可以幫助你繞過國家封鎖。或許 VPN 的連線效率稍微差了些,但根本無傷大雅。

VRP 是好用工具,卻不是萬靈丹。一旦 VPN 的需求增加,爭議就會跟著膨脹。當你使用 VPN 同時,你也把自己的網路瀏覽資料送到對方手上。假如 VPN 業者心懷不軌,或是內部保密不確實,你的個資就有洩漏的危險。

VPN 正好處於法律的模糊地帶,缺乏有力的監督機制,這代表你很難找到一個值得信賴的 VPN 業者。況且大部分 VPN 是開放程式碼的免費軟體,只要對方有一定的技術力,就可以監控你的網路行蹤。

你戴上名為 VPN 的錫箔帽,以為可以抵擋駭客入侵,VPN 業者卻把你的個資賣給別人、送到政府手上,甚至用你的名義盜刷信用卡。最糟的狀況是:VPN 業者就是政府的眼線,專制國家最喜歡搞這種手段。

今年年初,以加州大學柏克萊分校為首的單位針對手機市場的 VPN 進行調查,發現有將近 18% 的 Android VPN 根本沒有替用戶加密。這些 VPN 業者為何如此大膽?因為沒有那個必要。如果 VPN 業者被用戶抓包,他們可以刪除自己的 App,然後找個地方躲起來,風頭過後再換一個招牌重操舊業即可。假如 VPN 業者把你的個資拿去轉賣,那麼他們也沒有比網路供應商好到哪去。

自由誠可貴,安全同樣不容忽視。選擇 VPN 之前得先做好功課,探聽業者的風評,用網路上的方法檢測 VPN 的安全性。網站《That One Privacy Site》將數量龐大的 VPN 整理成清單,列出每個 VPN 的所在國度(代表他們受到哪些國家的法律約束)、IP 位置,以及是否提供匿名付款方式,諸如此類。

根據 That One Privacy Site 的資料,我們可以整理出幾家頗具聲譽的 VPN 業者,像是 SlickVPN、Tunnelbear 與 Hideman,不過 VPN 是否好用還是得根據你的需求而定。順道一提,除了網路供應商與 VPN 業者,你的手機服務商也會蒐集你的個資。若你想用手機進行需要保密的動作,記得利用 VPN 來自保,別讓壞人有機可趁。

VPN 就像一把雙面刃,它可以保護你的安全,也可以破壞你的隱私。然而這不代表 VPN 一無是處,只要小心使用,VPN 仍是十分有用的工具。事實上,我們還有另一個絕招:自己擔任 VPN 供應者。美國那邊的 Sovereign、OpenVPN 與 AutoVPN 等公司都可以讓你租用他們的主機架設 VPN 伺服器,前提是得具備架設伺服器的知識,並支付必要的費用。

網路安全不會憑空而降,我們得自己去爭取,願意付出多少心血,就能夠獲得多少安全。若你負責電子商務的業務,就更需要注意網路安全。VPN 可以保障隱私,但是 VPN 充其量不過是權宜之計,它無法幫助我們改善大環境。一旦我們決定親自捍衛網路隱私,就很難要求政府改善大環境,結果就是給企業與駭客趁虛而入的機會。

我們可以暫時用 VPN 與保障隱私的瀏覽器插件(如 NoScript 或 Privacy Badger)來應急,同時努力改善大環境。網路隱私並非個人的問題,而是一個複雜的政治議題,需要一群人竭盡心力,努力相當長的一段時間,才可以找出一套長程的解決方案。我們必須主動出擊,向網路供應商與政府施壓,要求他們正視消費者的權益,事態才有機會出現轉機。

舉例來說,我們可以建議網站捨棄 HTTP 協定,改用可以避免監聽與中間人攻擊的 HTTPS 協定。HTTPS 不僅可以提供較安全的瀏覽環境,還可以提高網路供應商追蹤用戶的難度。然而 HTTP 轉 HTTPS 可不是在網址中間加一個 S 而已,整個網站必須做出大幅調整,此舉勢必會衝擊網站的營運。

2016 年,美國月刊雜誌《連線》(Wired)將網站轉換為 HTTPS,整個轉換作業耗時 5 個月,其間發生許多惱人的安全性問題,使得工程師焦頭爛額。如果你經常瀏覽的網站還沒換成 HTTPS,可以考慮使用「HTTPS Everywhere」,這個瀏覽器插件可以提供類似 HTTPS 的效果,增加你的網路安全性。

意圖蒐集用戶個資的機構簡直多到罄竹難書。除了網路供應商與 VPN 業者外,Google、Amazon,以及許多熱門的 App,都會利用 cookies 或 scripts,隨時找機會蒐集用戶的個資。你可以用 Disconnect 或 uBlock Origin 等插件來隱藏行蹤,可是若你想要使用任何種類的帳號登入服務,就必須停用這些插件,就算使用 VPN 也沒有意義。說得極端一點,這些機構對我們的了解程度,可能比我們的父母還要深。

沒有經過一番努力,就無法在網路世界中保持隱私。VPN 的確方便好用,然而 VPN 只能治標,要解決問題還是得從根本著手。有機會記得留意資安的議題,呼籲大家重視網路隱私,找出貢獻一己之力的途徑,別繼續放任政府或企業侵犯我們的隱私權。

 

參考資料

http://technews.tw/2017/04/25/can-vpn-really-protect-our-internet-privacy/

http://webhy.com.tw/