中國(guó)的互聯(lián)網(wǎng)并不是真正開放的互聯(lián)網(wǎng)，有時(shí)候很多人耐不住自己想要窺探外面世界的好奇心，選擇用翻墻這種方式打開世界的大門，而虛擬專用網(wǎng)絡(luò)（虛擬專用網(wǎng)絡(luò)）就是看似用來(lái)幫助你混淆自己蹤跡的幫助者。可是，你真的了解虛擬專用網(wǎng)絡(luò)嗎？它真的老老實(shí)實(shí)的只為你工作嗎？

三年前斯諾登泄密事件揭露的東西，從安全的角度看對(duì)互聯(lián)網(wǎng)服務(wù)提供商來(lái)講并沒有太多的幫助，甚至可以說做的有些過火。同時(shí)也模糊了反恐政策的概念。而當(dāng)新聞爆出像NSA的Vulcan數(shù)據(jù)庫(kù)或者它的Diffie-Hellman策略時(shí)，任何一個(gè)網(wǎng)絡(luò)隱私主義者看過了都會(huì)心中發(fā)顫。突然間似乎每個(gè)人都需要重新評(píng)估下某些網(wǎng)上用于保持隱私的工具——虛擬專用網(wǎng)絡(luò)。

傳統(tǒng)虛擬專用網(wǎng)絡(luò)簡(jiǎn)介

虛擬專用網(wǎng)絡(luò)（虛擬專用網(wǎng)絡(luò)），這款工具通常用于混淆用戶的IP地址，或在用戶進(jìn)行WEB瀏覽時(shí)增加一層安全保護(hù)。它會(huì)把你的流量轉(zhuǎn)到加密且安全的虛擬專用網(wǎng)絡(luò)服務(wù)器上。不同的人使用虛擬專用網(wǎng)絡(luò)的目的也不同，有些人可能是用它來(lái)改變自身的IP地址，這樣就可以獲取一些其他地域的媒體內(nèi)容，或者能匿名下載一些東西。還有的人希望以此規(guī)避廣告商的網(wǎng)絡(luò)追蹤，或者防止盜用WIFI后的負(fù)面影響，甚至只是為了在他們?cè)L問特定網(wǎng)站時(shí)隱藏真實(shí)的IP地址。

然而虛擬專用網(wǎng)絡(luò)的質(zhì)量也是參差不齊的。事實(shí)上某些存在問題的虛擬專用網(wǎng)絡(luò)會(huì)讓用戶的安全更加脆弱。某些虛擬專用網(wǎng)絡(luò)是禁用了torrent下載的，還有些會(huì)記錄下信息，跟蹤上網(wǎng)行為，或者按照當(dāng)?shù)氐姆蓪?duì)數(shù)據(jù)進(jìn)行保留。

去年我開始嘗試整理一份好的虛擬專用網(wǎng)絡(luò)列表，雖然網(wǎng)上已有不少類似的虛擬專用網(wǎng)絡(luò)清單，但是通常都充斥著附加內(nèi)容鏈接，很難確認(rèn)其準(zhǔn)確性。這份虛擬專用網(wǎng)絡(luò)比較圖表，里面概述了虛擬專用網(wǎng)絡(luò)業(yè)務(wù)流程、日志記錄、服務(wù)配置和其他特性。但它存在矛盾策略，并誤導(dǎo)讀者，聲明各類的服務(wù)是100%有效的。但其實(shí)大部分內(nèi)容是從真實(shí)的虛擬專用網(wǎng)絡(luò)網(wǎng)站導(dǎo)入的，這就意味著可能會(huì)混入一些錯(cuò)誤信息。

幾個(gè)月的研究后，筆者的嘗試都失敗了。所以現(xiàn)在筆者仍然不能推薦一組安全的虛擬專用網(wǎng)絡(luò)列表給大家。相反的是，研究結(jié)果刷新了筆者對(duì)目前虛擬專用網(wǎng)絡(luò)的三觀。當(dāng)涉及到日志記錄的時(shí)候，評(píng)估可行性和驗(yàn)證準(zhǔn)確性也不是件容易的事，所以，我覺得與其給大家一個(gè)簡(jiǎn)單的列表，還是提供一些指導(dǎo)方針更加靠譜，讓大家自己了解在本年度哪些虛擬專用網(wǎng)絡(luò)是有效可用的。

虛擬專用網(wǎng)絡(luò)不是用來(lái)匿名的

關(guān)于虛擬專用網(wǎng)絡(luò)的一個(gè)常見的誤讀是：它們會(huì)給大家提供匿名功能，即使是針對(duì)民族主義者。但是，安全研究員Kenneth White表示：

“如果政府對(duì)目標(biāo)進(jìn)行專門的監(jiān)測(cè)追蹤，虛擬專用網(wǎng)絡(luò)是不足以做到這一點(diǎn)的。”

事實(shí)上，虛擬專用網(wǎng)絡(luò)聲稱的會(huì)給提供用戶匿名性，是“不可行的，不負(fù)責(zé)的，或者兩者兼?zhèn)涞?rdquo;。DNSleaktest.com的站長(zhǎng)Jeremy Campbell在郵件里告訴記者：

“為了實(shí)現(xiàn)匿名去使用公共虛擬專用網(wǎng)絡(luò)是非常愚蠢而危險(xiǎn)的，無(wú)論服務(wù)配置的有多么安全，匿名技術(shù)本身并沒有在這里實(shí)現(xiàn)。虛擬專用網(wǎng)絡(luò)服務(wù)要求你信任他們，但匿名系統(tǒng)本身是沒有這個(gè)屬性的。”

White沒有堅(jiān)持完全放棄虛擬專用網(wǎng)絡(luò)，但是他警告說它應(yīng)該作為一個(gè)輔助工具，而不是一個(gè)隱私的解決方案，他表示：

“相反，像專門的隱私工具如Tor瀏覽器之類的（里面可能包含了信用良好的虛擬專用網(wǎng)絡(luò)），那就是可以使用的。它們不僅實(shí)現(xiàn)了匿名化屬性，而且瀏覽器已經(jīng)進(jìn)行了大量定制，以實(shí)現(xiàn)網(wǎng)絡(luò)隱私的最大化（比如弱化了cookie、Flash、Java插件等特征）。”

Tor分布式網(wǎng)絡(luò)，會(huì)嘗試在多個(gè)中繼傳輸流量來(lái)實(shí)現(xiàn)匿名。但其實(shí)它也很難進(jìn)行核實(shí)，沒有人知道Tor這樣是否能夠獲得百分百成功。Tor瀏覽器最近受到了美國(guó)國(guó)防部的矚目，這只會(huì)強(qiáng)化這種擔(dān)心。某些批評(píng)者認(rèn)為，Tor會(huì)讓人們更容易依賴過時(shí)版本的Firefox，但這些東西都不能保證是萬(wàn)無(wú)一失的。

Johns Hopkins大學(xué)的密碼學(xué)教授Matthew Green表示：

“某些在俄羅斯出口節(jié)點(diǎn)的惡意Tor，實(shí)際上會(huì)偷偷修改二進(jìn)制文件。所以，如果你不幸在Tor下載文件時(shí)碰巧遇到了這些節(jié)點(diǎn)，它們可能會(huì)將它轉(zhuǎn)換成惡意軟件。”

盡管Green并沒有聽說過虛擬專用網(wǎng)絡(luò)發(fā)生過這樣的事，但他指出這樣的攻擊是存在可能的。與多數(shù)虛擬專用網(wǎng)絡(luò)不同，Tor和Tor瀏覽器通常用于高風(fēng)險(xiǎn)的情況，工程師需要迅速修復(fù)安全漏洞，這樣的方式可能不適用于所有的虛擬專用網(wǎng)絡(luò)。

用虛擬專用網(wǎng)絡(luò)來(lái)BT下載安全嗎？

某些虛擬專用網(wǎng)絡(luò)提供商會(huì)禁用p2p，如果有必要還會(huì)把用戶的名字給版權(quán)所有者。代表版權(quán)所有者的利益的，可能會(huì)取消慣犯的賬戶。希望使用虛擬專用網(wǎng)絡(luò)進(jìn)行torrent下載和流媒體觀看的親們，可以尋找那些特殊的服務(wù)提供商（或者不保留日志），但是問題又來(lái)了，Campbell表示：

“然而，我們并沒有辦法驗(yàn)證虛擬專用網(wǎng)絡(luò)提供商所說的話。大家必須依靠新聞報(bào)道和網(wǎng)上論壇的討論等等，來(lái)判斷服務(wù)提供商的聲譽(yù)。”

看來(lái)，必須時(shí)刻保持警惕才行。

虛擬專用網(wǎng)絡(luò)可以“防御”廣告追蹤？

盡管虛擬專用網(wǎng)絡(luò)能掩飾你的IP地址，但它不一定能保證你免受間諜廣告和追蹤的困擾。

Campbell表示：

“虛擬專用網(wǎng)絡(luò)提供的防廣告追蹤的技術(shù)可以忽略不計(jì)，因?yàn)镮P掩蓋是一個(gè)弱標(biāo)志。網(wǎng)絡(luò)廣告更傾向于cookies、supercookies和瀏覽器指紋技術(shù)，這些東西虛擬專用網(wǎng)絡(luò)是無(wú)法進(jìn)行保護(hù)的。”

為了防止無(wú)處不在的廣告跟蹤，廣告阻斷器uBlock、uBlock origin，以及追蹤阻斷器PrivacyBadger或Disconnect會(huì)提供一定程度的保護(hù)。禁用JS代碼，或者使用Firefox下的NoScript可以消除一些指紋。更高級(jí)的用戶可以使用虛擬機(jī)或者沙箱瀏覽器。當(dāng)然，Tor瀏覽器也能防止產(chǎn)生特定瀏覽器指紋。

虛擬專用網(wǎng)絡(luò)讓你更危險(xiǎn)？

用戶使用虛擬專用網(wǎng)絡(luò)的是為了保護(hù)自身網(wǎng)絡(luò)安全，特別是在處于公共WIFI之下的時(shí)候。GoGo被爆出使用了Youtube的偽造證書，這可能會(huì)泄露用戶的流量，包括用戶的Youtube密碼。

因?yàn)樘摂M專用網(wǎng)絡(luò)建立了用戶和虛擬專用網(wǎng)絡(luò)商服務(wù)器之間的通道，所以用戶對(duì)于虛擬專用網(wǎng)絡(luò)提供商的信任非常重要。畢竟提供商能看到和記錄你所有的流量，甚至可以更改你的流量?jī)?nèi)容。一個(gè)虛擬專用網(wǎng)絡(luò)的配置不當(dāng)，黑客就可能直接訪問你的本地局域網(wǎng)，這比別人在咖啡店網(wǎng)絡(luò)下，嗅探你的流量更加可怕。

“如果虛擬專用網(wǎng)絡(luò)服務(wù)供應(yīng)商不老實(shí)的話，你只能自己做祈禱了。你得時(shí)刻擔(dān)心是否會(huì)在本地局域網(wǎng)被人黑掉，若是使用了一個(gè)粗制濫造的虛擬專用網(wǎng)絡(luò)服務(wù)，很可能就會(huì)把自己推入虎口。”

預(yù)共享密鑰

White提供了一個(gè)虛擬專用網(wǎng)絡(luò)的列表，在網(wǎng)上已有共享密鑰發(fā)布：

GoldenFrog、GFw虛擬專用網(wǎng)絡(luò)、虛擬專用網(wǎng)絡(luò)Reactor、Unblock虛擬專用網(wǎng)絡(luò)、IB虛擬專用網(wǎng)絡(luò)、Astril、Pure虛擬專用網(wǎng)絡(luò)、PrivateInternetAccess、TorGuard、IPVanish、Nordic虛擬專用網(wǎng)絡(luò)、Earth虛擬專用網(wǎng)絡(luò)。

“如果我知道了你正在使用的虛擬專用網(wǎng)絡(luò)預(yù)共享密鑰，并且我控制了你所在WIFI的熱點(diǎn)，那么就可以進(jìn)行中間人攻擊并且解密你的上網(wǎng)行為。也就是說，當(dāng)黑客擁有這預(yù)共享密鑰時(shí)，您的網(wǎng)絡(luò)安全系數(shù)就降低了。”

PPTP的代替品

一些虛擬專用網(wǎng)絡(luò)還使用了老掉牙的的PPTP 虛擬專用網(wǎng)絡(luò)協(xié)議，這在根本上就是不安全的。更好的選擇包括IPSec（有人積極維護(hù)）、L2TP/IPSec、IKEv2以及Open虛擬專用網(wǎng)絡(luò)等等。

在上述的幾個(gè)選項(xiàng)中，IPSec可以設(shè)置為不需要安裝額外的軟件，但有人認(rèn)為這是故意破壞和削弱NSA（美國(guó)國(guó)家安全局）的力量。Open虛擬專用網(wǎng)絡(luò)比它還要安全，但是搭建手法更加復(fù)雜，需要第三方軟件的幫助，以及用戶進(jìn)行正確且復(fù)雜的配置。

根據(jù)High-Tech Bridge最近的研究發(fā)現(xiàn)，SSL 虛擬專用網(wǎng)絡(luò)中，有90%會(huì)使用不安全的或者過時(shí)的加密。而有77%使用了不安全的SSLv3（甚至SSLv2）協(xié)議，76%用了不可信的SSL證書（黑客可以更輕易的進(jìn)行中間人攻擊，攔截虛擬專用網(wǎng)絡(luò)連接中的流量），更有一大部分用的不安全的RSA密鑰長(zhǎng)度的簽名，以及不安全的SHA-1簽名。不管你信不信，其中還有10%存在心臟出血漏洞。

數(shù)據(jù)保留和日志記錄

一些虛擬專用網(wǎng)絡(luò)會(huì)根據(jù)本國(guó)或當(dāng)?shù)氐姆?，進(jìn)行日志信息保存。而且許多虛擬專用網(wǎng)絡(luò)服務(wù)提供商會(huì)記錄大量信息，比如在特定的用戶來(lái)連接時(shí)，是從哪里、從什么時(shí)候連上的，甚至還有他們做了哪些連接。

甚至有些虛擬專用網(wǎng)絡(luò)服務(wù)提供商，日志量少時(shí)會(huì)記錄下重要日志，比如連接的IP地址和用戶名，以及內(nèi)部路由使用的內(nèi)部負(fù)載均衡和服務(wù)器維護(hù)。某些虛擬專用網(wǎng)絡(luò)服務(wù)提供商的日志記錄可能會(huì)很快銷毀，而其他的由于本地的相關(guān)法律，處理方式會(huì)有所不同。不管怎樣日志里保存的信息都是足以破除用戶匿名性的。

仔細(xì)閱讀服務(wù)條款會(huì)幫助你確定服務(wù)商日志維護(hù)保留的情況，并可以了解他們會(huì)如何使用收集到的信息。但是其中的真?zhèn)我埠茈y驗(yàn)證。有人認(rèn)為進(jìn)行犯罪活動(dòng)時(shí)虛擬專用網(wǎng)絡(luò)也會(huì)保護(hù)用戶的身份，但人家美國(guó)政府已經(jīng)與世界上數(shù)十個(gè)國(guó)家簽署了司法互助條約了。

泄露用戶隱私

即使用戶已經(jīng)連上了虛擬專用網(wǎng)絡(luò)服務(wù)器，但某些發(fā)出的包可能沒有經(jīng)過虛擬專用網(wǎng)絡(luò)通道進(jìn)行通信，這就泄露了用戶的隱私。

Campbell表示：

“從技術(shù)角度來(lái)講，我認(rèn)為最被低估的漏洞就是虛擬專用網(wǎng)絡(luò)軟件客戶端的網(wǎng)絡(luò)信息泄露。嚴(yán)重的時(shí)候，它可能會(huì)危及用戶的生命，許多網(wǎng)絡(luò)安全和隱私社區(qū)已經(jīng)對(duì)此漏洞進(jìn)行了重點(diǎn)關(guān)注。”

一些虛擬專用網(wǎng)絡(luò)服務(wù)提供商設(shè)置了規(guī)則，在用戶出簍子之前，能阻止不安全的連接。比如你首次登入某個(gè)WIFI熱點(diǎn)，或者從一個(gè)熱點(diǎn)轉(zhuǎn)入另一個(gè)的時(shí)候。其他服務(wù)商還會(huì)允許用戶自己設(shè)置防火墻規(guī)則。

2015年6月，羅馬Sapienza大學(xué)和倫敦瑪麗女王大學(xué)的研究人員測(cè)試了14款熱門的商業(yè)虛擬專用網(wǎng)絡(luò)服務(wù)，他們發(fā)現(xiàn)了其中10個(gè)會(huì)泄露IP的數(shù)據(jù)，且都會(huì)遭受IPV6 DNS劫持攻擊。雖然后期研究人員并沒有全面復(fù)查他們是否修復(fù)了，但是也做了一些特別的測(cè)試，并發(fā)現(xiàn)情況有所改善。但是可能修復(fù)了問題后，還存在其他漏洞。

倫敦瑪麗女王大學(xué)的研究員GarethTyson博士表示：

“我給大家的建議是，如果你擔(dān)心被政府監(jiān)控，你應(yīng)該全方面使用Tor。”

同樣，這可能也是一個(gè)不完美的解決方案。雖然Tor瀏覽器提供匿名、規(guī)避審查和反監(jiān)控追蹤，但是它并不像虛擬專用網(wǎng)絡(luò)一樣迅速。更糟糕的是，某些互聯(lián)網(wǎng)服務(wù)提供商會(huì)拒絕Tor。

營(yíng)銷宣傳

許多聲稱安全的虛擬專用網(wǎng)絡(luò)服務(wù)提供商，其實(shí)缺乏可信度。某些虛擬專用網(wǎng)絡(luò)服務(wù)提供商聲明不會(huì)記錄日志，接受比特幣，浮夸地表示他們是軍用、政府、NSA級(jí)別的加密。

而且，虛擬專用網(wǎng)絡(luò)不僅僅會(huì)存在安全漏洞的問題，還可能是民族主義者的蜜罐，相反，那些事先聲明他們的威脅模型，講清楚能保護(hù)的和不能提供保護(hù)虛擬專用網(wǎng)絡(luò)服務(wù)提供商，可能更值得信任。

閱讀服務(wù)條款有時(shí)能給用戶一個(gè)清晰的認(rèn)識(shí)。比如2015年，免費(fèi)的以色列虛擬專用網(wǎng)絡(luò) Hola被發(fā)現(xiàn)將用戶帶寬出售給Luminati 虛擬專用網(wǎng)絡(luò)。那些想要隱藏IP地址的用戶不知不覺就變成了虛擬專用網(wǎng)絡(luò)的出口節(jié)點(diǎn)和終點(diǎn)（暴露了自己的IP地址，混入了別人的流量）。直到8chan留言板運(yùn)營(yíng)商 Fredrick Brennan說，直到Hola用戶在不知不覺中被利用來(lái)攻擊他的網(wǎng)站后，才更新了自己的FAQ。

如何尋找可信的虛擬專用網(wǎng)絡(luò)

看到上面所有的預(yù)防措施和虛擬專用網(wǎng)絡(luò)說明了吧，靠它們?nèi)フ铱尚诺奶摂M專用網(wǎng)絡(luò)靠譜么？虛擬專用網(wǎng)絡(luò)服務(wù)提供商表示購(gòu)者自慎。

某家虛擬專用網(wǎng)絡(luò)服務(wù)提供商是否使用了最新的協(xié)議，該公司的背景和聲譽(yù)如何，服務(wù)條款是否容易理解，這些虛擬專用網(wǎng)絡(luò) 到底能防護(hù)什么和未能照顧到什么，它對(duì)于信息披露的細(xì)節(jié)表達(dá)了足夠誠(chéng)實(shí)嗎？

拋開這些因素，Campbell建議大家看看公司的行為，他說這可能會(huì)顯示出一個(gè)服務(wù)商是否關(guān)心客戶的隱私。這三年來(lái)，他自己也在尋找一個(gè)清晰明確的隱私政策，而不是只有樣板政策的公司。

Campbell警告道：

“在斯諾登泄密事件后，過去幾年已有了很多廉價(jià)的虛擬專用網(wǎng)絡(luò)服務(wù)提供商。這些新入行的虛擬專用網(wǎng)絡(luò)服務(wù)提供商在安全方面做的不是很好。許多情況，他們想把部分服務(wù)器的主機(jī)業(yè)務(wù)轉(zhuǎn)為帶寬業(yè)務(wù)，但是他們完全沒有安全方面的經(jīng)驗(yàn)。”

作為最后一個(gè)預(yù)防措施，Campbell也在尋找不通過第三方系統(tǒng)捕獲用戶敏感數(shù)據(jù)的虛擬專用網(wǎng)絡(luò)，他表示：

“任何尊重客戶隱私的虛擬專用網(wǎng)絡(luò)服務(wù)提供商，都不會(huì)去觸碰與客戶交互的系統(tǒng)，比如第三方聊天腳本、支持票務(wù)系統(tǒng)、博客評(píng)論等等。用戶通常會(huì)在請(qǐng)求包里提交非常敏感的數(shù)據(jù)，但是他們并不一定清楚他們的虛擬專用網(wǎng)絡(luò)服務(wù)提供商是否單獨(dú)監(jiān)控了流量系統(tǒng)。”

自己動(dòng)手，豐衣足食

根據(jù)你的隱私需求，一個(gè)滿意的預(yù)解決方案可能并不存在。如果是這樣的話，懂技術(shù)的用戶可以自己搭建虛擬專用網(wǎng)絡(luò)。如果你的方案里更在意速度，你可以在DigitalOcean、Amazon主機(jī)、Vultur,、OVH或者其他可靠的主機(jī)商的VPS運(yùn)行Streisand。Streisand是在土耳其推特全面被封殺后推出的，它的目的是為了幫助用戶繞過互聯(lián)網(wǎng)封鎖。

Streisand的Github頁(yè)面稱：

“Streisand可以在服務(wù)器上搭建L2TP/IPsec、OpenConnect、OpenSSH、Open虛擬專用網(wǎng)絡(luò)、Shadowsocks、sslh、Stunnel，以及Tor橋，它還會(huì)為這些服務(wù)生成自定義配置指令。”

其締造者Joshua Lund告訴記者，Streisand的目標(biāo)之一就是使得安裝過程盡可能簡(jiǎn)單。他設(shè)想這個(gè)開源服務(wù)能夠成長(zhǎng)為一個(gè)“集中式知識(shí)存儲(chǔ)庫(kù)”，成為一個(gè)自動(dòng)化升級(jí)最佳實(shí)踐的社區(qū)。

Lund 在郵件中告訴記者：

“Streisand將幾個(gè)最困難的步驟實(shí)現(xiàn)了自動(dòng)化，大大提升了安全性。比如Streisand配置Open虛擬專用網(wǎng)絡(luò)時(shí)會(huì)啟用TLS認(rèn)證（又名HMAC防火墻）”，生成了一個(gè)自定義組的Diffie-Hellman參數(shù)，啟用了一個(gè)更強(qiáng)大的多密鑰校驗(yàn)機(jī)制（AES-256/SHA-256替代了原來(lái)默認(rèn)的Blowfish/SHA1）。許多用戶在手動(dòng)配置時(shí)，其實(shí)會(huì)跳過這些選擇性的耗時(shí)步奏。事實(shí)上，大多數(shù)商業(yè)虛擬專用網(wǎng)絡(luò)服務(wù)商并不啟用這些Open虛擬專用網(wǎng)絡(luò)配置。

Streisand還有個(gè)好處在于，當(dāng)自動(dòng)安全更新和安裝過程后，約十分鐘就能讓用戶得到一個(gè)全新的服務(wù)。相比商業(yè)虛擬專用網(wǎng)絡(luò)服務(wù)商，Streisand也不太可能成為審查、DDoS或者流媒體封鎖的目標(biāo)。

像大多數(shù)虛擬專用網(wǎng)絡(luò)一樣，Streisand會(huì)不同。在2016年考察這些產(chǎn)品后，我們只得到一條準(zhǔn)則：尋找虛擬專用網(wǎng)絡(luò)決定于你使用它的第一目的。尋求對(duì)自身網(wǎng)絡(luò)安全進(jìn)行保護(hù)的用戶，與那些想隱藏自己真實(shí)地址的用戶目的是不同的。意識(shí)到虛擬專用網(wǎng)絡(luò)的局限性和具體的弱點(diǎn)缺陷，至少可以幫助你做出一個(gè)更明智的復(fù)雜決定。

最新評(píng)論