VPN真的能匿蹤嗎?2分鐘瞭解VPN如何保護你,以及為何不足以讓你匿名上網

Eric Shih
Mar 2, 2021

--

想像一下你到一家咖啡廳、學校或者其他公共場所,你跟所有人一樣,連上公用的WiFi並且開始上網,網速可能還不錯快。

但在某個角落,有個駭客跟你連上同一個 WiFi,在同一個區域網路,透過嗅探網路流量的方式,試著分析你從電腦所發出的網路封包,來解析你剛剛登入一個沒有使用 HTTPS 的網站封包,完全不用任何解密,明文的帳號密碼就被看見了。甚至,駭客也可以透過其他手法,來想辦法解密你的封包,進而取得機密資訊。

這時候,如果你使用了 VPN,安全的 VPN 協定讓你所有的網路流量,透過端對端加密先傳送至 VPN 伺服器,再由 VPN 伺服器傳送至目標網頁伺服器,如下圖所示。因此,駭客即使跟你連上同一個 WiFi、同一個區網上,即便它能夠竊聽流量、側錄封包,他也因為所有的流量經過加密處理,而無法知道詳細內容,甚至連你上了什麼網站都無法得知。

而同樣的,對於網頁伺服器而言,因為你的封包是由 VPN 伺服器轉發出來的,因此,他只知道 VPN 伺服器的流量,無法得知你的電腦的實際 IP 地址。間接地來說,你也對目標網頁伺服器隱藏了你的真實 IP 地址。

因此,這也是為什麼你常常聽到 VPN 有幾個常用功能,你現在應該就能很清楚原理了:

  1. 跨區下載 APP、觀看有地區限制 Netflix 影集(因為VPN能夠偽裝不同地區的IP)
  2. 中國翻牆(先連到牆外某個伺服器,再透過此伺服器瀏覽被封鎖的網頁)
  3. 學校、公司阻擋瀏覽網頁或P2P下載,用 VPN 就能解決。
  4. 保護你在咖啡廳等公共區域使用公用網路時,不會被竊聽網路流量與封包
  5. 因為能夠隱藏IP地址,就能匿名上網,能隱藏你的真實身份(??

大概前四點你都同意,或許大部分的人對於第五點也認同,但我卻打上了問號,這是為什麼?難道隱藏了IP地址,還不能匿名上網嗎?

VPN 到底能不能讓你匿名?

我先說結論好了,答案是:不完全行。真正的匿名要顧慮到的問題不單單只是IP地址的偽裝,因為事實上能追蹤到你的方式,不只是查看IP位置。

舉個簡單的例子:好比說你現在想登入一個影片網站(可能是電影、也可能是微積分教學影片或其他影片,你知道的),來看個片放鬆一下。但你基於一些理由不想讓任何人知道你的行蹤,你想「匿名上網」。於是,你使用VPN 的方式上了那個網站,登入了自己常用的帳號,然後開始你美好的晚間時光。但好巧不巧,那個網站因為著作權問題而觸法,連帶所有網站會員也將被警方調查。試問你被請喝茶的可能性有多高?

答案是非常高,原因在於,你雖然使用了 VPN 隱藏了你的真實 IP,但因為你的常用帳號可能「使用了自己的E-mail、手機號碼」來註冊,而導致警方在調查的時候,即使無法透過IP 地址辨識,也有機會使用其他線索辨識出你本人,你被請喝茶的機會就如此的高。

當然,聰明的你可能會開始思考,那我就全程使用VPN,從申請Email開始到註冊網站,我都使用VPN,這樣就可以達到完全匿名嗎?然而事實是:還是不夠。

有太多方法可以追蹤使用者了,以下列出幾個給各位參考:

  1. Cookie追蹤、瀏覽器指紋追蹤
  2. WebRTC設定不完全導致暴露真實IP位置
  3. 瀏覽器地理位置使用授權設定有誤,導致直接揭露電腦真實地理位置
  4. DNS Leak
  5. 電腦、手機被安裝木馬病毒、監控軟體
  6. 還有更多…..

當然,以上的這些問題都可以透過設定、安裝更安全的瀏覽器、瀏覽器上安裝反追蹤、擋廣告插件等方法來解決。即便你真的把上述的所有問題解決,確定不會洩露你的真實身份,但還有一個因素,是我們永遠都無法掌控的。那就是「VPN服務商」。

VPN 服務商的「無記錄政策」與「資安問題」

先來談談無記錄政策,這是最近VPN服務商很紅的政策,那就是宣稱他們「不會記錄用戶的任何流量紀錄」,甚至有服務商還找了知名會計事務所來背書、將公司設立在巴拿馬(不必遵守與配合政府的調查而洩漏用戶機密資料),為了就是讓用戶可以相信他們,絕對不會記錄用戶的網路行為。

然而事實上是,你無從得知也無法取得絕對的保證,VPN 服務商沒有記錄你的任何流量紀錄。而如果你是一位被政府調查的人,你也無法保證,政府在施壓你的VPN服務商時,會不會因此犧牲了他給過你的隱私權保證。

即便你的VPN服務商真的遵守了承諾,實行無紀錄政策也絕對不會背叛用戶,資安問題也可能成為壓垮匿名的最後一根稻草。

一個活生生的例子:曾在2019年,知名廠商 NordVPN 公開承認在2018年1月到3月期間,伺服器有安全漏洞而暴露在資安風險中,攻擊者能夠利用此漏洞來側錄用戶之網路流量,造成用戶隱私受到挑戰。雖然官方表示,因為無紀錄政策讓攻擊者無法取得任何用戶資料,因此沒有用戶的資料被洩漏。詳細可以看此篇文

雖然最後很幸運的沒有造成任何損失,但此事件告訴我們,VPN 服務商也是網路服務,網路服務都會有資安風險,一旦被攻破,都有很大的機會造成用戶的資料外洩,造成匿名失效。而如果你的處境不容許你有任何揭露真實身份的人,將有可能因此而造成嚴重後果,甚至丟失性命。

所以,VPN 到底能不能保護我、讓我匿名?

網路的使用習慣將會決定此題的答案:

  1. 如果你是一個時常使用公共場合網路的人,VPN將會保護你的流量不被駭客監聽。
  2. 如果你需要IP隱藏,來達到基礎的身份隱藏,VPN可以保護你不讓目標網站伺服器知道你的真實IP,但前提得配合你的正確使用習慣,不洩漏私人資訊或可間接知道身份的資訊給網站。

以上兩者情境,我認為是VPN最能達到高效保護的狀況。因此綜觀說起來,VPN的保護是存在的,尤其我會很推薦第一點的人使用VPN,能大幅提升安全性。

當然,如果你是我文中所敘述的,可能因某種原因遭受政府組織迫害,必須要完全匿名的人,好比說極權國家中的人權記者、特殊重要人物等等,目前研究隱私與網路匿名相關的社群較推薦的做法是使用洋蔥路由,也就是 Tor。未來將會有專門的文章,來講解Tor如何比VPN更能保證匿名性。

我自己的使用習慣

以下非業配文,純粹是分享我的看法,請安心服用

以我自己的使用習慣而言,我目前使用NordVPN,當作我日常使用的 VPN 服務,理由是我常出沒在學校、咖啡廳,並且會使用公共WiFi來上網,他將可以帶給我更好的安全性。NordVPN 提供許多種類VPN服務,例如雙重連接(路由中會依序經過兩台VPN伺服器,更難追蹤)、Onion VPN(連上 VPN 之後,再從VPN伺服器連Tor )等服務,雖然我不能保證他們提供的服務能對匿名瀏覽有實質效用,但的確讓我有更多選項、玩法。當然,他提供CyberSec服務,讓我在連上VPN後能幫我阻擋廣告與惡意軟體。但他最大的缺點,就是台灣伺服器的網速偏慢,如果公共網路的網速已經不高,再連上台灣VPN伺服器時,速度幾乎就歸零了,希望未來他們可以改善此問題。

而當然,如果你有一些技術底子,你可以考慮架設私人的VPN伺服器。雖然這樣就無法達成隱藏IP的功效,但依然可以讓你在公共網路中的流量加密,以及繞過一些設施網路阻擋規則,也不怕 VPN 公司公司記錄網路流量。不過相對的,私人維護的VPN伺服器之安全性與網速等等,也是一個大問題,所以各有優缺點囉。

總結

這篇文章最主要是告訴大家,VPN並不像網路上許多人說的那麼神奇,用了之後就可以從此隱身在網際網路上。事實上,用錯誤的方法使用VPN,得到的結果跟沒用是一樣,都沒有保護作用的。希望各位在看完文章後,可以更瞭解VPN的運作方式外,也更能保護系統安全。

如果你對以上內容有任何問題,或者是我有任何錯誤的部分,請隨時告訴我!謝謝!

--

--

Eric Shih
Eric Shih

Responses (1)