Try   HackMD

VPN 真的安全嗎?

什麼是 VPN ?

VPN(Virtual Private Network)中文是虛擬私人網路,通常應用於企業建立遠端連線,可以讓員工在外存取公司內部資源,此服務能保護網路連線和線上隱私。VPN 能為能建立一個建立加密的虛擬通道,隱藏 IP 位址,能保護你線上身分,可安心使用公用 Wi-Fi 熱點。

VPN的通訊協定

  • OpenVPN
    作為最常用的VPN通訊協定之一,OpenVPN在安全性和速度之間實現了良好的平衡。
  • IKEv2/IPSec
    IKEv2 能夠支援身分驗證和加密,傳輸占用的頻寬少、速度快,而且使用的技術可以確保 VPN 連線不中斷,主流的行動裝置皆有支援。
  • L2TP/IPSec
    L2TP 本身只是一種 VPN 通訊協定用來建立通道連結,沒有加密或驗證身分技術。所以會使用 IPSec 加密技術來配合使用。
  • PPTP
    PPTP是最早被廣泛使用最快的 VPN 通訊協定適合串流傳輸等。但是它已經過時基於安全考慮不建議使用。

VPN 如何工作?

如果你正在瀏覽網頁、看Youtube追劇、透過CMoney獲得豐富投資訊息,之後實現財富自由到蝦皮清空購物車,沒有使用 VPN 的話,這些封包途中會經過ISP以及其他網路途徑。

例如:受監管的基地台、國外的網路服務中繼站等,這時他人包括搜尋引擎、網路供應商、駭客、政府等等,就可以從中擷取你的裝置與某站之間傳輸的資料,或是從某站那端回溯追查到是你的裝置做出看該影片的請求,進而得知你上了哪些網站、看了什麼影片或是輸入了什麼留言、信用卡號碼、你銀行有多少$等資訊。

簡單來說 VPN 服務供應商會使用加密技術將資料「額外加殼」,任何可能從你的電腦或行動裝置網路傳輸的資料,都會改成從 VPN 傳輸,因此資料在抵達你指定的目的地之前都會處於安全的狀態。

上面90%講的是對的,也大多都是 VPN 服務供應商話術。

最重要的沒告訴你,它也不是100%加密,由下圖可得知從VPN Server出去的封包就已經不是經過加密封包了,換句話說從VPN Server端下手就有機會回溯得到相關資訊了。

VPN隱藏的是什麼?

VPN能夠隱藏很多資訊,尤其是那些訊息被盜的話,將會威脅你的個人隱私。
以下是幾項最容易受到威脅的個資:

  1. 你的IP位址
    有心人士可以藉由你的上網IP位置,來查到你的真實位置、住家地址,如果再加上監看你的網路活動,可能還會知道在家的時間資訊等等,進而實施竊盜、拐人等危險行徑,利用VPN改變IP、加密網路活動訊息,就可以避免危險發生。

  2. 你串流媒體的位置
    你可能會購買類似於觀看職業體育比賽這類的串流媒體服務。而當你在國外旅遊時,你所購買的串流媒體服務可能會不可用。但如果有VPN在,就可以避開此類限制。VPN可以讓你選擇定位於你國家的IP位址。實際上,你將可持續享受你所購買服務的權利。

  3. 你的裝置
    可以安全的使用公共免費Wifi,許多公共場所咖啡廳、機場、商場提供的公共Wifi,尤其是沒有密碼保護的那種十分危險,因為駭客可以輕易的駭入那些Wifi,進而竊取連結該Wifi的使用者的網路活動資訊、資料,甚至免費Wifi熱點可能就是駭客自己設立的釣魚熱點,你一連上就一堆個資都被查光光

  4. 你的上網活動
    某些極權、網路管制的國家肯定會監控你的網路,而民主自由的國家政府有沒有在監控人民的網路活動這也許很難說,有可能案中在監控人民,例如史諾登洩密案等等。

使用VPN的缺點有什麼?

  • 速度
    因為傳到特定伺服器前,你會先把資料傳送到VPN Server,所以使用VPN的連線速度比正常不使用時的會稍慢一些。另外你的VPN Server僅有一定數量的資源,如果因為使用者太多讓VPN Server過載,則連線速度將快速下降。

  • 被限制使用
    越來越多網站、服務開始懂得使用「反 VPN」程式,用 VPN 雖然不犯法,以知名串流媒體 Disney+、Netflix 為例,所以他們會用一些反 VPN 程式來擋不讓你跨區追劇看不同影集,不過通常會被擋下來的 VPN 通常都是「免費 VPN」。

VPN 真的安全嗎?

  • 免費VPN可能藏有惡意軟體
    國外大型資安公司對數百個免費VPN應用程式進行研究,發現許多免費的VPN都無法為使用者提供所需要的安全性,因免費VPN更會追蹤使用者的個人資料,免費VPN會出售你個資牟利,或透過不斷彈出廣告,讓使用者需要一直點擊而賺錢,侵犯使用者隱私行為。

  • 你的上網活動&在某些國家禁止使用VPN
    在某些國家使用VPN是非法的,如果你想在網路上搜尋一些敏感議題,或是試圖發起危害當權政府的活動與言論,就有可能就會被當局認定你是潛在危險分子,而受到政府介入的網路攻擊,甚至嚴重的情況,可能被查水錶,甚至直接被消失!。因為這是VPN提供了良好的匿名性,隱私保護和資料加密。
    某些極權、網路管制的國家肯定會監控你的網路,而民主自由的國家政府有沒有在監控人民的網路活動這也許很難說,有可能案中在監控人民,例如史諾登洩密案等等。

營運一個VPN伺服器的價格是相當高昂的,而免費VPN公司卻「免費」提供服務?這點是大家值得去思考的事情。

不論免費或付費 VPN Server不是十全十美完美解決方案。

使用VPN就像進入一條有著專屬通道,當中服務供應商可能會洩露使用者的資料或IP地址,或受到駭客、第三方、政府更可以追蹤你的瀏覽活動、更可以透過此通道監視你,而部份 VPN 其實會記錄使用者的活動,即便他們聲稱並未記錄任何資料。

此問題的嚴重程度取決於 VPN 供應商本身的所在位置,因為供應商必須遵循不同的當地規定。

例如:

  • 在歐洲境內,一般會受到資料保護規範 (GDPR) 限制。
  • 在中國境內,由中國政府說了算。

建議不要將 VPN 視為保障線上安全的完美選擇。