【翻牆問答】中資VPN存私隱隱患 開放源碼以障用戶安全

2019-12-20
電郵
評論
Share
打印
2013年8月19日,北京一家網吧內的電腦上顯示公安關於安全使用互聯網的提示。次年,中央網絡安全和信息化領導小組成立,隨後國內開始大規模封鎖VPN服務。(美聯社)
2013年8月19日,北京一家網吧內的電腦上顯示公安關於安全使用互聯網的提示。次年,中央網絡安全和信息化領導小組成立,隨後國內開始大規模封鎖VPN服務。(美聯社)

問:最近有VPN軟件開發公司,決定將桌面終端的源代碼公開,並最終連主機伺服器軟件源代碼以及私隱安排都可以讓各方人馬驗證。有關措施實行後,將能夠驗證VPN主機的擁有人有否監控及干擾用家的網絡使用情況。為何各大VPN軟件開發公司會推出這樣的措施?而現時VPN服務或技術又有甚麼潛在私隱問題?

李建軍:其實現時除了OpenVPN是源代碼公開,亦有其他類似OpenVPN的開放源代碼VPN項目或軟件。但問題在於,這些軟件和項目,都未能保證主機擁有人,並不會將使用者的私隱出賣,後果就是造成近年有不少中國公司透過這個漏洞,在香港設立離岸公司,以租用海外主機向大陸用家提供VPN翻牆服務。由於這些主機擁有人的背景不明,所以難以評估使用這類軟件對用家私隱帶來的風險。異見人士使用這些難保私隱的技術,是十分之危險一件事。這些主機,不但是中國政府控制的五毛黨、網軍對外攻擊的跳板,亦有機會是當局搜集異見人士翻牆上網證據所設下的陷阱。因此,開放源碼群體開始思考對應策略,以保障VPN用戶私隱。開放源碼就是為了確保連VPN主機的擁有人都無法得知使用者上網內容,並且可以讓第三者對這些主機的私隱保障狀況作出核證。

問:其實現時使用VPN,是否代表使用者的私隱,基本上未有受太大保障?

李建軍:在人人可以租用虛擬私人主機的年代,那些小型離岸公司開設的VPN主機為使用者提供的私隱保障的確不大,縱使這些VPN,可能將主機設在歐盟國家,但一旦你在使用它們的過程中私隱受侵害,即使向歐盟國家政府投訴,但由於那些離岸公司並非歐盟公司,主事人甚至可能仍然居於中國,事實上苦主是無法追究相關法律責任。

基於以上原因,使用大公司的VPN較有保障,而那些不知名的小公司VPN,特別是那些連蘋果、谷歌認證都無法通過的VPN,使用風險是相當大,某程度上有賭博的成份。這亦就回到一開始的問題:為何有VPN軟件公司決定公開源碼並給予第三者專家認證,以保護用戶私隱權益。

如果無一套相關技術或機制去保障使用者私隱,則使用者要自行在香港公司註冊處網站查冊,才可能得知相關VPN擁有人的身份。但以現時香港的政治局勢而言,香港公司註冊處的資料是否準確以及未經篡改,本身都成了一大疑問。

問:現階段,用甚麼VPN受的私隱保障比較大?

李建軍:現時除了自己租用海外主機建立VPN主機外,類似賽風這類本身是由西方國家學術機構建立的翻牆服務,私隱保障和聲譽都比較好。另外,由歐盟或美國加州註冊公司擁有,並且股東都是由當地人擔任的VPN服務,亦會比較有保障,因為如果這些公司的服務出了問題,可以肯定會被援引美國加州或歐盟私隱法律追訴,而當地法院,亦能實實在在追究負責人的法律責任。但如果VPN服務由香港公司提供,或公司設在英屬處女島、百慕達一類以避稅天堂聞名的地區,那就必須小心留神,因為很大機會,這些主機擁有人是中國當局相關人物,甚至國安人員亦殊不為奇,一旦有任何問題,將難以追究。現時中國當局,在濫用VPN方面無所不用其極,既用於監控異見人士,亦用於組織網軍,在海外的社交媒體上煽風點火,因此,VPN使用者是有必加倍留神,以免自己的安全受到威脅亦懵然不知。

Edge及Safari用戶可直接點擊收聽
其他瀏覽器用戶請點此下載播放插件

完整网站