Pages

Thursday, 28 January 2016

在中國用 VPN 翻牆是常識?說不定是中国政府欲擒故縱


各位讀者到中國的時候,為了使用 Facebook 或者電郵服務,相信會準備 VPN 來翻牆,但翻到了牆就代表安全嗎?Google 前資訊安全工程師 Marc Bevand 早前到中國旅行,當然他與我們一樣有翻牆,但他發現我們常用的 VPN 或許沒有想像中的安全。
作為一個資訊安全工程師,Bevand 在網誌說能夠挑戰中國的防火長城感到好奇。此外身為行家,他當然是用「自己的方式」來翻牆,他在網誌分享了翻牆的過程。透過種種測試,他認為防火長城採用了機器學習來屏蔽可疑的連線。

連線保護太弱 中國或暗中監視用戶

但「自己的方式」只可以為電腦翻牆,Bevand 外出時手機仍然需要使用 VPN 。當他使用常用的翻牆工具 ExpressVPN 時發現,雖然確實能翻牆,但連線只用 RSA 1024 bit 加密。他認為 ExpressVPN 的保護太弱,中國政府有可能已解密和監聽 ExpressVPN用戶的連線。
Bevand 指中國政府很輕易便可以阻止 ExpressVPN 的服務,對於政府默許 ExpressVPN 和其他 VPN 的服務感到奇怪。他認為其中一個原因是中國政府在監視 ExpressVPN 的連線,但為了讓他們誤以為私隱受保障,政府不會干預。如果政府出手,用戶就會改用更安全的 VPN 服務,使政府無法監視。ExpressVPN 表示會在下月更新。
除了 ExpressVPN ,另一個熱門 VPN 服務 Astrill 也有安全憂隱,因為第一個根認證亦只得 1024 bit。Bevand 認為資訊安全界不應再用 1024 bit RSA 加密,至少也要 2048 bit。
他特別提到 ShadowSocks、Obfsproxy 和 Softether 的表現較好,但 ShadowSocks 的作者在中國當局的壓力下已把程式碼從 GitHub 下架