三年前斯諾登泄密事件揭露的東西，從安全的角度看對互聯網服務提供商來講并沒有太多的幫助，甚至可以說做的有些過火。同時也模糊了反恐政策的概念。

而當新聞爆出像NSA的Vulcan數據庫或者它的Diffie-Hellman策略時，任何一個網絡隱私主義者看過了都會心中發(fā)顫。突然間似乎每個人都需要重新評估下某些網上用于保持隱私的工具——VPN。

傳統(tǒng)VPN簡介

VPN（虛擬專用網絡），這款工具通常用于混淆用戶的IP地址，或在用戶進行WEB瀏覽時增加一層安全保護。它會把你的流量轉到加密且安全的VPN服務器上。

不同的人使用VPN的目的也不同，有些人可能是用它來改變自身的IP地址，這樣就可以獲取一些其他地域的媒體內容，或者能匿名下載一些東西。還有的人希望以此規(guī)避廣告商的網絡追蹤，或者防止盜用WIFI后的負面影響，甚至只是為了在他們訪問特定網站時隱藏真實的IP地址。

然而VPN的質量也是參差不齊的。事實上某些存在問題的VPN會讓用戶的安全更加脆弱。某些VPN是禁用了torrent下載的，還有些會記錄下信息，跟蹤上網行為，或者按照當地的法律對數據進行保留。

去年我開始嘗試整理一份好的VPN列表，雖然網上已有不少類似的VPN清單，但是通常都充斥著附加內容鏈接，很難確認其準確性。

這份VPN比較圖表，里面概述了VPN業(yè)務流程、日志記錄、服務配置和其他特性。但它存在矛盾策略，并誤導讀者，聲明各類的服務是100%有效的。但其實大部分內容是從真實的VPN網站導入的，這就意味著可能會混入一些錯誤信息。

幾個月的研究后，筆者的嘗試都失敗了。所以現在筆者仍然不能推薦一組安全的VPN列表給大家。相反的是，研究結果刷新了筆者對目前VPN的三觀。當涉及到日志記錄的時候，評估可行性和驗證準確性也不是件容易的事，所以，我覺得與其給大家一個簡單的列表，還是提供一些指導方針更加靠譜，讓大家自己了解在本年度哪些VPN是有效可用的。

VPN不是用來匿名的

關于VPN的一個常見的誤讀是：它們會給大家提供匿名功能，即使是針對民族主義者。但是，安全研究員Kenneth White表示：

“如果政府對目標進行專門的監(jiān)測追蹤，VPN是不足以做到這一點的。”

事實上，VPN聲稱的會給提供用戶匿名性，是“不可行的，不負責的，或者兩者兼?zhèn)涞摹?。DNSleaktest.com的站長Jeremy Campbell在郵件里告訴記者：

“為了實現匿名去使用公共VPN是非常愚蠢而危險的，無論服務配置的有多么安全，匿名技術本身并沒有在這里實現。VPN服務要求你信任他們，但匿名系統(tǒng)本身是沒有這個屬性的。”

White沒有堅持完全放棄VPN，但是他警告說它應該作為一個輔助工具，而不是一個隱私的解決方案，他表示：

“相反，像專門的隱私工具如Tor瀏覽器之類的（里面可能包含了信用良好的VPN），那就是可以使用的。它們不僅實現了匿名化屬性，而且瀏覽器已經進行了大量定制，以實現網絡隱私的最大化（比如弱化了cookie、Flash、Java插件等特征）。”

Tor分布式網絡，會嘗試在多個中繼傳輸流量來實現匿名。但其實它也很難進行核實，沒有人知道Tor這樣是否能夠獲得百分百成功。Tor瀏覽器最近受到了美國國防部的矚目，這只會強化這種擔心。某些批評者認為，Tor會讓人們更容易依賴過時版本的Firefox，但這些東西都不能保證是萬無一失的。

Johns Hopkins大學的密碼學教授Matthew Green表示：

“某些在俄羅斯出口節(jié)點的惡意Tor，實際上會偷偷修改二進制文件。所以，如果你不幸在Tor下載文件時碰巧遇到了這些節(jié)點，它們可能會將它轉換成惡意軟件。”

盡管Green并沒有聽說過VPN發(fā)生過這樣的事，但他指出這樣的攻擊是存在可能的。與多數VPN不同，Tor和Tor瀏覽器通常用于高風險的情況，工程師需要迅速修復安全漏洞，這樣的方式可能不適用于所有的VPN。

用VPN來BT下載安全嗎？

某些VPN提供商會禁用p2p，如果有必要還會把用戶的名字給版權所有者。代表版權所有者的利益的，可能會取消慣犯的賬戶。希望使用VPN進行torrent下載和流媒體觀看的親們，可以尋找那些特殊的服務提供商（或者不保留日志），但是問題又來了，Campbell表示：

“然而，我們并沒有辦法驗證VPN提供商所說的話。大家必須依靠新聞報道和網上論壇的討論等等，來判斷服務提供商的聲譽。”

看來，必須時刻保持警惕才行。

VPN可以“防御”廣告追蹤？

盡管VPN能掩飾你的IP地址，但它不一定能保證你免受間諜廣告和追蹤的困擾。

Campbell表示：

“VPN提供的防廣告追蹤的技術可以忽略不計，因為IP掩蓋是一個弱標志。網絡廣告更傾向于cookies、supercookies和瀏覽器指紋技術，這些東西VPN是無法進行保護的。”

為了防止無處不在的廣告跟蹤，廣告阻斷器uBlock、uBlock origin，以及追蹤阻斷器PrivacyBadger或Disconnect會提供一定程度的保護。

禁用JS代碼，或者使用Firefox下的NoScript可以消除一些指紋。更高級的用戶可以使用虛擬機或者沙箱瀏覽器。當然，Tor瀏覽器也能防止產生特定瀏覽器指紋。

VPN讓你更危險？

用戶使用VPN的是為了保護自身網絡安全，特別是在處于公共WIFI之下的時候。GoGo被爆出使用了Youtube的偽造證書，這可能會泄露用戶的流量，包括用戶的Youtube密碼。

因為VPN建立了用戶和VPN商服務器之間的通道，所以用戶對于VPN提供商的信任非常重要。畢竟提供商能看到和記錄你所有的流量，甚至可以更改你的流量內容。一個VPN的配置不當，黑客就可能直接訪問你的本地局域網，這比別人在咖啡店網絡下，嗅探你的流量更加可怕。

“如果VPN服務供應商不老實的話，你只能自己做祈禱了。你得時刻擔心是否會在本地局域網被人黑掉，若是使用了一個粗制濫造的VPN服務，很可能就會把自己推入虎口。”

預共享密鑰

White提供了一個VPN的列表，在網上已有共享密鑰發(fā)布。

“如果我知道了你正在使用的VPN預共享密鑰，并且我控制了你所在WIFI的熱點，那么就可以進行中間人攻擊并且解密你的上網行為。也就是說，當黑客擁有這預共享密鑰時，您的網絡安全系數就降低了。”

PPTP的代替品

一些VPN還使用了老掉牙的的PPTP VPN協議，這在根本上就是不安全的。更好的選擇包括IPSec（有人積極維護）、L2TP/IPSec、IKEv2以及OpenVPN等等。

在上述的幾個選項中，IPSec可以設置為不需要安裝額外的軟件，但有人認為這是故意破壞和削弱NSA（美國國家安全局）的力量。OpenVPN比它還要安全，但是搭建手法更加復雜，需要第三方軟件的幫助，以及用戶進行正確且復雜的配置。

根據High-Tech Bridge最近的研究發(fā)現，SSL VPN中，有90%會使用不安全的或者過時的加密。而有77%使用了不安全的SSLv3（甚至SSLv2）協議，76%用了不可信的SSL證書（黑客可以更輕易的進行中間人攻擊，攔截VPN連接中的流量），更有一大部分用的不安全的RSA密鑰長度的簽名，以及不安全的SHA-1簽名。不管你信不信，其中還有10%存在心臟出血漏洞。

數據保留和日志記錄

一些VPN會根據本國或當地的法律，進行日志信息保存。而且許多VPN服務提供商會記錄大量信息，比如在特定的用戶來連接時，是從哪里、從什么時候連上的，甚至還有他們做了哪些連接。

甚至有些VPN服務提供商，日志量少時會記錄下重要日志，比如連接的IP地址和用戶名，以及內部路由使用的內部負載均衡和服務器維護。某些VPN服務提供商的日志記錄可能會很快銷毀，而其他的由于本地的相關法律，處理方式會有所不同。不管怎樣日志里保存的信息都是足以破除用戶匿名性的。

仔細閱讀服務條款會幫助你確定服務商日志維護保留的情況，并可以了解他們會如何使用收集到的信息。

但是其中的真?zhèn)我埠茈y驗證。有人認為進行犯罪活動時VPN也會保護用戶的身份，但人家美國政府已經與世界上數十個國家簽署了司法互助條約了。

泄露用戶隱私

即使用戶已經連上了VPN服務器，但某些發(fā)出的包可能沒有經過VPN通道進行通信，這就泄露了用戶的隱私。

Campbell表示：

“從技術角度來講，我認為最被低估的漏洞就是VPN軟件客戶端的網絡信息泄露。

嚴重的時候，它可能會危及用戶的生命，許多網絡安全和隱私社區(qū)已經對此漏洞進行了重點關注。”

一些VPN服務提供商設置了規(guī)則，在用戶出簍子之前，能阻止不安全的連接。比如你首次登入某個WIFI熱點，或者從一個熱點轉入另一個的時候。其他服務商還會允許用戶自己設置防火墻規(guī)則。

2015年6月，羅馬Sapienza大學和倫敦瑪麗女王大學的研究人員測試了14款熱門的商業(yè)VPN服務，他們發(fā)現了其中10個會泄露IP的數據，且都會遭受IPV6 DNS劫持攻擊。雖然后期研究人員并沒有全面復查他們是否修復了，但是也做了一些特別的測試，并發(fā)現情況有所改善。但是可能修復了問題后，還存在其他漏洞。

倫敦瑪麗女王大學的研究員GarethTyson博士表示：

“我給大家的建議是，如果你擔心被政府監(jiān)控，你應該全方面使用Tor。”

同樣，這可能也是一個不完美的解決方案。雖然Tor瀏覽器提供匿名、規(guī)避審查和反監(jiān)控追蹤，但是它并不像VPN一樣迅速。更糟糕的是，某些互聯網服務提供商會拒絕Tor。

營銷宣傳

許多聲稱安全的VPN服務提供商，其實缺乏可信度。某些VPN服務提供商聲明不會記錄日志，接受比特幣，浮夸地表示他們是軍用、政府、NSA級別的加密。

而且，VPN不僅僅會存在安全漏洞的問題，還可能是民族主義者的蜜罐，相反，那些事先聲明他們的威脅模型，講清楚能保護的和不能提供保護VPN服務提供商，可能更值得信任。

閱讀服務條款有時能給用戶一個清晰的認識。比如2015年，免費的以色列VPN Hola被發(fā)現將用戶帶寬出售給Luminati VPN。那些想要隱藏IP地址的用戶不知不覺就變成了VPN的出口節(jié)點和終點（暴露了自己的IP地址，混入了別人的流量）。

直到8chan留言板運營商 Fredrick Brennan說，直到Hola用戶在不知不覺中被利用來攻擊他的網站后，才更新了自己的FAQ。

如何尋找可信的VPN

看到上面所有的預防措施和VPN說明了吧，靠它們去找可信的VPN靠譜么？VPN服務提供商表示購者自慎。

某家VPN服務提供商是否使用了最新的協議，該公司的背景和聲譽如何，服務條款是否容易理解，這些VPN 到底能防護什么和未能照顧到什么，它對于信息披露的細節(jié)表達了足夠誠實嗎？

拋開這些因素，Campbell建議大家看看公司的行為，他說這可能會顯示出一個服務商是否關心客戶的隱私。這三年來，他自己也在尋找一個清晰明確的隱私政策，而不是只有樣板政策的公司。

Campbell警告道：

“在斯諾登泄密事件后，過去幾年已有了很多廉價的VPN服務提供商。這些新入行的VPN服務提供商在安全方面做的不是很好。許多情況，他們想把部分服務器的主機業(yè)務轉為帶寬業(yè)務，但是他們完全沒有安全方面的經驗。”

作為最后一個預防措施，Campbell也在尋找不通過第三方系統(tǒng)捕獲用戶敏感數據的VPN，他表示：

“任何尊重客戶隱私的VPN服務提供商，都不會去觸碰與客戶交互的系統(tǒng)，比如第三方聊天腳本、支持票務系統(tǒng)、博客評論等等。用戶通常會在請求包里提交非常敏感的數據，但是他們并不一定清楚他們的VPN服務提供商是否單獨監(jiān)控了流量系統(tǒng)。”

自己動手，豐衣足食

根據你的隱私需求，一個滿意的預解決方案可能并不存在。如果是這樣的話，懂技術的用戶可以自己搭建VPN。如果你的方案里更在意速度，你可以在DigitalOcean、Amazon主機、Vultur,、OVH或者其他可靠的主機商的VPS運行Streisand。

Streisand是在土耳其推特全面被封殺后推出的，它的目的是為了幫助用戶繞過互聯網封鎖。Streisand的Github頁面稱：

“Streisand可以在服務器上搭建L2TP/IPsec、OpenConnect、OpenSSH、OpenVPN、Shadowsocks、sslh、Stunnel，以及Tor橋，它還會為這些服務生成自定義配置指令。”

其締造者Joshua Lund告訴記者，Streisand的目標之一就是使得安裝過程盡可能簡單。他設想這個開源服務能夠成長為一個“集中式知識存儲庫”，成為一個自動化升級最佳實踐的社區(qū)。

Lund 在郵件中告訴記者：

“Streisand將幾個最困難的步驟實現了自動化，大大提升了安全性。比如Streisand配置OpenVPN時會啟用TLS認證（又名HMAC防火墻）”，生成了一個自定義組的Diffie-Hellman參數，啟用了一個更強大的多密鑰校驗機制（AES-256/SHA-256替代了原來默認的Blowfish/SHA1）。

許多用戶在手動配置時，其實會跳過這些選擇性的耗時步奏。事實上，大多數商業(yè)VPN服務商并不啟用這些OpenVPN配置。

Streisand還有個好處在于，當自動安全更新和安裝過程后，約十分鐘就能讓用戶得到一個全新的服務。相比商業(yè)VPN服務商，Streisand也不太可能成為審查、DDoS或者流媒體封鎖的目標。

像大多數VPN一樣，Streisand會不同。在2016年考察這些產品后，我們只得到一條準則：尋找VPN決定于你使用它的第一目的。

尋求對自身網絡安全進行保護的用戶，與那些想隱藏自己真實地址的用戶目的是不同的。意識到VPN的局限性和具體的弱點缺陷，至少可以幫助你做出一個更明智的復雜決定。