本是同根生 NordVPN

最近有新聞大篇幅的報導關於 VPN 犯罪的事情，導致很多人在討論相關的問題，看了一些台灣媒體的報導，但總覺得都不在點上，才有了這篇文。

VPN 的工作原理是通過在用戶的設備和 VPN 服務器之間建立加密的隧道來保護數據的傳輸。當用戶連接到 VPN，所有的網路流量都會通過 VPN 服務器，並且會使用加密算法將數據進行加密，使其不易被竊聽或窺視。這樣，即使用戶在使用公共 Wi-Fi 等不安全的網路時，也能夠保護其個人隱私和敏感信息。

一直以來我都對其中一句「保護使用者在公共 Wi-Fi 的不安全連線」感到疑惑，公共 Wi-Fi 哪裡危險？

首先公共 Wi-Fi 定義是指，多個陌生人同時連上且為非住家 Wi-Fi，例如咖啡廳、機場…等等。那麼公共 Wi-Fi 攻擊手段有哪些？

1. MITM 中間人攻擊
2. 竊聽攻擊

而其中中間人攻擊基本上就能同時做到竊聽攻擊，基本上的手法皆為「引導使用者到錯誤的網站」，但防範方式也相當簡單，僅需要使用加密 DNS 如 DNS-over-HTTPS 即可；但同時也有使用者可能無法自行解決的方式，例如無 HTTPS 加密網站，這種網站的流量，從你的裝置發出到對方伺服器，中間經過的網路路由裝置都是沒有加密，基本上就是「裸奔」，所幸在現代瀏覽器都會提示你你正在訪問的網站是「不安全」。

那麼看到這是不是覺得，那我是不是只要都瀏覽 HTTPS 網站即可？（順帶一提全球前 100 名的網站有 97 個網站預設採用 HTTPS 連線，而所有網站皆支援 HTTPS 瀏覽。）
理想很豐滿，現實很骨感。攻擊者們或者說商人們總是能在這之中找到弱點。在當你使用陌生 Wi-Fi 時，其實對方是能夠看到你的連線對象的，你正在訪問什麼網站，瀏覽時間久了之後便能形成有用的資訊。

即使對方網站使用了 SNI 來防止洩漏連接網域，但其實在 TCP 上還是要發出 ClientHello 裡面依舊會洩露，退幾步來說使用了 ESNI，而攻擊者大可阻擋 ESNI 的或放棄 ESNI 的攻擊，所以還是不能保證安全的。

假設如果真要購買 VPN，那麼最近很紅的 Surfshark VPN 適合嗎？
要分析一個 VPN 值不值得信賴，注意這邊討論的是這間 VPN 能否信任而非其他指標。首先我們先來討論出參考點吧。

• 安全洩漏紀錄
• 軟體、伺服器是否開源
• 實績

首先討論 NordVPN 吧，為什麼是 NordVPN？因為 Surfshark 早就與 NordVPN 合併，因此想先提一下 NordVPN 來討論他許多「不良事跡」。
NordVPN 成立於 2012 年，母公司為 Nord Security，NordVPN 公司總部坐落在立陶宛，而 NordVPN 卻註冊在巴拿馬用於減稅或是稱之為逃稅（請見巴拿馬文件 2016）。順便介紹一下 NordVPN 的母公司 Tsonet 其業務圍蒐集使用者資料，並出售給第三方作為營利。

🔍 資料洩漏紀錄

在 2018 年 3 月，NordVPN 曾被入侵過，原因是 NordVPN 在數據中心的主機裡沒有將使用過後的遠端管理軟體關閉或移除（猜測為 teamviewer 或 anydesk 這類的東西）被盜取的加密金鑰可以將使用者與 NordVPN 主機之間的連線攔截後並解密其中的訊息，更過分的事情是 NordVPN 並沒有第一時間「主動揭露」這次的洩漏事件，而是被多家媒體、YouTube 頻道公開後在七個月後才做出公開承認的回應，回應影片只表示一般使用者不太可能「受影響」。

🤔 我們的看法

為一個到處撒錢宣傳的 VPN 為什麼第一時間並沒有馬上回應，而是等到被媒體報導後才接著發聲明呢？緊接著我開始翻開 NordVPN 最引以為傲的獨立審計報告，我前後查閱了一下大意上就是一份聲明 NordVPN 有按照規定走並無記錄使用者，如果用我自己理解的意思的話就是自己提供一下文件讓對方何時走一下形式流程而已，更可笑的是即使有所謂的「獨立審計」，還可以在伺服器開一個洞自己卻不知道，想必做再多報告也沒有任何意義。
接著 NordVPN 軟體開源情況，在 2023 年 NordVPN 開源了自己的客戶端本身，以及一個程式庫，這意味著我們不能自行驗證 NordVPN 是否如預期運行，是不是在審計單位離開後能夠按照自己的意願去監視使用者。

• NordVPN 審計單位報告: https://s1.nordcdn.com/nord/misc/0.58.0/vpn/brand/ISAE_3000-NordVPN_report_20dec2022.pdf
• 當時媒體報導: https://techcrunch.com/2019/10/21/nordvpn-confirms-it-was-hacked/
• YouTube 報導: https://www.youtube.com/watch?v=CBJZFTy_SAc
• NordVPN 回應: https://www.youtube.com/watch?v=-SINytnyOdM

Surfshark 成立於 2018 年，公司也是坐落在立陶宛，同樣的註冊地點也是避稅天堂在「英屬維京群島」，雖然 Surfshark 目前沒有資料洩漏的紀錄，但在時間倒轉一下，早在 2019 年就有風聲傳聞 Surfshark 就是 NordVPN 的子公司，目的是為了新增一個避稅點，其中也有另一家 VPN 公司 Windscribe 創辦人發現，Surfshark 與 NordVPN 提供的 OpenVPN 設定文件如出一轍，而隔了幾年 2022 則宣布兩家公司合併，但業務還是各自獨立。

🔍 可疑的隱私政策

不得不提到 Surfshark 也是承接 NordVPN 母公司優秀傳統，Surfshark 雖然說自己也是零日誌政策，但在 Surfshark 隱私政策裡面有一頁提到，他會「蒐集」使用者的裝置型號、廣告 ID、餅乾 ID…等等，甚至如果有使用他免費提供的 Trust DNS（一個由 Surfshark 免費提供的應用程式，用來提供免費的加密 DNS）他還會額外蒐集使用者瀏覽器、網路環境或使用裝置相關訊息，收集後的訊息作為追蹤廣告用途，如果很複雜的話我用一句話解釋就是，你用了他的服務後，他會根據你的瀏覽習慣把你的資料打包起來拿去二次銷售的概念。

🤔 我們的看法

Surfshark 雖然沒有資料洩露，但很顯然兩家都不是什麼好東西，同時還有幾點可以提出來說，都是客戶端的弱點問題，至於修復了沒我有點懶得查證。

• NordVPN 與 Surfshark OpenVPN 設定文件比較圖: https://blog.windscribe.com/content/images/2022/02/Untitled.jpg
• Shurfshark 隱私政策: https://surfshark.com/privacy

說到底這也不是什麼太難的問題，要開設一間 VPN 同時價格訂得非常低廉又同時灑一堆錢請一堆網紅廣告，這件事本身就很奇怪了，支出這麼多的情況下他憑什麼實力賺錢？很顯然的 Surfshark 跟你說了答案，更可笑的是 NordVPN 以及 Surfshark 在各自的部落格裡都有一篇文章叫做，「免費 VPN 與收費 VPN：不用錢的隱性成本」以及「便宜的 VPN 為什麼不是最好的選擇」兩篇在文末都寫著雷同的文字

如果某樣東西是免費的話，那麼您就是商品了

那既然網紅 VPN 似乎不太行那麼挑貴的買就可以囉？答案是，看你的使用情景。如果說只是想要在公司的 Wi-Fi 中或公共 Wi-Fi 保持安全，那麼其實大可在家裡自行架設一個 WireGuard VPN 即可，網路上教學百百種，總有會讓你學會的方法。那話又說回來既然在公共咖啡廳使用 VPN 上網確實是能起到保護作用的，那麼為什麼最近的新聞報導似乎指著你使用 VPN 做什麼事其實警方也能掌握？

使用 VPN 做壞事跟保護隱私要分開來看，至於為什麼有人使用 Surfshark 還是被抓呢？

節錄自公視新聞片段

進口雞蛋引起風波，臉書粉絲專頁「Lin bay 好油」多次評論農業政策，不過，日前版主林裕紘表示，因為家人遭到恐嚇，宣布臉書即日起停止更新。刑事局追查發現，涉及恐嚇的臉書帳號IP註冊位置是設於墨西哥，登記電話屬於薩爾瓦多。

💡 由此片段可以得知，刑事局是透過臉書取得對方 IP 位置的

節錄自 Yahoo 新聞片段

國民黨立委王鴻薇及「Linbay好油」版主林裕紘遭網友恐嚇。刑事局長周幼偉今天指出，2案犯嫌網際網路協定位址（IP）都在境外，已循國際司法互助管道協助，並組專案小組查辦

💡 由此片段可以得知，刑事局已經透過國際司法試圖請 Surfshark 提供使用者連線資料

那麼會有人拍桌表示，所以是 Surfshark 背刺提供使用者連線 IP 的！然而並不是的，根據 Surfshark 的金絲雀頁面（Warrant canary）顯示至今還沒有接收過任何政府指示提供資料，同時我也相信就算要走整個國際互助流程，十之八九也是幾個月的事情去了人家也早就消滅證據。

根據上述幾點，我認為真正的過程是這樣子的：

1. 犯嫌先跟他人購買機器大量註冊帳號

2. 咖啡廳用電腦登入，並執行犯案

3. 犯案後將 VPN 關閉但臉書還在執行傳輸通訊意外洩露真實 IP 位置，並非由 Surfshark 提供

👉 使用 VPN 並不能保證匿名性，若你很追求匿名性那你應該尋求的是 Tor 而不是 VPN。

就這樣~