從 ProtonMail 事件,再談私隱與隱身
文:薯伯伯
最近 ProtonMail 涉及一宗引起極廣泛關注及討論的資訊安全事件,事緣一名法國社運人士被法國警方調查,法國警方透過歐洲刑警與瑞士警方交涉,瑞士警方向瑞士法院申請命令,要求 ProtonMail 監察涉事法國社運人士的 IP 地址,ProtonMail 如令執行。在法國警方提交給當地法庭的文件顯示,顯示了涉事者的 IP 地址。
這件事引起牽然大波的原因,是因為 ProtonMail 一直標榜安全及尊重私隱,而大多數用戶是真誠地相信該公司維持「零記錄政策」(no log policy),但 ProtonMail 的公司事後指出,在一般的情況下不會記錄用戶 IP,只有在收到瑞士法院的要求,才會開始記錄用戶的 IP 地址。
這件事引起不少香港人的關注及擔憂,我認為是好事,這顯示不少香港人早已脫離資安無明無知之心。正是因為了解資安對自己的重要,才會因資安事件而心生恐懼,從而作出相應的行動及策略,這是非常重大的進步。
我之前一直沒有評論 ProtonMail 事件,並非沒有看法,而是不願倉猝下結論,寧願多花一點時間去了解情況,以及等待各方回應,再給讀者建議。
我先說一下我的結論,然後再討論當中的細節及分析理據。
一,我的結論
我依然認為 Proton Technologies 是可靠的公司,而我仍然使用這家公司的 ProtonMail 及 ProtonVPN 作為自己最主要的電郵及 VPN 服務供應商。
(注:我以前多次介紹 ProtonMail 及 ProtonMail,每一次介紹都是用普通的連結,而非介紹人 referral 連結。讀者看完我的文章而選用該兩個服務,對我完全沒有利益,而我使用 ProtonMail 及 ProtonVPN 時,也是自己付費,沒有任何形式的贊助。)
二,不同場景
這宗案件最太的爭議,是當 Proton Technologies 公司收到瑞士法院的命令時,同意開始記錄客戶的 IP 地址。我們用五個不同的情況去逐一分析,當位於瑞士的 Proton 收到不同司法管轄區發出的法庭命令後,會如何應對。
Proton 公司主要有兩個服務,一是電郵,另一個是 VPN。目前涉事的是電郵的服務,但我也會討論一下他們對 VPN 的可能處理手法。
Case 1:在完全沒有法庭命令的情況下,ProtonMail 及 ProtonVPN 均不會記錄客戶的 IP 地址。但要留意這是不為,而非不能,也就是說在一般情況下,Proton 並不會記錄 ProtonMail 及 ProtonVPN 用戶的 IP 地址,但他們是有能力這樣做,只是在沒有命令的情況下,他們不會這樣做。
Case 2:假如瑞士警方拿到日內瓦州法院或瑞士聯邦最高法院的法院命令,由於 Proton 的註冊地是瑞士,法院的命令足以迫使 Proton 開始記錄 ProtonMail 的用戶 IP 地址。
Case 3:承上,值得留意的是,即使有日內瓦州法院或瑞士聯邦最高法院的法院命令,但該規定不能針對 VPN 供應商,也就是瑞士註冊的 VPN 供應商,在任何情況下也沒有法律責任去記錄客戶的 IP,而 Proton 對其 VPN 用戶,是一直保護他們原來的 IP,目前沒有向第三方交出過相關數據。這次上了新聞的人,是使用 ProtonMail 電郵用家戶,而該用戶沒有使用 VPN 連接郵件服務。
Case 4:當美國警方透過美國法院發出命令,要求位於瑞士的公司交出客戶資料,就必須要得到日內瓦州法院或瑞士聯邦最高法院的批準。而 Proton 不能單方面與美國的 FISA 法庭(外國情報監視法庭)合作,否則即屬違反瑞士法律。
Case 5:即使有瑞士法院的命令,ProtonMail 也只能記錄客戶的 IP 地址,而不能突破其 AES-256 加密,亦不能查看到客戶的電郵的主體文本內容,但要注意的是,電郵的 metadata,包括發送人的電郵地址、電郵主題,則不屬加密的部份。
Case 6:歐盟區內的法院向瑞士法院提出申請,獲批的機會較大。
Case 7:極權國家向瑞士法院提出批出命令,獲批的機會較小。
三,討論
當 ProtonMail 配合瑞士法院命令,記錄並交出法國社運人士的 IP 地址,有不少人來信,想我建議一些「更為安全」的電郵服務。但任何公司均會受其註冊地的司法管轄,例如另一間著名的安全郵箱服務供應商是 Tutanota,註冊地是德國,同樣會受德國法律規管。
承接 Case 3 的情況,如果用戶在連接 ProtonMail 服務時,有同時使用 ProtonVPN,即使瑞士法院同時向兩間公司發出命令要求記錄客戶 IP,但由於相關規定只適用於 Mail,而不能套用在 VPN 上,所以 Mail 要記錄 IP,但 VPN 則不會記錄,最終也就是無法得知使用者的 IP。
ProtonMail 本身亦有提供 TOR 版本的 ProtonMail(https://protonmail.com/tor),那就是連技術上也難以記錄用戶 IP 地址。
四,私隱與匿名
我發覺不少用戶混淆了私隱與匿名的概念,兩者看似相關,在實際執行時卻是兩個完全不同的事物。坊間經常有人把「保護私隱」及「隱藏身份」混為一談,這是錯誤的說法,也是危險的說法。要做到完全不留任何個人痕迹的「隱身」,不只牽涉極度複雜的操作,加上淵博的學識,還有非常考驗耐力及堅忍力。
舉個例子,有人頻密更換電話卡,以為使用「太空卡」就能隱藏自己身份,但卻把多張「太空卡」輪流放入同一部手提電話使用,當中也包括與自己有關連的電話卡,那麼其他電話卡就不算是匿名了。又或者用家本身很小心,把不同的太空卡放在不同手機,卻經常把太空機與自己常用的手機同時打開,出雙入對,那也做不到真正的匿名。
我曾經聽過有人跟我說買了「太空卡」,追問之下才知對方居然認為使用「沒有個人登記的八達通購買自由鳥」就當是「太空卡」,我就覺得非常不安。
我撰寫的資安文章,一直強調的是私隱,而非隱身。隱身是極為複雜的操作,對於大部份讀者而言,必須覺察自己不能輕易隱身的技術現實。有關隱身的討論,請參看:〈零基資安訓練營(九):如果要完全隱藏網上身份〉
https://www.patreon.com/posts/38185283
五,防患
使用網上服務時,必須清楚明瞭自己的需要以及其服務的限制。以 ProtonMail 的為例,分三種情況去講:
A. 電郵內容文本:如果電郵用家只是想把電郵文本的內容加密,使用 ProtonMail 很合適。
B. 隱藏 IP:如果電郵用家想隱藏自己的 IP,每次連接 ProtonMail 時就應該使用 ProtonVPN,又或是使用 TOR 的登入點,但可能還是有其他蛛絲馬跡能查看到當時人的真實身份。
C. 電郵標題:這項資料未能加密,敏感資料不應寫在電郵標題。
六,尾聲
如果是要防止電郵內容被偷窺,收件及寄件雙方均使用 ProtonMail 是很合適的做法。以涉事法國社運人士的情況來看,ProtonMail 提供了其 IP 地址,卻沒有(亦不能)提交其加密的電郵文本內容。
收尾再重申我的結論:我目前仍然認為 ProtonMail 是安全的電郵供應商,而我的電郵地址上就是自己的名字,我清楚知道自己要求的是電郵文本內容加密,而非隱藏自己的身份。
如果要保持高度匿名,那就要使用 TOR、VPN,上網地點也要非常講究,必須經常轉換上網地點,像斯諾登在發佈 NSA 大規模監控公民的消息時,就是開車去搜尋 Wi-Fi 訊號,每次上網十多分鐘就要停下來。
ProtonMail 事件引起多人關注,而從不少讀者及朋友的反應來看,不只是關注,更引起不安。我很樂見這種不安,我相信這種不安其實是好事,這代表大眾更為注重資訊保安,早已脫離盲目相信安全無事的時代。不過在注意安全的同時,更要明白自己想保護的是甚麼類型的數據。遠離無知,保持警惕,但不過度恐慌,才能更掌握人民的科技優勢。
🔑 【超務實長清單整理:Do not make it easy!(2021年9月更新)】 https://www.patreon.com/posts/55578887
▶️ 請訂閱 Patreon 頻道,支持不受干預的獨立創作及評論 | www.patreon.com/pazu
同時也有9部Youtube影片,追蹤數超過2萬的網紅Benson Wei,也在其Youtube影片中提到,目前想要有一台同時支援Wi-Fi6跟兩個10Gbe的網路路由器,就非它莫屬了! 影片中提到的PM更詳細解說影片在此:https://youtu.be/VTFSqMivPg8 直接買:https://store.qnap.com.tw/qhora-301w.html 官網介紹:https://w...
vpn適用 在 凱子凱の日本旅行大補帖 Facebook 的最讚貼文
昨天欣賞了兩場精彩的羽球賽事,大家今天應該都還繼續沉浸在「麟洋配」奧運奪金的喜悅當中吧!今天新聞也持續介紹這個「聖筊組合」的背後故事,在疫情當中實在是給我們很大的正面力量呢!也重新凝聚了國人的心,很棒!
今晚繼續為小戴的金牌戰加油!
--
✅分享一日本NHK這個奧運特設網站
https://sports.nhk.or.jp/olympic/schedules/
主要是提供給在日生活的朋友
因為日本電視可能主要轉播日本代表選手的比賽為主
可以透過這個網站欣賞到其它國家的直播賽事
如果想幫台灣選手加油,但日本電視並沒有轉播時
或許可以參考這個網站,
一起來幫台灣以及自己喜歡的選手加油吧!
但此網站僅限日本IP使用
因此是比較適用住在海外的朋友
畢竟國內的體育台多半是有轉播台灣選手的奧運賽事了!
又或者有哪些賽事想欣賞的話
也可以透過VPN的方式先轉到日本IP
就可以看到這個NHK特設網站的直播(像是棒球賽事之類的....)
網站操作步驟:(要用日本IP)
1.日程・結果
2.競技別→選擇賽事(找「競技中」的比賽)
3.有直播的賽事會顯示「ライブを見る」
--
✅VPN教學
https://ksk.tw/blog/post/333670077
vpn適用 在 鷹式家庭 Facebook 的最佳貼文
從六月初開始我們的IG就莫名其妙被Action blocked,不能夠按讚、留言、追蹤,甚至連貼文都不行,所以大家也很久沒看到我們貼文。上次貼了一張在熙邊吃邊睡的影片,沒有內文,但號召大家呼籲 @instagram 解開我們的Action blocked,竟然有超過一百個留言!感謝大家對在恩在熙的愛❤️❤️❤️
完整部落格文章內容:
https://projecteaglet.com/ig-action-blocked/
#Actionblock 是很多人都有遇到的問題,自從IG在2019年6月改變他們的演算法後,就一大堆人無故被封鎖行動,我們就來分享一下可能的原因、解決方法,以及我們本身的解決方法(是網路上都沒提過的獨家方法!)
可能的原因:
1、動作超過IG設定的上限
也就是你在短時間內大量的按讚、留言、丟訊息、追蹤、退追蹤,被認為是在Spam(垃圾訊息)或是Bot(機器人)。特別是當你的IG太年輕,只有1-3個月,更有可能被IG認為是假帳號(或者是你真的在留垃圾訊息)。
另一方面,可能是你平常很少用IG,突然心血來潮使用超過IG設定的上限,也可能會有這種情形。
2、你「真的」違反了IG社群守則
例如使用了別人的內容沒有告知對方,侵犯了別人的版權而被檢舉,或者是IG自己認定你侵犯版權。也有可能是你的內容含有性裸露、仇恨言論或是假消息。
3、使用第三方APP
像是各種按讚追蹤、反追蹤增粉外掛、查看誰追蹤、退追蹤你等等,如果過度使用可能就會導致Action Block。
4、在不同地方和設備上登入IG
如果你在短時間之內在不同地方和不同設備,登入自己的IG好幾次又不確認那個是你,IG可能就會認為你被盜帳號而將你Action Block。
解決的方法:
(我們都嘗試過了,沒有解開,但你可以試試看,可能對你有用)
1、轉換IP位置
最簡單的方法就是將網路Wifi轉到手機流量,可能是IG封鎖了該IP位置。再不行就下載VPN App試試看。
2、登出並重新安裝IG
可能是因為cookies或IG本身的資料錯誤導致你被Action Block,登出刪掉再重新安裝,有機會解開Action Block。或者是從其他設備登入IG,尤其是從電腦網路,也有機會解決問題。
3、回報問題
Action Block跳出的訊息有幾種,一種是有日期告知你被Blocked到何時;一種是沒有日期,但有個「回報問題」的選項;最慘的是什麼都沒有寫的,只有一個OK可以按。
如果有回報問題就直接點選,如果沒有的話也別擔心,到設定>使用說明>回報問題,裡面詳細敘述你的問題,說明你沒有違反社群守則(如果有也寫得好像沒有一樣)。但因為IG常收到太大量的問題回報,這個方法只適用於你真的被誤殺,並且要經過個幾天甚至幾個禮拜才會解決。
4、確認登入並設定雙重驗證
到設定>帳號安全>登入活動,確認登入的人是你。再來到雙重驗證中設定Authenticator或是簡訊雙重驗證,向IG證明你是真人。
5、連結其他社交媒體
尤其是連結FB帳號、Twitter,讓IG知道你是真有其人而非機器人假帳號。
6、呼朋引伴標註 @Instagram
這招是從Youtuber 阿滴學來的,但他並不是被 Action Block,而是帳號被停用。任何正式的管道告知IG都沒有用,於是他就號召粉絲標註IG和留言給IG官方帳號,然後問題就解決了。但前提是你的影響力要有這麼大才行(但至少我們一百個留言看起來影響力還不夠)。
7、刪掉某些貼文的Hashtag
可能因為你的某些Hashtag是被IG禁用的標籤,例如前面提到的,性裸露、仇恨言論、嚴重假消息等等的標籤。將自己一些比較有爭議的貼文中的標籤刪掉,也是可以嘗試的方法。
8、最終方法:停用IG
登出刪除IG後,停用IG至少24~72小時,讓你的IG冷卻下來,網路上有些人甚至到一個禮拜、一個月才解除。甚至有些人持續使用被Action Blocked了半年以上都沒有解除(這麼堅持不換帳號也是蠻佩服的)。
9、獨家方法:改掉個人主頁連結
這個方法是沒有在網路上任何地方出現過的方法,但我們換掉IG個人主頁的連結後,Action Blocked馬上解除了!一開始是想嘗試換主頁描述,看有沒有機會讓IG演算法認為我們是真人(就真的是真人啊!)。儲存變更時卻跳出了訊息說發生問題,然後原本Linktree的連結就消失了!
之後把Linktree的連結加回去時,IG就不給儲存,於是就改掉連結去按讚看看Action Block是不是解除了。結果就可以按讚留言,一切都神奇地恢復正常了!!
並非IG封鎖了所有Linktree的連結,因為爸爸的IG帳號也有Linktree,但他的帳號沒事,可是媽媽和在恩在熙使用同一個Linktree帳號,兩個帳號都被Action Block,改掉連結後兩個帳號馬上就被解除了。
然而我們的Linktree帳號也沒有什麼特別的,就是我們的部落格文章,還有一些團購連結而已。可能真的是被IG誤殺或者是有人不小心按到檢舉(我相信應該沒有人會那麼無聊檢舉這個連結吧)。後面直接改成部落格的連結,Action Block就馬上解除,看來也不是因為部落格的關係。
vpn適用 在 Benson Wei Youtube 的最佳解答
目前想要有一台同時支援Wi-Fi6跟兩個10Gbe的網路路由器,就非它莫屬了!
影片中提到的PM更詳細解說影片在此:https://youtu.be/VTFSqMivPg8
直接買:https://store.qnap.com.tw/qhora-301w.html
官網介紹:https://www.qnap.com/zh-tw/product/qhora-301w
歡迎訂閱我的頻道喔!
#10Gbe
#SD-WEN
#喂喂先生
vpn適用 在 包一包 Youtube 的最讚貼文
台服目前不能用BS模擬器玩!請改用夜神模擬器刷首抽,教學影片:
https://youtu.be/2Ktz0JLig0w
BlueStacks模擬器下載:https://bstk.me/srcass2k0
日服實機遊玩3小時,使用四星梅麗莎、愛麗絲及3星榭羅開局,一路戰到競技場
https://youtu.be/Ogi-FW61nuc?t=45
影片內容快轉連結/目錄(點左側時間數字就會快轉到該片段):
00:00 無意義片頭
===免重新下載資料的刷首抽步驟===
00:15 Root權限打勾(一定要勾!)
00:23 啟動文字編輯器,刪除遊戲記錄
00:40 啟動遊戲,重新刷首抽
01:07 下載文字編輯器
===多開+同步操作,效率化刷首抽===
01:14 基本設定及複製多開引擎
02:03 啟動同步操作
===完整進行一輪刷首抽全程解說===
02:51 啟動Japan VPN(日服鎖國)
04:37 進入遊戲後,關閉新手教學
05:05 免費十連抽&按鍵連點功能設置
06:52 領取新手鑽石及4星角色轉蛋券
07:01 使用4星角色轉蛋券及新手鑽石
10:35 將抽來的角色編成隊伍
11:08 製作及使用「引繼碼」
vpn適用 在 Kiki & May - 隨意吃樂部 Youtube 的精選貼文
?申請 Surfshark VPN:https://surfshark.deals/KikiMay
?優惠碼:kikimay
多謝 Surfshark 贊助今次段片,今時今日,不使用VPN上網就如沒有穿衣服逛街一樣!若打算申請,記得用埋上面條link及輪入優惠碼,即享15折優惠,而我哋觀眾額外多3個月免費,每個月平均只係美金1.77!
[ 今集餐廳 ]
*食評乃根據我們的個人真實的經驗、觀感及口味得出,以當日出品為準。此外,食物價格及營業時間或會出現變動,敬請留意*
*疫情持續,大家切記戴口罩、勤洗手,防疫意識不能鬆懈*
Cafe Marco 馬哥孛羅咖啡廳
地址:尖沙咀廣東道3號海港城馬哥孛羅香港酒店1樓
午餐自助餐時段:星期一至日 12:00 - 14:30
(原價)星期一至五: 成人 $338/長者 $298 /小童$218;星期六、日及公眾假期: 成人 $398 /長者 $348 / 小童$248
*另收加一服務費;價目不適用於指定日子
*由2020年7月1日至2020年7月31日,經Openrice惠顧自助午餐、自助晚餐或週末下午茶自助餐可享7折優惠。
[ Kiki & May航空✈️上線啦!]
►成為會員即享獨家獎賞:
https://www.youtube.com/channel/UC3oNUKvGDOdTtyIRtR6HEiA/join
【更多 Kiki & May 的日常】
►訂閱我們:https://bit.ly/2Gx3g23
►加入會員:https://www.youtube.com/channel/UC3oN...
►Facebook: https://www.facebook.com/kikiandmay.hk/
►IG: https://www.instagram.com/foodki.may/
#SurfSharkVPN #多謝訂閱 #好人一生平安
vpn適用 在 【An】簡單易懂!!免費VPN推薦使用教學|※適用PC - YouTube 的推薦與評價
... <看更多>