特區利用DNS「封網」
極權的特質除了無限侵犯個人私隱之外,就是限制民眾獲得資訊的自由,讓某些特權階級獲得額外資訊。資訊不對等讓統治者處於有利位置。近日,香港監察(Hong Kong Watch)網站懷疑被封鎖,在特區境內利用互聯網供應商連線並嘗試登入該網站均顯示「無法連線至次此網站」,即DNS在查找過程中出現錯誤。香港監察是英國註冊網站,多年來針對特區政治發展作出評論,揭露中共如何滲透特區,批評中共破壞中英聯合聲明及一國兩制,網站被封鎖並不意外。
事實上,同類事件亦不是首次發生,之前就有香港編年史(HK Chronicles)及台灣行政院核下的「促進轉型正義委員會」網站被屏蔽,只能經過VPN才可登入網站。由於封鎖香港監察網站的手法與之前雷同,坊間相信極可能是政府指使互聯網供應商封鎖網站。特區政府封鎖網站欠缺透明度,既不向市民交代理據,而且逐步增多,令人懷疑封鎖程序已進入自動化階段。只要政權對某網站不滿,按個鍵市民便失去造訪該網站的權利。黨國安全無限上綱,資訊防火牆必越建越高,進一步削弱特區作為國際金融中心的地位。
DNS與瀏覽安全尤關
事實上,DNS與瀏覽安全息息相關,所有互聯網使用者都應對DNS有基本認識。DNS全名就是網域名稱系統(Domain Name System),是互聯網運作的骨幹。數碼世界上只有數字而沒有名字,除非你記得並直接輸入網站的IP Address,否則就需要靠DNS伺服器將網站名稱先轉換成lP,讓瀏覽器接觸這個網站,然後再進行握手(Handshake),設定交換訊息加密準則及核實網站身份。若果你不指定DNS伺服器,實際上就是默認互聯網供應商為你設定伺服器。若互聯網供應商設定黑名單,封鎖某lP傳送資料,並拒絕名單上的網域名稱接觸DNS伺服器,瀏覽器就無法連上該網站。中共控制國內所有互聯網供應商,過濾IP傳輸,並指定DNS伺服器,又限制使用其它DNS伺服器及VPN,從而建成「中國防火牆」。其實封鎖DNS只是最簡單的操作,更惡毒的運作是劫持DNS (DNS Hijacking),利用DNS過程監察瀏覽資料的同時,引導你去一個虛假的「釣魚網站」,試圖騙取你的個人資料,還會推送大量廣告從而賺取收入,甚至執行有毒程式,全面入侵你的電腦及手機。DNS運作幾乎無聲無息,若果互聯網供應商、DNS伺服器及網站認證系統同時被操控,整個瀏覽的完整性(Integrity)全面崩潰,你根本無法分別你登入的網站是真是假,操控者便可為所欲為。上述只是概論,真實運作情況頗為複雜,但概念不變。
三招應對DNS風險
事態發展令控制DNS風險變得迫切,筆者建議採取以下步驟。其一,若未有使用VPN,你是默認互聯網供應商預設的DNS,你可查閱供應商使用甚麼DNS伺服器,但意義不大,因為供應商可按需更改而不作預先通知。理想的做法是在瀏覽器上指定使用國際普遍認可的DNS,例如Google DNS,Open DNS,Cloudfare等,取代預設值。請按你使用的瀏覽器在網上查找設定教學,操作並不困難。其二,馬上在瀏覽器啟動強制HTTPS連線。最新版本的Firefox及Chrome 皆在私隱及安全設定中「一鍵啟動」,Safari 15或以上則已預設。跟HTTP不同之處是HTTPS是以加密方式保障通訊的完整性,通訊免受中間人偷看,同時對連絡網站的身份憑證作認證溯源,有效降低連上虛假網站的機會。當你登上任何不符要求的網站前瀏覽器便顯示警告字眼。你應同時在安全設定中查找並開啟DNS over HTTPS,可降低在DNS過程中被中間人偷看或改動DNS資料的風險。其三,安裝互聯網安全及防毒軟件。並不是所有網站支援HTTPS,尤其是信譽較低的網站,這些網站可在背後同時聯絡其它網站,彈出追蹤廣告,甚至自動執行有害程式,這時防毒軟件便發揮作用,截住這些有害的傳輸。
若有選擇,請使用可信的VPN。VPN不但預設可信的DNS伺服器,而且有較強的DNS風險管理,避免DNS過程中洩漏資料,又可繞過本地DNS封鎖,同時防止互聯網供應商蒐集你的瀏覽資料。讀者可參考之前本欄有關選用VPN的文章。◇
------------------
🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand