【零壹易悟】採取行動應對DNS風險

特區利用DNS「封網」

極權的特質除了無限侵犯個人私隱之外，就是限制民眾獲得資訊的自由，讓某些特權階級獲得額外資訊。資訊不對等讓統治者處於有利位置。近日，香港監察(Hong Kong Watch)網站懷疑被封鎖，在特區境內利用互聯網供應商連線並嘗試登入該網站均顯示「無法連線至次此網站」，即DNS在查找過程中出現錯誤。香港監察是英國註冊網站，多年來針對特區政治發展作出評論，揭露中共如何滲透特區，批評中共破壞中英聯合聲明及一國兩制，網站被封鎖並不意外。

事實上，同類事件亦不是首次發生，之前就有香港編年史(HK Chronicles)及台灣行政院核下的「促進轉型正義委員會」網站被屏蔽，只能經過VPN才可登入網站。由於封鎖香港監察網站的手法與之前雷同，坊間相信極可能是政府指使互聯網供應商封鎖網站。特區政府封鎖網站欠缺透明度，既不向市民交代理據，而且逐步增多，令人懷疑封鎖程序已進入自動化階段。只要政權對某網站不滿，按個鍵市民便失去造訪該網站的權利。黨國安全無限上綱，資訊防火牆必越建越高，進一步削弱特區作為國際金融中心的地位。

DNS與瀏覽安全尤關

事實上，DNS與瀏覽安全息息相關，所有互聯網使用者都應對DNS有基本認識。DNS全名就是網域名稱系統(Domain Name System)，是互聯網運作的骨幹。數碼世界上只有數字而沒有名字，除非你記得並直接輸入網站的IP Address，否則就需要靠DNS伺服器將網站名稱先轉換成lP，讓瀏覽器接觸這個網站，然後再進行握手(Handshake)，設定交換訊息加密準則及核實網站身份。若果你不指定DNS伺服器，實際上就是默認互聯網供應商為你設定伺服器。若互聯網供應商設定黑名單，封鎖某lP傳送資料，並拒絕名單上的網域名稱接觸DNS伺服器，瀏覽器就無法連上該網站。中共控制國內所有互聯網供應商，過濾IP傳輸，並指定DNS伺服器，又限制使用其它DNS伺服器及VPN，從而建成「中國防火牆」。其實封鎖DNS只是最簡單的操作，更惡毒的運作是劫持DNS (DNS Hijacking)，利用DNS過程監察瀏覽資料的同時，引導你去一個虛假的「釣魚網站」，試圖騙取你的個人資料，還會推送大量廣告從而賺取收入，甚至執行有毒程式，全面入侵你的電腦及手機。DNS運作幾乎無聲無息，若果互聯網供應商、DNS伺服器及網站認證系統同時被操控，整個瀏覽的完整性(Integrity)全面崩潰，你根本無法分別你登入的網站是真是假，操控者便可為所欲為。上述只是概論，真實運作情況頗為複雜，但概念不變。

三招應對DNS風險

事態發展令控制DNS風險變得迫切，筆者建議採取以下步驟。其一，若未有使用VPN，你是默認互聯網供應商預設的DNS，你可查閱供應商使用甚麼DNS伺服器，但意義不大，因為供應商可按需更改而不作預先通知。理想的做法是在瀏覽器上指定使用國際普遍認可的DNS，例如Google DNS，Open DNS，Cloudfare等，取代預設值。請按你使用的瀏覽器在網上查找設定教學，操作並不困難。其二，馬上在瀏覽器啟動強制HTTPS連線。最新版本的Firefox及Chrome 皆在私隱及安全設定中「一鍵啟動」，Safari 15或以上則已預設。跟HTTP不同之處是HTTPS是以加密方式保障通訊的完整性，通訊免受中間人偷看，同時對連絡網站的身份憑證作認證溯源，有效降低連上虛假網站的機會。當你登上任何不符要求的網站前瀏覽器便顯示警告字眼。你應同時在安全設定中查找並開啟DNS over HTTPS，可降低在DNS過程中被中間人偷看或改動DNS資料的風險。其三，安裝互聯網安全及防毒軟件。並不是所有網站支援HTTPS，尤其是信譽較低的網站，這些網站可在背後同時聯絡其它網站，彈出追蹤廣告，甚至自動執行有害程式，這時防毒軟件便發揮作用，截住這些有害的傳輸。

若有選擇，請使用可信的VPN。VPN不但預設可信的DNS伺服器，而且有較強的DNS風險管理，避免DNS過程中洩漏資料，又可繞過本地DNS封鎖，同時防止互聯網供應商蒐集你的瀏覽資料。讀者可參考之前本欄有關選用VPN的文章。◇