由於最近發生的一些事件,我們(Privacy Today 組織)感到有必要寫一篇關於此事的短文。它適用於所有讀者,因此它將保持簡單 —— 技術細節可能會在稍後的文章釋出。
什麼是 DNS,為什麼它與你有關?
DNS 的意思是域名系統,你每天都會接觸到它。每當你的 Web 瀏覽器或任何其他應用程式連線到網際網路時,它就很可能會使用域名。簡單來說,域名就是你鍵入的地址:例如 duckduckgo.com[1]。你的計算機需要知道它所導向的地方,會向 DNS 解析器尋求幫助。而它將傳回類似 176.34.155.23[2] 這樣的 IP —— 這就是連線時所需要知道的公開網路地址。 此過程稱為 DNS 查詢。
這對你的隱私、安全以及你的自由都有一定的影響:
隱私
由於你要求解析器獲取域名的 IP,因此它會確切地知道你正在訪問哪些站點,並且由於“物聯網”(通常縮寫為 IoT),甚至它還知道你在家中使用的是哪個裝置。
安全
你可以相信解析器傳回的 IP 是正確的。有一些檢查措施可以確保如此,在正常情況下這一般不是問題。但這些可能措施會被破壞,這就是寫作本文的原因。如果傳回的 IP 不正確,你可能會被欺騙引向了惡意的第三方 —— 甚至你都不會註意到任何差異。在這種情況下,你的隱私會受到更大的危害,因為不僅會被跟蹤你訪問了什麼網站,甚至你訪問的內容也會被跟蹤。第三方可以準確地看到你正在檢視的內容,收集你輸入的個人資訊(例如密碼)等等。你的整個身份可以輕鬆接管。
自由
審查通常是透過 DNS 實施的。這不是最有效的方法,但它非常普遍。即使在西方國家,它也經常被公司和政府使用。他們使用與潛在攻擊者相同的方法;當你查詢 IP 地址時,他們不會傳回正確的 IP。他們可以表現得就好像某個域名不存在,或完全將訪問指向別處。
DNS 查詢的方式
由你的 ISP 提供的第三方 DNS 解析器
大多數人都在使用由其網際網路接入提供商(ISP)提供的第三方解析器。當你連線數據機時(LCTT 譯註:或寬頻路由器),這些 DNS 解析器就會被自動取出,而你可能從來沒註意過它。
你自己選擇的第三方 DNS 解析器
如果你已經知道 DNS 意味著什麼,那麼你可能會決定使用你選擇的另一個 DNS 解析器。這可能會改善這種情況,因為它使你的 ISP 更難以跟蹤你,並且你可以避免某些形式的審查。儘管追蹤和審查仍然是可能的,但這種方法並沒有被廣泛使用。
你自己(本地)的 DNS 解析器
你可以自己動手,避免使用別人的 DNS 解析器的一些危險。如果你對此感興趣,請告訴我們。
根證書
什麼是根證書?
每當你訪問以 https 開頭的網站時,你都會使用它傳送的證書與之通訊。它使你的瀏覽器能夠加密通訊並確保沒有人可以窺探。這就是為什麼每個人都被告知在登入網站時要註意 https(而不是 http)。證書本身僅用於驗證是否為某個域所生成。以及:
這就是根證書的來源。可以其視為一個更高的級別,用來確保其下的級別是正確的。它驗證傳送給你的證書是否已由證書頒發機構授權。此許可權確保建立證書的人實際上是真正的運營者。
這也被稱為信任鏈。預設情況下,你的作業系統包含一組這些根證書,以確保該信任鏈的存在。
濫用
我們現在知道:
怎麼會被濫用呢?
對你來說,這個網站看起來絕對沒問題;它在網址中有 https,如果你點選它,它會說已經透過驗證。就像你瞭解到的一樣,對嗎?不對!
它現在可以接收你要傳送給原站點的所有通訊。這會繞過想要避免被濫用而建立的檢查。你不會收到錯誤訊息,你的瀏覽器也不會發覺。
而你所有的資料都會受到損害!
結論
風險
可以採取的動作
不要安裝第三方根證書!只有非常少的例外情況才需要這樣做,並且它們都不適用於一般終端使用者。
不要被那些“廣告攔截”、“軍事級安全”或類似的東西營銷噱頭所吸引。有一些方法可以自行使用 DNS 解析器來增強你的隱私,但安裝第三方根證書永遠不會有意義。你正在將自己置身於陷阱之中。
實際看看
警告
有位友好的系統管理員提供了一個現場演示,你可以實時看到自己。這是真事。
千萬不要輸入私人資料!之後務必刪除證書和該 DNS!
如果你不知道如何操作,那就不要安裝它。雖然我們相信我們的朋友,但你不要隨便安裝隨機和未知的第三方根證書。
實際演示
連結在這裡:http://https-interception.info.tm/
延伸資訊
如果你對更多技術細節感興趣,請告訴我們。如果有足夠多感興趣的人,我們可能會寫一篇文章,但是目前最重要的部分是分享基礎知識,這樣你就可以做出明智的決定,而不會因為營銷和欺詐而陷入陷阱。請隨時提出對你很關註的其他主題。
這篇文章來自 Privacy Today 頻道[5]。Privacy Today[6] 是一個關於隱私、開源、自由哲學等所有事物的組織!
所有內容均根據 CC BY-NC-SA 4.0 獲得許可。(署名 – 非商業性使用 – 共享 4.0 國際[7])。