在討論「匿名網路」(Anonymity Network)前,這裡所界定的範圍較廣,除了真正的「匿名網路」(Anonymity Network),還包含「類」匿名網路架構。從公共政策論述與資訊開放的角度,「匿名網路」(Anonymity Network)確實提供一個「安全區域」來傳遞特殊資料與發佈敏感訊息。它成為對抗科層體制(Bureaucracy)重要的安全媒介。以大家所熟悉的「維基解密」就是一項「匿名網路」活動後的產物。「科層」二字多用在經濟學與政治學上,字義雖比較負面,卻也真實體現與解釋現在政府與企業組織結構。
當「匿名網路」用在所謂的正義一方,它揭開許多黑暗的活動,一旦揭露既驚訝又難過,事件也不會輕易被「河蟹」;反之「匿名網路」用在對立的另一面,那情節也包含了普世價值不太容忍受的犯罪、偽造、間諜、毒品藥癮、虐殺…資訊。大家可知道虛擬貨幣的比特幣(Bitcoin)也在此區域快速成長,另一個大家所熟知「海盜灣」(The Pirate Bay)也躲入「匿名網路」。作為一個分析者平心而論,從技術角度上檢視是中性的,問題出在人使用的目的產生了問題。
國際知名匿名網路
- Tor 洋蔥網路
最為人所知大概就屬於洋蔥網路(Onion),所使用的工具以Tor瀏覽器為主。不過說來諷刺Tor當初是美國海軍為了建立一個不被監聽的網路用在保護政府通訊而贊助。現在已然是美國軍事情報系統的頭痛問題。當然常聽到Deep Web或Dark Web也在洋蔥網路中存活。相關資源雖然可以從部分特殊網路找到入口,但是十分特殊的暗網,就必須要有人引導才能到達,就像希臘神話中冥王黑帝斯的船夫卡隆(Χάρων)情境。
在使用的情境上,必須透過Tor、Tails、Arm…等環境進行匿名連網,此外需要知道相關洋蔥網路資源,進階的要有相關比特幣帳戶…等相關環境技巧,才能優遊於洋蔥網路。這裡躲藏著各國情報與治安人員,甚至以「釣魚」方式引誘使用者上鉤,使其就逮。不少國家把暗網或深網使用視為違法行為。再者為了確保匿名隱私使用,也有不少著名服務開始使用Tor網絡,來保護使用者通訊安全,之前一則新聞就提到「Facebook 擁抱Tor匿名網路,展開洋蔥網路實驗」。誠如前述的端賴使用的目的而不同。 - Zeronet 類匿名網絡
稱Zeronet為「類匿名網路」。因為它必須搭配Tor的應用才能有效匿名。簡言之,透過Tor瀏覽器可以存取Zeronet相關網路資源。所以認為具備某一程度上「匿名」價值。再者因為Zeronet的進入門檻低,吸納不少使用者使用,在Zeronet進行連線後,除了可以在大眾熟知瀏覽器上運行,甚至透過類似翻牆Proxy亦可以連結到相關資源。換言之,如果沒有使用Tor的加殼保護基本上,並不是一個安全匿名的環境。
在使用情境上,Zeronet以P2P用戶為基礎,進而構建成為類似網際網路的分散式網絡。Zeronet總部位於匈牙利的布達佩斯,相較於洋蔥網路,個人認為匿名活動的效果遠不如洋蔥網路。而「海盜灣」資源亦可以在此環境中找到。因為採用P2P架構,在軌跡追蹤上也有一定的難度。舉例來說,之前有則新聞就是美國NSA的「方程式團隊」被竊資料,最後一批就是改以Zeronet進行買賣。
【Zeronet 首頁】 - I2P Anonymous Network
I2P Anonymous Network也是其中一個知名匿名網絡,它存在的宗旨是於保護通信免受由第三方(例如ISP)監視和監視。I2P常被用於政治活動,例如被壓迫的公民記者和舉報人…等。它的匿名性越來越強,I2P 在PC,嵌入式系統(如Raspberry Pi)和Android手機上都可使用。其網路資源也相當豐富。
【I2P Anonymous Network】 - FreeNet
自由網Freenet是對等網絡應用軟體。用Java編寫的跨平台軟體,透過它匿名的分享檔、瀏覽和發佈“Freesite”(只能在 Freenet 網路中訪問的網站)、在論壇中發帖,不用擔心被審查監察。Freenet 是去中心化分散式架構,很難被攻擊入侵。搭配它所提供暗網Darknet模式,使用者僅會連接到他們的好友,那麼他人很難偵測到這個用戶。這樣的架構與Tor模式類似,建立自己專屬的暗網。科層體系很難封禁它,用戶無需翻牆就可以進入。
【Freenet瀏覽器】 - 一個還在實驗室的計畫RIFFLE
麻省理工學院和洛桑聯邦理工學院的研究人員,創建了一個新的匿名網路系統RIFFLE (http://news.mit.edu/2016/stay-anonymous-online-0711),號稱修補Tor的漏洞。據說RIFFLE在對抗駭客監聽方面有著更好的安全性。不會像Tor網路在釣入惡意主機時,會出現資訊洩露的風險。透過分散原理採用混合型網路(圖6),可把每條使用者消息通過代理伺服器鏈(Chain)進行混合發送,只要在RIFFLE匿名網路系統,還有一個伺服器是安全匿名的,就能成功保護用戶的隱私,避免網路監聽。
【RIFFLE運作模式】
為何政府企業組織資安治理需要重視匿名網路
- 從技術功能分析
這類匿名網絡可以隱身於各類裝置中,即便是公務電腦都可以輕易安裝啟用。其功能都具備:(1) 匿名電子郵件服務以Web base為介面,分散且無服務器電子郵件形式。所以非主機式郵件系統,達到匿名傳遞;(2) I2P網頁資訊瀏覽匿名網站與公共互聯網,較難追蹤;(3)大量私密型部落格與論壇:其資源可還會透過P2P方式進行分享,更難追蹤到訊息的源頭;(4) 網站託管:集合大量匿名網站,在內容資源上幾乎是傳統網路很難一窺的資訊。(5)匿名聊天討論室:具備匿名即時消息和IRC。(6)文件共享:ED2K、Gnutella、BitTorrent等技術應用。(7)地下金融服務;各類虛擬貨幣交易;(8)分散文件存儲:如Tahoe-LAFS…分散文件系統。 - 從國安與企業資訊安全治理分析
如果政府或是企業組織,缺乏警覺或未善盡有效資訊安全治理,所謂機密保護,在數位化時代幾乎不復存在。這非危言聳聽,當你深入到相關環境,才知道問題十分嚴重。許多管制機制很難察覺這些細微的竊取行為,以Zeronet或是FreeNet為例,當服務連線後網頁資訊透過127.0.0.1中介連線,127.0.0.1在軌跡記錄上很容易被忽略。而善用洋蔥網絡的高手更可以不斷更換IP位址,讓原本政府或企業組織所禁止的網站,輕易就突破使用。在這茫茫軌跡大海洋中,要去找出這些細微的異常,十分不易。換個角度來看,當這些敏感資料,透過匿名網路進行傳遞,所謂機密保護將陷入無法有效處置的迷思。