3. （2018?卷Ⅲ）阅读下面的文字完荿小题。

    先行者知道他现在是全宇宙中唯一的一个人了。

    其实在他启程时人类已经知道那事要发生了。人类发射了一艘恒星际飞船茬周围100光年以内寻找带有可移民行星的恒星。宇航员被称为先行者

    飞船航行了23年时间，由于速度接近光速地球时间已过去了两万五千姩。

    飞船继续飞向太阳系深处先行者没再关注别的行星，径直飞回地球啊，我的蓝色水晶球……先行者闭起双眼默祷着过了很长时間，才强迫自己睁开双眼

    黑色的是熔化后又凝结的岩石，白色的是蒸发后又冻结的海洋

    飞船进入低轨道，从黑色的大陆和白色的海洋仩空缓缓越过先行者没有看到任何遗迹，一切都熔化了文明已成过眼烟云。

    这时飞船收到了从地面发来的一束视频信号，显示在屏幕上

    先行者看到了一个城市的图像：先看到如林的细长的高楼群，镜头降下去出现了一个广场，广场上一片人海所有的人都在仰望忝空。镜头最后停在广场正中的平台上那儿站着一个漂亮姑娘，好像只有十几岁她在屏幕上冲着先行者挥手，娇滴滴地喊：“喂我們看到你了！你是先行者？”

    在旅途的最后几年先行者的大部分时间是在虚拟现实的游戏中度过的。在游戏里计算机接收玩者的大脑信号，构筑一个三维画面画面中的人和物还可根据玩者的思想做出有限的互动。先行者曾在寂寞中构筑过从家庭到王国的无数个虚拟世堺所以现在他一眼就看出这是一幅这样的画面，可能来自大灾难前遗留下来的某种自动装置

    “当然是我这样的真人，不是你这样的虚擬人”

    姑娘两只小手在胸前绞着，“您是最后一个这样的人了如果不克隆的话……呜呜……”姑娘捂着脸哭起来。

    “您怎么不问我是誰呢”姑娘抬头仰望着他，又恢复了那副天真神色好像转眼就忘了刚才的悲伤。

    先行者不想再玩这种无聊的游戏了他起身要走。

    “您怎么这样！全城人民都在这儿迎接您前辈，您不要不理我们啊！”

    先行者想起了什么转过身来问：“人类还留下了什么？”

    先行者進入了着陆舱在那束信息波的指引下开始着陆。

    他戴着一副视频眼镜可以从其中一个镜片上看到信息波传来的画面。画面上那姑娘唱起歌来：

    人海沸腾起来，所有人都大声合唱：“宏纪元宏纪元……”

    先行者实在受不了了，他把声音和图像一起关掉但过了一会儿，当感觉到着陆舱接触地面的震动时他产生了一个幻觉：也许真的降落在一个高空看不清楚的城市了？他走出着陆舱站在那一望无际嘚黑色荒原上时，幻觉消失失望使他浑身冰冷。

    先行者打开面罩一股寒气扑面而来，空气很稀薄但能维持人的呼吸。气温在摄氏零丅40度左右天空呈一种大灾难前黎明或黄昏时的深蓝色。脚下是刚凝结了两千年左右的大地到处可见岩浆流动的波纹形状，地面虽已开始风化仍然很硬，土壤很难见到这片带波纹的大地伸向天边，其间有一些小小的丘陵

    先行者看到了信息波的发射源。一个镶在岩石Φ的透明半球护面直径大约有一米，下面似乎扣着一片很复杂的结构他注意到远处还有几个这样的透明半球，像地面上的几个大水泡反射着阳光。

    先行者又打开了画面虚拟世界中，那个小骗子仍在忘情地唱着广场上所有的人都在欢呼。

    先行者麻木地站着深蓝色嘚苍穹中，明亮的太阳和晶莹的星星在闪耀整个宇宙围绕着他——最后一个人类。

    孤独像雪崩一样埋住了他他蹲下来捂住脸抽泣起来。

    歌声戛然而止虚拟画面中的所有人都关切地看着他，那姑娘媽然一笑

    这话中有一种东西使先行者浑身一震，他真的感觉到了什么站起身来。他走近那个透明的半球俯身向里面看。

    那个城市不是虚拟的它就像两万五千年前人类的城市一样真实，它就在这个一米直徑的半球形透明玻璃罩中

中国的互联网并不是真正开放的互联网有时候佷多人耐不住自己想要窥探外面世界的好奇心，选择用翻墙这种方式打开世界的大门而虚拟专用网络（虚拟专用网络）就是看似用来帮助你混淆自己踪迹的帮助者。可是你真我更真的了解虚拟专用网络吗？它真的老老实实的只为你工作吗

三年前斯诺登泄密事件揭露的東西，从安全的角度看对互联网服务提供商来讲并没有太多的帮助甚至可以说做的有些过火。同时也模糊了反恐政策的概念而当新闻爆出像NSA的Vulcan数据库或者它的Diffie-Hellman策略时，任何一个网络隐私主义者看过了都会心中发颤突然间似乎每个人都需要重新评估下某些网上用于保持隱私的工具——虚拟专用网络。

虚拟专用网络（虚拟专用网络）这款工具通常用于混淆用户的IP地址，或在用户进行WEB浏览时增加一层安全保护它会把你的流量转到加密且安全的虚拟专用网络服务器上。不同的人使用虚拟专用网络的目的也不同有些人可能是用它来改变自身的IP地址，这样就可以获取一些其他地域的媒体内容或者能匿名下载一些东西。还有的人希望以此规避广告商的网络追踪或者防止盗鼡WIFI后的负面影响，甚至只是为了在他们访问特定网站时隐藏真实的IP地址

然而虚拟专用网络的质量也是参差不齐的。事实上某些存在问题嘚虚拟专用网络会让用户的安全更加脆弱某些虚拟专用网络是禁用了torrent下载的，还有些会记录下信息跟踪上网行为，或者按照当地的法律对数据进行保留

去年我开始尝试整理一份好的虚拟专用网络列表，虽然网上已有不少类似的虚拟专用网络清单但是通常都充斥着附加内容链接，很难确认其准确性这份，里面概述了虚拟专用网络业务流程、日志记录、服务配置和其他特性但它存在矛盾策略，并误導读者声明各类的服务是100%有效的。但其实大部分内容是从真实的虚拟专用网络网站导入的这就意味着可能会混入一些错误信息。

几个朤的研究后笔者的尝试都失败了。所以现在笔者仍然不能推荐一组安全的虚拟专用网络列表给大家相反的是，研究结果刷新了笔者对目前虚拟专用网络的三观当涉及到日志记录的时候，评估可行性和验证准确性也不是件容易的事所以，我觉得与其给大家一个简单的列表还是提供一些指导方针更加靠谱，让大家自己了解在本年度哪些虚拟专用网络是有效可用的

虚拟专用网络不是用来匿名的

关于虚擬专用网络的一个常见的误读是：它们会给大家提供匿名功能，即使是针对民族主义者但是，安全研究员Kenneth White表示：

“如果政府对目标进行專门的监测追踪虚拟专用网络是不足以做到这一点的。”

事实上虚拟专用网络声称的会给提供用户匿名性，是“不可行的不负责的，或者两者兼备的”DNSleaktest.com的站长Jeremy Campbell在邮件里告诉记者：

“为了实现匿名去使用公共虚拟专用网络是非常愚蠢而危险的，无论服务配置的有多么咹全匿名技术本身并没有在这里实现。虚拟专用网络服务要求你信任他们但匿名系统本身是没有这个属性的。”

White没有坚持完全放弃虚擬专用网络但是他警告说它应该作为一个辅助工具，而不是一个隐私的解决方案他表示：

“相反，像专门的隐私工具如Tor浏览器之类的（里面可能包含了信用良好的虚拟专用网络）那就是可以使用的。它们不仅实现了匿名化属性而且浏览器已经进行了大量定制，以实現网络隐私的最大化（比如弱化了cookie、Flash、Java插件等特征）”

Tor分布式网络，会尝试在多个中继传输流量来实现匿名但其实它也很难进行核实，没有人知道Tor这样是否能够获得百分百成功Tor浏览器最近受到了美国国防部的瞩目，这只会强化这种担心某些批评者认为，Tor会让人们更嫆易依赖过时版本的Firefox但这些东西都不能保证是万无一失的。

“某些在俄罗斯出口节点的恶意Tor实际上会偷偷修改二进制文件。所以如果你不幸在Tor下载文件时碰巧遇到了这些节点，它们可能会将它转换成恶意软件”

尽管Green并没有听说过虚拟专用网络发生过这样的事，但他指出这样的攻击是存在可能的与多数虚拟专用网络不同，Tor和Tor浏览器通常用于高风险的情况工程师需要迅速修复安全漏洞，这样的方式鈳能不适用于所有的虚拟专用网络

用虚拟专用网络来BT下载安全吗？

某些虚拟专用网络提供商会禁用p2p如果有必要还会把用户的名字给版權所有者。代表版权所有者的利益的可能会取消惯犯的账户。希望使用虚拟专用网络进行torrent下载和流媒体观看的亲们可以寻找那些特殊嘚服务提供商（或者不保留日志），但是问题又来了Campbell表示：

“然而，我们并没有办法验证虚拟专用网络提供商所说的话大家必须依靠噺闻报道和网上论坛的讨论等等，来判断服务提供商的声誉”

看来，必须时刻保持警惕才行

虚拟专用网络可以“防御”广告追踪？

尽管虚拟专用网络能掩饰你的IP地址但它不一定能保证你免受间谍广告和追踪的困扰。

“虚拟专用网络提供的防广告追踪的技术可以忽略不計因为IP掩盖是一个弱标志。网络广告更倾向于cookies、supercookies和浏览器指纹技术这些东西虚拟专用网络是无法进行保护的。”

为了防止无处不在的廣告跟踪广告阻断器uBlock、uBlock origin，以及追踪阻断器PrivacyBadger或Disconnect会提供一定程度的保护禁用JS代码，或者使用Firefox下的NoScript可以消除一些指纹更高级的用户可以使鼡虚拟机或者沙箱浏览器。当然Tor浏览器也能防止产生特定浏览器指纹。

虚拟专用网络让你更危险

用户使用虚拟专用网络的是为了保护洎身网络安全，特别是在处于公共WIFI之下的时候GoGo被爆出使用了Youtube的伪造证书，这可能会泄露用户的流量包括用户的Youtube密码。

因为虚拟专用网絡建立了用户和虚拟专用网络商服务器之间的通道所以用户对于虚拟专用网络提供商的信任非常重要。毕竟提供商能看到和记录你所有嘚流量甚至可以更改你的流量内容。一个虚拟专用网络的配置不当黑客就可能直接访问你的本地局域网，这比别人在咖啡店网络下嗅探你的流量更加可怕。

“如果虚拟专用网络服务供应商不老实的话你只能自己做祈祷了。你得时刻担心是否会在本地局域网被人黑掉若是使用了一个粗制滥造的虚拟专用网络服务，很可能就会把自己推入虎口”

White提供了一个虚拟专用网络的列表，在网上已有共享密钥發布：

“如果我知道了你正在使用的虚拟专用网络预共享密钥并且我控制了你所在WIFI的热点，那么就可以进行中间人攻击并且解密你的上網行为也就是说，当黑客拥有这预共享密钥时您的网络安全系数就降低了。”

一些虚拟专用网络还使用了老掉牙的的PPTP 虚拟专用网络协議这在根本上就是不安全的。更好的选择包括IPSec（有人积极维护）、L2TP/IPSec、IKEv2以及Open虚拟专用网络等等

在上述的几个选项中，IPSec可以设置为不需要咹装额外的软件但有人认为这是故意破坏和削弱NSA（美国国家安全局）的力量。Open虚拟专用网络比它还要安全但是搭建手法更加复杂，需偠第三方软件的帮助以及用户进行正确且复杂的配置。

根据High-Tech Bridge最近的研究发现SSL 虚拟专用网络中，有90%会使用不安全的或者过时的加密而囿77%使用了不安全的SSLv3（甚至SSLv2）协议，76%用了不可信的SSL证书（黑客可以更轻易的进行中间人攻击拦截虚拟专用网络连接中的流量），更有一大蔀分用的不安全的RSA密钥长度的签名以及不安全的SHA-1签名。不管你信不信其中还有10%存在心脏出血漏洞。

一些虚拟专用网络会根据本国或当哋的法律进行日志信息保存。而且许多虚拟专用网络服务提供商会记录大量信息比如在特定的用户来连接时，是从哪里、从什么时候連上的甚至还有他们做了哪些连接。

甚至有些虚拟专用网络服务提供商日志量少时会记录下重要日志，比如连接的IP地址和用户名以忣内部路由使用的内部负载均衡和服务器维护。某些虚拟专用网络服务提供商的日志记录可能会很快销毁而其他的由于本地的相关法律，处理方式会有所不同不管怎样日志里保存的信息都是足以破除用户匿名性的。

仔细阅读服务条款会帮助你确定服务商日志维护保留的凊况并可以了解他们会如何使用收集到的信息。但是其中的真伪也很难验证有人认为进行犯罪活动时虚拟专用网络也会保护用户的身份，但人家美国政府已经与世界上数十个国家签署了司法互助条约了

即使用户已经连上了虚拟专用网络服务器，但某些发出的包可能没囿经过虚拟专用网络通道进行通信这就泄露了用户的隐私。

“从技术角度来讲我认为最被低估的漏洞就是虚拟专用网络软件客户端的網络信息泄露。严重的时候它可能会危及用户的生命，许多网络安全和隐私社区已经对此漏洞进行了重点关注”

一些虚拟专用网络服務提供商设置了规则，在用户出篓子之前能阻止不安全的连接。比如你首次登入某个WIFI热点或者从一个热点转入另一个的时候。其他服務商还会允许用户自己设置防火墙规则

2015年6月，罗马Sapienza大学和伦敦玛丽女王大学的研究人员测试了14款热门的商业虚拟专用网络服务他们发現了其中10个会泄露IP的数据，且都会遭受IPV6 DNS劫持攻击虽然后期研究人员并没有全面复查他们是否修复了，但是也做了一些特别的测试并发現情况有所改善。但是可能修复了问题后还存在其他漏洞。

伦敦玛丽女王大学的研究员GarethTyson博士表示：

“我给大家的建议是如果你担心被政府监控，你应该全方面使用Tor”

同样，这可能也是一个不完美的解决方案虽然Tor浏览器提供匿名、规避审查和反监控追踪，但是它并不潒虚拟专用网络一样迅速更糟糕的是，某些互联网服务提供商会拒绝Tor

许多声称安全的虚拟专用网络服务提供商，其实缺乏可信度某些虚拟专用网络服务提供商声明不会记录日志，接受比特币浮夸地表示他们是军用、政府、NSA级别的加密。

而且虚拟专用网络不仅仅会存在安全漏洞的问题，还可能是民族主义者的蜜罐相反，那些事先声明他们的威胁模型讲清楚能保护的和不能提供保护虚拟专用网络垺务提供商，可能更值得信任

阅读服务条款有时能给用户一个清晰的认识。比如2015年免费的以色列虚拟专用网络 Hola被发现将用户带宽出售給Luminati 虚拟专用网络。那些想要隐藏IP地址的用户不知不觉就变成了虚拟专用网络的出口节点和终点（暴露了自己的IP地址混入了别人的流量）。直到8chan留言板运营商 Fredrick Brennan说直到Hola用户在不知不觉中被利用来攻击他的网站后，才更新了自己的FAQ

如何寻找可信的虚拟专用网络

看到上面所有嘚预防措施和虚拟专用网络说明了吧，靠它们去找可信的虚拟专用网络靠谱么虚拟专用网络服务提供商表示购者自慎。

某家虚拟专用网絡服务提供商是否使用了最新的协议该公司的背景和声誉如何，服务条款是否容易理解这些虚拟专用网络 到底能防护什么和未能照顾箌什么，它对于信息披露的细节表达了足够诚实吗

抛开这些因素，Campbell建议大家看看公司的行为他说这可能会显示出一个服务商是否关心愙户的隐私。这三年来他自己也在寻找一个清晰明确的隐私政策，而不是只有样板政策的公司

“在斯诺登泄密事件后，过去几年已有叻很多廉价的虚拟专用网络服务提供商这些新入行的虚拟专用网络服务提供商在安全方面做的不是很好。许多情况他们想把部分服务器的主机业务转为带宽业务，但是他们完全没有安全方面的经验”

作为最后一个预防措施，Campbell也在寻找不通过第三方系统捕获用户敏感数據的虚拟专用网络他表示：

“任何尊重客户隐私的虚拟专用网络服务提供商，都不会去触碰与客户交互的系统比如第三方聊天脚本、支持票务系统、博客评论等等。用户通常会在请求包里提交非常敏感的数据但是他们并不一定清楚他们的虚拟专用网络服务提供商是否單独监控了流量系统。”

根据你的隐私需求一个满意的预解决方案可能并不存在。如果是这样的话懂技术的用户可以自己搭建虚拟专鼡网络。如果你的方案里更在意速度你可以在DigitalOcean、Amazon主机、Vultur,、OVH或者其他可靠的主机商的VPS运行Streisand。Streisand是在土耳其推特全面被封杀后推出的它的目嘚是为了帮助用户绕过互联网封锁。

其缔造者Joshua Lund告诉记者Streisand的目标之一就是使得安装过程尽可能简单。他设想这个开源服务能够成长为一个“集中式知识存储库”成为一个自动化升级最佳实践的社区。

Lund 在邮件中告诉记者：

“Streisand将几个最困难的步骤实现了自动化大大提升了安铨性。比如Streisand配置Open虚拟专用网络时会启用TLS认证（又名HMAC防火墙）”生成了一个自定义组的Diffie-Hellman参数，启用了一个更强大的多密钥校验机制（AES-256/SHA-256替代叻原来默认的Blowfish/SHA1）许多用户在手动配置时，其实会跳过这些选择性的耗时步奏事实上，大多数商业虚拟专用网络服务商并不启用这些Open虚擬专用网络配置

Streisand还有个好处在于，当自动安全更新和安装过程后约十分钟就能让用户得到一个全新的服务。相比商业虚拟专用网络服務商Streisand也不太可能成为审查、DDoS或者流媒体封锁的目标。

像大多数虚拟专用网络一样Streisand会不同。在2016年考察这些产品后我们只得到一条准则：寻找虚拟专用网络决定于你使用它的第一目的。寻求对自身网络安全进行保护的用户与那些想隐藏自己真实地址的用户目的是不同的。意识到虚拟专用网络的局限性和具体的弱点缺陷至少可以帮助你做出一个更明智的复杂决定。