前言
藝人黃子佼的桃色風波,導致最近新聞一直瘋傳「創意私房已關閉」的訊息,並在好奇心的驅使下瀏覽的內容,會被發現網址會被劫持(hijacking)至 TWNIC 的封鎖頁面,
網路自由
網路本身是自由的,這句話的自由指的是你可以連線到任何一個網址。然而受到法規的限制,政府可能控制或禁止某些特定網頁的存取。以常見的例如中國大陸封鎖的有:Google、YouTube、Facebook、維基百科等….
網絡自由並不代表對色情、賭博、盜版等行為的容忍或鼓勵,尤其是當這些活動是建立在他人痛苦之上或侵犯他人權益時。這些行為本身就是不應被鼓勵或允許的。更糟糕的是,如果有人因觀看這類影片而涉入犯罪或開始從事非法活動,那將造成更大的問題。
而臺灣,早在 2013 年智慧財產局就因為國內外部分網站提供侵權內容行為而提出國內 ISP 以 DNS 或是封鎖 IP 的行為進行阻擋,但最終不了了之。
在這次新聞媒體渲染下,點開了創意私房,就會發現網址被轉導到封鎖頁面。事實上,在 2020-03-30,TWNIC(財團法人台灣網路資訊中心)召開第一次 DNS RPZ 會議。並透過 DNS 等方式進行網路封鎖持續至今。
回應政策區域(DNS RPZ)
什麼是 DNS RPZ
域名系統回應政策區域(domain name system response policy zone,DNS RPZ),是由 互聯網系統聯盟(internet systems consortium)開發的一種技術,提供了在 DNS 伺服器層級進行網址過濾的機制。
RPZ 允許網路管理員在 DNS 伺服器加入特殊的回應政策區域,當有查詢要被過濾的網域名稱時,DNS 伺服器就會從這個特殊區域傳回一個指定的 IP 位址或錯誤訊息,從而重定向(redirect)或阻止使用者連線到該網站。並可以有效防止訪問惡意網站、釣魚網站或是政治不正確的內容。
以下內容為例子,電腦要瀏覽 NSFW.com,其對應正確的 IP 為 1.2.3.4,使用者直接輸入網址後,會透過 DNS 伺服器進行網址解析。電腦預設所使用的 DNS 伺服器若為中華電信(168.95.1.1),且 NSFW.com 已被列入中華電信的 DNS RPZ 過濾名單中,則經過 DNS 伺服器解析後會回傳 NXDOMAIN(或被重定向到特定 IP),即無法正常連線並取得原始網頁內容。
若將DNS伺服器改為使用未參與RPZ過濾的公共DNS服務,如CloudFlare的 1.1.1.1,則在解析 NSFW.com 時將不會受到過濾清單的影響,可以正常解析並取得該網站的原始內容。
誰使用了 TWNIC 的 RPZ?
2024/04 擷取自 TWNIC (網址已失效),目前已參加的成員有:教育部、中華電信、台灣碩網、宏遠電訊、中嘉和網、大台中數位有線電視、天外天數位有線電視、正源科技、台灣固網(台灣大哥大)、新世紀資通(遠傳)、亞太電信、台灣之星、三大有線電視、公共電視、統一資訊。
意思是,你今天如果是使用中華電信/台灣固網/遠傳等網路,預設所設置的 DNS 伺服器都會經由 RPZ 進行過濾。
RPZ 安全嗎?
域名解析的目的是將網址轉換為 IP 地址,我們把網址丟給上述機構的 DNS 伺服器,上述機構只會知道有個人想要取得某個網址的域名,不會知道網頁內容與傳入資訊(如密碼、個資),並將過濾、安全的 IP 傳回給使用者。
例如:我們要瀏覽 NSFW.com,結果域名被劫持,並回傳 150.242.101.120。瀏覽器會比對其證書,當證書與網址不一致、或是網址協定為 http 時跳出不安全因素通知。此時忽略警告,點擊繼續訪問網頁,網頁結果會重定向到 TWNIC 的域名解析封鎖頁面。
此外,如果電腦的受信任的根憑證被竄改,即使域名遭到劫持並信任了可疑的憑證,瀏覽器也不會發出警告通知。由於證書獲得了信任,攻擊者就能夠執行中間人攻擊(man-in-the-middle attack,MITM),進而解析和攔截所有網頁傳遞的內容,並實施更精確的封鎖。因此,在使用公共電腦時不要進行登入的行為。大部分使用者通常不會仔細檢查電腦上的安全憑證是否被篡改,如果 DNS 伺服器和安全憑證經過特別設定,則會更容易遭受攻擊。
相關應用
對於相關應用,可以自己建立 DNS 伺服器進行廣告、病毒、色情等釣魚網站過濾,自己建立的 DNS 伺服器就等同於 RPZ 的角色了,現成方案有像是免費的 NextDNS、或是自己架設開源的 AdGuardHome。
如何避免網路封鎖
上述內容講了這麼多,其實也就是個 DNS 解析被套上一層 RPZ 而已,要能夠正常瀏覽網站,不要使用這些機構預設所提供的 DNS 伺服器即可。較新的系統可以可以設置 DNS over HTTPs(DoH),DoH 確保攻擊者無法偽造 DNS 內容。從網路管理員的角度來看,DoH 流量會表現為與其他 HTTPS 流量一樣,所以網管會更難追蹤你再看的網頁。
瀏覽器端
Step 1: 開啟瀏覽器的設定
Step 2: 搜尋輸入 DNS,並填入 DoH 網址後,在瀏覽網頁就正常解析了。
手機端
在手機端上大多數的新系統都支援 DoH,以 iPhone 為例子,要安裝 mobileconfig 配置檔。
安裝後手機的流量都會透過該 DNS 伺服器進行。DNS 伺服器可以選擇公認的伺服器像是 Google 或是 Cloudflare。
- 點擊連結後,點選允許描述檔。
- 到系統找到
設定→一般→VPN 與裝置管理。 - 在
已下載的描述檔,找到Cloudflare DNS over HTTPS,點選右上角的安裝。 - 點選
DNS→把自動切換為Cloudflare DNS over HTTPS。
恭喜,現在手機查詢域名的方式是 DoH。並可以避免 DNS 的劫持與換來更多隱私。
結論
網路審查是一個很困難的議題,是政府、公司與使用者的攻防戰。
想想中國大陸的使用者冒險違法使用 VPN(對岸非申請使用 VPN 是違法行為),並藉由不同的加密協定(Shadowsocks、V2ray、Trojan、Hysteria、Juicity、WireGuard、Snell)進行混淆翻牆。而在臺灣,市面上一堆 VPN,付費下載訂閱後也能繞過相關的限制。最後只是讓那些 VPN、中繼商、VPS 伺服器供應商賺飽飽而已。
此外,盜版商的網頁 NSFW.com 被封鎖了,對方今天換成 NSFW.ai, NSFW.io 也能讓政府沒辦法即時性的進行封鎖。
甚至,透過 Telegram, Line, Facebook, Cloud 私人群組進行分享、販售。又要怎麼抓呢?人都是健忘的,過沒多久這些網站又會重啟爐灶,換個方式在網際網路上販售傳播而已。
原本我也不知道「創意私房已關閉」的訊息,不也是新聞媒體一直渲染這件事情,導致一堆人從不認識到認識這個網站。
關於成人內容的產業,其存在和流通引發了廣泛的倫理和法律問題。但如果想看的人願意花費 10 萬請求片源,請你去拍攝,或是提供被害者金源。加害者不斷製造色情影片與轉售的同時。這個產業又怎麼會瓦解呢?真正要解決的,是釋出高額獎金抓出藏鏡人,例如拍攝者、詐騙廣告投遞者,並實施嚴刑峻法。不服從者如 Facebook、YouTube 的劣質廣告(詐騙),直接整個網站封鎖。
然而,這個世界上的色情產業就瓦解了嗎?想看的永遠都有辦法,也會出更高的金額找到片源來看。而 Apple 也曾在 2021 提出 CSAM Detection 最終可能是因為不夠精準而不告而終。對兒童色情的保護仍然是未來的一大議題。
最後,期望世界上沒有人是被脅迫而拍攝不良影片、沒營養的垃圾詐騙廣告少一點。願世界更美好。