連 Google 都在用!中國網友開發的「翻牆神器」Shadowsocks 為何比傳統 VPN 工具更受歡迎?

中國「網路長城」(The Great Firewall,又稱防火長城)眾所周知,牆內的中國網友若要使用牆外的 Facebook、Twitter、YouTube 等工具,就必須利用各種 VPN 工具「翻牆」,其中,有一項翻牆工具就連 Google 都在採用,那就是 Shadowsocks。

要說到 Shadowsocks 的誕生,首先得先說說這件事:免費 VPN 有許多隱私上的隱患,所有的瀏覽、連線紀錄都可能被架設免費 VPN 的第三方存取(而全球 97 家 VPN 業者中,有將近 3 成是中資),加上架設私人 VPN 工程浩大,於是下面就開始要來講講 Shadowsocks 的故事了。

Shadowsocks 的誕生:由中國開發者打造,「死後」連 Google 都採用

Shadowsocks 是在 VPN 界享譽盛名的工具,但它其實並不是 VPN 工具,真要說它較像是一種能讓傻瓜也能安裝、克服網路審查的中介,主要使用 HTTPS 掩飾流量,幫助流量「繞過」網路長城上的審查與封鎖處。

最初 Shadowsocks 由 Github 上一名名為 clowwindy 的使用者開發,Shadowsocks 是一種基於 SOCKS5 代理方式的加密傳輸協定,也能指實現這個協定的各種開發包。

在中國,人們主要用此工具突破防火長城,而為了避免被河蟹或查水表,中國網友會將 ShadowsocksR 稱為「酸酸乳」(SSR)——這是 Shadowsocks 的分支——或者把 Shadowsocks 稱作「酸酸」(SS)。

然而,clowwindy 在 2015 年時宣稱,由於警察要求他停止開發 Shadowsocks 專案並刪除其所有程式碼,之後他便停止維護 Shadowsocks,GitHub 上的專案頁面也被清空。

但 Abacus 指出,這並非故事的終結,在中國海外,仍有許多 VPN 公司採用 Shadowsocks,其中最為特別的是 Jigsaw,它是 Google 母公司 Alphabet 旗下的子公司,從前被稱作 Google Ideas。

Jigsaw 透過一個名為 Outline 的專案,讓新聞機構得以輕鬆、快速地建立企業專用虛擬 VPN, 實際上這是一個 Shadowsocks 的代理伺服器,目的是為了保障新聞從業人員的網路存取安全,且標榜不需技術人員就能完成設定。

然而,Abacus 報導指出,使用 Jigsaw 的工具與使用 VPN 工具有微妙且重要的相異處,因為在默認情況下,並非所有網路流量都是透過 Outline 上頭使用者設置的代理伺服器,這可能會洩漏會加密的數據甚至是使用者真實的 IP 位置。

Shadowsocks 本質上只是個設定了密碼的專用網路代理協定,所以其實它不能替代 VPN,更不能作為匿名通訊的方案。這對於那些與中國政府持不同政見的異議者、調查記者、人權工作者、洩密者而言都是極為危險的。

不過 Jigsaw 並未回應為何該公司選擇使用 Shadowsocks,而非其他 VPN 協議,但強調該工具使用最先進且強大的技術來進行加密與其他安全設置。

VPN 代理服務盛行,但中國政府能「容忍」到什麼時候?

今年 7 月,資安機構調查指出,全球 97 家主要 VPN 業者中,至少有 29 家的母公司是中資公司,比重直逼 3 成。專家指出,這可能會讓翻牆更加困難,且中國政府還可藉此累積 VPN 使用者的大數據。最令人擔憂的是,有許多 VPN 業者都在掩瞞自己是中資公司的訊息。

Abacus 進一步指出,像是 Outline 這樣的工具在 GitHub 上唾手可得,企業可以以極少的花費(約每月 5 美元)就能快速部署自己的 VPN。其中一家名為 Caonima.io 的代理公司,就從這件事情上看到了商機,替那些不願/不能自己設置伺服器的企業提供代理服務,一個月要價 8 美元,適合那些打算短途旅行、沒想要訂閱或者想先試用的使用者,訂閱計畫一個月則只要 5 美元,在中國的記者們則可以免費使用。

像是 Caonima.io  這樣的代理服務商越來越多,對於中國使用者來說它們比 VPN 工具更具吸引力——即便他們可能不安全;對於中國國外的使用者來說,這類的 VPN 服務還能繞過 Netflix、YouTube 上某些內容的地區限制。

中國在 2017 年開始加強打擊 VPN 的力道,香港媒體《端傳媒》形容,中國的網路長城正變得又厚又高。今年 1 月,在中國試圖翻牆的網友們開始陸續收到警方的傳喚通知,有網友 被罰 1000 元人民幣,比另一名違法吸毒的犯罪者多出一倍,引起中國國內外網友討論。

Caonima.io 創辦人 Daniel Szmulewicz 說,該服務向中國記者免費提供服務,雖並不保證記者的安全,但 Shadowsocks 確實使用了高端加密技術, Jigsaw 也宣稱 它能提供強大的隱私與安全性。

然而今年適逢六四天安門事件三十周年,大量商業 VPN 服務都被激烈「鎮壓」,Shadowsocks 也沒有逃過這場網路屠殺的魔掌,《大紀元》指出,這已經顯示了中國政府開始對這類翻牆軟體有所了解。

同時,中國政府方面的 VPN、代理伺服器的檢測方法也變得越來越複雜,這使得部分人士開始對 Shadowsocks 的前景感到悲觀,今年 5 月一個名叫 Teddysun 的中國開發者再次遭遇了 clowwindy 所遇到的困難——這位開發者的部落格也「被牆了」,Teddysun 在 2014 年初,就開始撰寫 Shadowsocks 教程與安裝腳本。他在一篇名為《告別》的文章寫道,「斟酌再三,還是覺得已經沒有繼續堅持下去的必要了。」

他告訴 Abacus,其他開發者遇到類似的事,只是時間早晚的問題。

參考資料
1.《Abacus》:〈Google is using a tool Chinese users developed to bypass the Great Firewall
2.《端傳媒》:〈 當 VPN 受到重創,防火牆既高且厚,你打算怎麼撐過這個寒冬?
3.《iThome》:〈Google 推出新聞訂閱服務,為新聞媒體打造 VPN 工具 Outline
4.《端傳媒》:〈 道高一尺,牆高一丈:互聯網封鎖是如何升級的
5.《TechOrnage》:〈 翻牆後還是不能安心!資安研究機構:全球三成 VPN 業者在中國掌握
6.《維基百科》:〈Shadowsocks
7.《大紀元》:〈 翻牆節點大量被封 網民:中共網絡屠殺

(本文提供合作夥伴轉載,首圖來源:Pixabay。)

延伸閱讀

翻牆後還是不能安心!資安研究機構:全球三成 VPN 業者在中國掌握
VPN 網路翻牆成中國眼中釘!罰金高達機車闖紅燈的 2 倍以上
【高牆蓋起來】中國政府 4 月強迫全部私人 VPN 下架,淪陷重災區你們辛苦了!


我們正在找夥伴!

2019 年我們的團隊正在大舉擴張,需要你的加入跟我們一起找出台灣創新原動力! 我們正在徵 《採訪社群編輯》、《助理編輯》,詳細職缺與應徵辦法 請點我

點關鍵字看更多相關文章: