DC:最近很多聽眾都受到中共當局的DNS污染困擾,令翻牆出問題,因而來信向本台求助。面對中共當局的連串DNS污染攻擊,中國網民應該如何自處?
李:中國政府搞DNS污染並非第一天的事,因此,其實早已經有不少工具去解決這個問題。現時面對DNS污染問題有兩個解決方案,一個方案是使用DNS Forwarder的程式,在自己的電腦建立一個DNS代理主機,瀏覽器的域名查詢經這個程式由UDP信息包,轉化成不易污染的TCP信息包,再去查詢谷歌或其他國際上可靠的DNS主機。這種方法好處是可以繼續沿用其他翻牆方案,因為中共當局很難對TCP信息包上下其手。但由於這個方法涉及不少電腦指令,既不能用於手機或平板電腦上,亦對缺乏技術根底的用戶有困難。因此,在這集就比較難介紹這種方法。
另一種方法,那是先洗去機內的DNS快取,然後再利用VPN,將所有通訊經VPN走,並且設定VPN公司提供DNS處理詢名查詢。在Android和iOS,系統會定期自動清理DNS快取,可以在熄機後再執行VPN,就可以解決DNS污染的問題。
至於Windows,可以在執行VPN前,在命令模式執行「ipconfig/flushdns」的指令,就會將系統內所有DNS快取消除,之後再執行VPN,那就會依照VPN的設定執行DNS。這個是現時翻牆民眾,比較容易避免DNS污染的方法。
只不過,以上方法要有效,都基於一個前提,那是你的電腦未染有任何支持中國政府黑客所寫的木馬,或沒有裝中國公司推出的防毒軟體。如果你的電腦有病毒或木馬,或你用了中國公司推出的防毒軟體,那你無論怎努力,都避免不了DNS污染的問題。因此,不要亂裝有問題的軟體,亂開來歷不明的電郵附件,以及使用中國公司推出的防毒軟體,亦是相當重要的。
DC:近日與OpenSSL有關的保全漏洞好像越來越多,OpenSSL最近又被揭發有多個保全漏洞,那這次保全漏洞,又會否像Heartbleed一樣造成廣泛的惡劣影響,危害網絡安全?
李:雖然這次OpenSSL發現漏洞多,遍及的版本亦比Heartbleed那次多,但惡劣影響反而沒上次嚴重,因為這次各方面都嚴陣以待,OpenSSL亦獲贊助一筆經費,聘請全職程式編寫人員和保全專家解決漏洞,只要將OpenSSL更新到最新版本,就應該問題不大。
要避免中共當局利用 OpenSSL保全漏洞偷你的資料,儘快更新軟體十分重要。而由於OpenSSL長期以來潛藏的漏洞,可能未能夠在短時間內完全找出來,可能在短期內,仍然會有OpenSSL相關漏洞被發現,需要各方人馬緊急維修。而現時市面流行的瀏覽器,包括Safari、Google Chrome、Firefox和IE,都採用軟體公司自行設計的SSL程式設計,相信這點會令不少聽眾感到較為安全一些。
由於 OpenSSL的漏洞,會影響VPN的安全性,而很多VPN服務供應商都因使用Linux,而難免在提供VPN服務時,需要使用OpenSSL加以配合,因此有租用VPN服務的聽眾,應查詢VPN服務供應商有關OpenSSL的影響,避免自己翻牆時受到OpenSSL漏洞影響,仍然懵然不知。
