用 Rust 编写,已有 10 万行代码:顶级黑客组织出手,将推出新的反数据收集开源框架 Veilid
转自:InfoQ
近来,一个几十年前成立的、最古老、最具传奇色彩的黑客组织“复活”了。该黑客组织经过三年的筹备和开发之后,将推出一个新的开源项目 Veilid,该项目可让开发人员创建不收集或存储任何个人数据的社交应用程序。
大家日常使用的一些社交应用程序,会收集一切信息:你的位置、你的联系人、你的偏好、你的习惯、你的观点...... 再利用这些数据向你推销广告、影响你的行为、操纵你的情绪,甚至监视你。而 Veilid 的目的就是让用户拥有自己的数据,并决定与谁共享数据。这可能并不容易,因为 Veilid 不允许有针对性的广告或数据挖掘,而这是许多社交应用程序的主要收入来源。
黑客组织“死牛崇拜”(Cult of the Dead Cow,简称 cDc)可谓全美历史最悠久、社会影响力最大的黑客组织,也是“黑客行动主义”一词的发源地。该组织的名称源自早期成员们在得克萨斯州拉伯克市的一处早期聚会场所——大家想的没错,一处废弃的屠宰场,曾以分发黑客工具和羞辱软件公司来敦促其提高安全性而闻名。
该组织形式松散,而且不乏奇怪的分支,他们给骇客注入了道德准则,并渴望追求品德“高尚”。早在上世纪 80 年代,青少年阶段的 Beto O’Rourke(美政治家)就是该组织的活跃成员。cDc 最初只是在网络公告版上撰写故事,之后陆续迎来了如今网络安全领域的众多知名人士。比较有名的是其中两名成员率先对广泛使用的软件中的安全缺陷发出公开警告,并开始在修复过程中与厂商协调披露事宜。
这对搭档里就有 Peiter Zatko(更为人所熟知的绰号应该是“Mudge”),曾任五角大楼国防高级研究计划局(DARPA)的项目经理,并在线上支付服务商 Stripe 担任过安全主管。他后来被 Twitter 创始人 Jack Dorsey 聘用,负责监督安全工作。在去年的国会听证会上,他表示 Twitter 的安全实践非常糟糕,违反了该公司此前与联邦贸易委员会达成的和解协议。目前贸易委员会正在着手调查此事。
Twitter 前安全主管 Peiter “Mudge” Zatko 也是死牛崇拜的成员。
另一位先驱则是 Christien Rioux,他编写了一款用于攻击 Windows 设备的开源工具 Back Orifice 2000,并于 1999 年的 Def Con 大会上发布,因此十多年来他一直是 Microsoft 的眼中钉。Rioux 随后与他人共同创立了 Veracode 公司,专门开发可查找潜在安全缺陷的扫描软件。目前这家公司的估值已经超过 20 亿美元。
Rioux 和 Zatko 同时也是 L0pht 组织的成员,该组织在 25 年前曾向美国国会发出著名警告,称互联网基础设施的安全水平极其低下。另外,该组织还激发了标志性隐私工具的创建,例如匿名浏览器 Tor。
该组织目前正致力开发一套新系统。这群技术活动家们希望借助这项成果,构建起不会保留用户个人数据的消息传递和社交网络应用。
而得知此消息的网友们十分激动:“当我在 2000 年左右第一次听说他们时,他们已经达到了某种神话般的地位。”“天啊,当初炸裂了的 cDc?!已经很久没有听到这个名字了,以至于我都快要忘记了。就像,至少几十年。太好了,他们还继续活跃着!”“哇,完全是过去的回忆。好高兴听说他们还在活跃!”
cDc 组织开发的是一种可供应用开发者使用的编码框架,希望通过其强大的加密技术颠覆现状,消除目前大多数应用从常规数据中收集具体资料、据此发布个性化广告的行业常态。
该团队选择以 Signal 等免费产品为基础。Signal 能够为文本消息和语音通话提供强大的加密功能,而 Tor 则通过一系列服务器路由流量来掩盖上网用户的真实位置,借此实现真正匿名的网络活动。
关于本次新框架的开发细节,将在下周于拉斯维加斯召开的年度 Def Con 黑客大会上具体披露。他们希望为消息传递、文件共享甚至是社交网络类应用打造新的基础,用全面端到端加密的方式保证用户信息安全、拒绝数据收集。
这套新框架名为 Veilid(发音为 vay-lid),开发人员可以利用它为移动设备或 Web 端构建应用程序。开发团队表示,这些应用程序将使用 Veilid 协议相互传递经过完全加密的内容。而且跟文件共享软件 BitTorrent 类似,随着更多设备加入进来并分摊负载,网络传递速度会变得越来越快。在这种去中心化的“点对点”网络中,用户彼此在对方处下载数据,而不再依靠集中化服务器设施。
在架构上,Veilid 是 用 Rust 编写的,使用强大的加密技术,并且节点可以在 Linux、Mac、Windows、Android、iOS 以及浏览器的 WASM 上运行。它通过 UDP、原始 TCP、Websockets 和安全 Websockets 进行低级别的通信协议。节点被优化用于低延迟、高节点变动,并且特别能够处理低级别的网络变化,比如在通信过程中从蜂窝网络切换到 Wi-Fi 网络。
与其他开源项目一样,工作中的最大难点在于 说服更多程序员和工程师花时间来设计与 Veilid 相兼容的应用程序。 尽管开发者可以选择付费应用或者弹窗广告,但由于无法收集用户的详细个人信息,所以不可能拿到分发针对性广告或向特定用户群体推销产品的这部分传统收益。
Veilid 背后的开发团队尚未发布关于设计路线的说明文档,只提到他们是在初始开发的消息传递应用上进行协作。这款应用无需电话号码即可运行,但目前还没有供对外发布的测试版本。
目前社交网络和聊天用户对于 Twitter 和 Facebook 的不满已经积累到了临界点,在市场混乱、冲突的大背景之下,大家也更愿意抱着尝试的心态接纳新生事物。
非营利组织电子前沿基金会执行董事 Cindy Cohn 表示,“人们正在开发一套全面覆盖的端到端加密框架,这真是太棒了。我们有望突破固有的监控商业模式。”
经过三年的筹备和开发之后,Veilid 终于降临人间,成为黑客和安全领域中罕见的“野心之作”。
Veilid 是 cDc 这十多年来最重要的发布成果。
Rioux 在 Veilid 框架中承担了全部 10 万行代码中的大部分工作量,死牛崇拜的其他成员则主要参与测试和反馈,包括制定政策、撰写文档和开发首款应用。
Rioux 在采访中解释道,“我们可以将 Tor 视为网站访问中的隐私系统,它能对源 IP 做匿名化处理。”所谓源 IP,是指分配给各计算机且一般可以追踪的数字名称。但 RIoux 强调,Tor 使用起来非常复杂,“不太适合移动设备,而且构建方式也不够现代。”
“我们的成果有点像 Tor,但主要面向应用端。现在每个人口袋里的手机都是部小超算,那为什么把它们汇聚起来构建新的云呢?”
Rioux 和 Veilid 项目的其他参与者表示,决定成败的关键是能不能降低开发者和用户的接受门槛,最好能像 Facebook 那么简单易用。现有应用都可以制作与 Veilid 兼容的版本,确保用户在不受任何第三方窥探的前提下进行通信。
该项目由一家已早点 501c(3)非营利资质的基金会运营,三名董事分别是 Rioux、新近加入 cDc 的 Katelyn Bowden,以及活跃于上世纪 90 年代并长期从事安全工作的 Paul Miller。
Bowden 指出,“现在要找款不出售用户数据的应用实在太难了。我们将赋予人们拒绝这种数据经济的选项。……将权力归还给用户,赋予他们对自己数据的掌控权,同时狠狠打击那帮靠销售私密信息赚取大量财富的家伙。”
一些参与过代码测试的资深工程师表示,该项目确实表现良好。
其中一位工程师 Kirk Strauser 指出,他很高兴 Rioux 采用了经过验证的加密协议,而不是从零开始纯靠原创。
他将 Veilid 与点对点先驱 Napster 相提并论,后者也是一款革命性产品,同样主要由现有技术组装而成。
Strauser 在一家数字健康公司担任首席安全架构师,他表示“这是一种将现有技术成果组合起来的新方式。”
Veilid 面对的最复杂挑战之一在于内容审核,这也是 Twitter 和 Facebook 始终没能处理好的核心难题。
近期涌现的一些后起之秀,例如 Mastodon,选择了所谓“联邦”方案。即将用户划分成一个个团体,各团体既坚守自己的规则、又可与其他规则不同的团体保持松散联系。
Facebook 母公司 Meta 表示,未来将保证新发布的 Threads 能够与 Mastodon 等新兴社交平台相兼容。但在 Veilid 非正式顾问 Micah Schaffer 看来,这仅仅是互联网大厂利用联邦设计 “来营造你有的选的幻觉。他们其实是以一种偏离审核责任的方式在拥抱联邦设计——不喜欢这里?那你怎么不去别的服务器?”
完全加密之后,版主将看不到那些“有毒”的互动,这也是 Veilid 官方 Web 应用只允许用户邀请特定关注者的原因之一。
Schaffer 曾在 YouTube 建立起首个安全团队,随后又在 Snap 领导公共政策事务。“Veilid 为新一代社交应用打开了大门,让应用在设计层面就变得更加安全。”
Rioux 表示,他希望自己在 Def Con 大会首日开幕式上和 Bowden 的对话以及后续的技术研讨与线下聚会,能够吸引到更多的关注者以推动 Veilid 项目取得成功。
“Def Con 是以隐私为中心的用户和开发者们的大本营。我们选择在这个正确的地点推出正确的方案,希望吸引到更多对此感兴趣的朋友。”
隐私和安全机构自然也在密切关注当下发生的一切。
PGP 公司及安全通信厂商 Silent Circle 与 Blackphone 联合创始人、发明家 Jon Callas 率先出面支持,“我非常赞赏他们不畏艰险的精神,也期待能看到更多项目细节。”
参考链接:
https://veilid.com/#about
https://twitter.com/VeilidNetwork
https://www.washingtonpost.com/technology/2023/08/02/encryption-dead-cow-cult-apps-def-con/
https://www.axios.com/2019/06/06/cult-of-dead-cow-lessons-from-historys-great-hacker-groups
https://www.linkedin.com/posts/lancing-light_veilid-defcon-socialmedia-activity-7092552164782325760-LEQY/
https://www.reddit.com/r/technology/comments/15g9npx/hacking_group_cult_of_the_dead_cow_plans_system/
向下滑动查看