旧金山——曾经以分发黑客工具和迫使软件公司提高其安全性而闻名的一群著名的技术活动家现在正致力于开发一种系统,该系统将允许创建不会保留用户个人数据的消息传递和社交网络应用程序。
这个名为Cult of The Dead Cow的组织开发了一个编码框架,应用程序开发者可以使用这个框架,他们愿意采用强大的加密技术,放弃从针对个人的广告中获得收入,这些广告是根据大多数应用程序现在常规收集的数据收集的详细资料进行的。
该团队的工作是建立在诸如Signal和Tor等免费产品的基础上的,Signal为短信和语音通话提供强大的加密功能,Tor通过一系列服务器路由流量来掩盖进行搜索的人的位置,从而提供匿名上网服务。
最新的努力将在下周拉斯维加斯举行的Def Con大型年度黑客大会上详细介绍,它试图在不收集任何数据的情况下,为即时通讯、文件共享甚至社交网络应用提供基础,所有这些都由端到端加密保护,这种加密使得连政府都难以拦截。
这种代码被称为Veilid,发音为vay-lid,开发人员可以使用它来为移动设备或网络构建应用程序。开发人员表示,这些应用程序将使用Veilid协议相互传递完全加密的内容。就像文件共享软件BitTorrent一样,它可以同时分发相同内容的不同部分,随着更多的设备加入并共享负载,网络将变得更快,开发人员说。在这种分散的“点对点”网络中,用户相互下载数据,而不是从中央机器下载数据。
与其他一些开源项目一样,挑战在于说服程序员和工程师花时间设计与Veilid兼容的应用程序。虽然开发者可以对这些应用收取费用或出售广告,但潜在的收入来源受到无法收集详细信息的限制,而这些信息已成为分发定向广告或向特定用户推销产品的主要方法。
Veilid背后的团队还没有发布解释其设计选择的文档,而且在一个不需要电话号码就能运行的初始消息应用程序上的合作还没有产生一个测试版本。
但是这个新生的项目还有其他的优点。
在不满Twitter和Facebook的社交网络和聊天用户出现混乱、竞争和愿意尝试的背景下,它应运而生。它还支持了对各国政府(最近包括英国)越来越多的行动的反对,这些行动通过要求披露内容或用户身份的法律来削弱强大的加密。苹果、Facebook母公司meta和Signal最近威胁称,如果英国的网络安全法案不加修改地获得通过,它们将撤出一些英国服务。
在一些禁止怀孕前六周后堕胎的州,警方利用短信和Facebook Messenger来调查堕胎,民权活动家和堕胎权利支持者也对此感到震惊。
非营利组织电子前沿基金会(Electronic Frontier Foundation)的执行董事辛迪·科恩(Cindy Cohn)说:“人们正在为所有东西开发端到端加密框架,这太棒了。”“我们可以跳过监控的商业模式。”
FBI没有回应记者的置评请求,但执法机构经常抱怨,端到端加密技术让他们难以扫描信息,发现犯罪阴谋,也让警方难以在事后恢复证据。
经过三年的编码,Veilid带着黑客和安全领域少有的血统进入了这个世界。
Veilid是美国历史最悠久、最具影响力的黑客组织Cult of the Dead Cow十多年来发布的最重要的版本。Cult of the Dead Cow是“黑客行动主义”(hacktivism)一词的创始人,将黑客和行动主义(activism)结合在一起。该组织的首字母缩写是cDc,它的名字来自于一个早期的聚会场所,德克萨斯州拉伯克的一个废弃的屠宰场。
20世纪80年代,在互联网出现之前,十几岁的贝托·奥罗克(Beto O 'Rourke)就活跃在这个组织里,起初只是为在线公告栏写故事,后来,“死牛崇拜”组织现在包括了网络安全领域的一些知名人士。
有两人率先就广泛使用的软件存在安全漏洞发出公开警告,并在软件供应商修补程序时与他们协调披露信息。
这对搭档包括佩特·扎特科(Peiter Zatko),俗称穆奇(Mudge),他曾是五角大楼国防高级研究计划局(Defense Advanced Research Projects Agency,简称DARPA)的项目经理,也是在线支付服务商Stripe的安全主管。后来,他被Twitter创始人杰克·多尔西(Jack Dorsey)雇佣来监督那里的安全。他去年在国会作证时表示,Twitter的做法非常糟糕,违反了该公司此前与联邦贸易委员会(Federal Trade Commission)达成的和解协议。联邦贸易委员会目前正在调查此事。
另一位名叫克里斯蒂安·里乌(christian Rioux)的人编写了一个用于入侵Windows机器的开源工具Back Orifice 2000,并于1999年在Def Con上发布。里乌斯后来与人共同创立了Veracode,该公司开发了扫描软件中隐藏的安全漏洞的程序:该公司现在的市值超过20亿美元。
Rioux和Zatko也属于一个名为L0pht的组织,该组织在25年前警告国会,互联网的基础设施是灾难性的不安全。
Rioux编写了Veilid框架中超过10万行代码的绝大部分,而cDc的其他成员则参与了测试和批评,并致力于政策,文档和第一批应用程序。
“你可以把Tor看作是访问网站的隐私系统。它会匿名化你的源IP,”Rioux告诉《华盛顿邮报》,指的是通常分配给可追踪的单个计算机的数字名称。但Rioux说,Tor使用起来很复杂,“不太适合移动设备,而且构造方式也不太现代。”
“这有点像Tor,但针对的是应用程序。每个人的口袋里都有超级计算机。为什么不让云成为每个人的电脑呢?”
Rioux和其他致力于Veilid的人表示,关键是要让开发者和用户都能轻松使用,就像Facebook一样简单。现有的应用程序可以制作一个与Veilid兼容的版本,让它们的用户能够在没有任何第三方知情的情况下进行通信。
该项目由一家申请了501c(3)非营利组织身份的基金会运营。这三位导演分别是里乌克斯、最近加入cDc的凯特琳·鲍登(Katelyn Bowden),还有一位同行保罗·米勒(Paul Miller),他活跃于上世纪90年代的黑客领域,此后一直从事安全工作。
鲍登多年来一直在为复仇色情的受害者辩护,她说,她有动力帮助那些没有钱或权力的人,让他们像亿万富翁和专家一样拥有安全的通信。这其中包括寻求堕胎信息的女孩和妇女,她们可能会被普通的即时通讯应用出卖。
鲍登说:“你很少会遇到不出售你数据的公司。”“我们让人们有能力选择退出数据经济。……把权力交还给用户,让他们对自己的数据有自主权,让这些靠出售经期信息赚了数百万美元的人见鬼去吧。”
一些测试过这个项目代码的资深工程师说,它运行得很好。
其中之一柯克·斯特劳瑟(Kirk Strauser)说,他很高兴Rioux采用了经过验证的加密协议,而不是试图从头开始发明一切。
他将Veilid比作点对点的先驱Napster——一种主要由世界上已经存在的技术构建的革命性的东西。
“这是一种将它们结合起来协同工作的新方式,”Strauser说,他是一家数字健康公司的首席安全架构师。
对于Veilid来说,最复杂的问题之一是内容审核,这也是Twitter和Facebook面临的最大问题之一。
一些老牌公司的新对手,如乳齿象,选择了所谓的联盟,即拥有自己规则的集团与其他集团松散地联系在一起。
Facebook母公司meta表示,它将使Twitter的新竞争对手Threads与Mastodon和其他网站兼容。非正式的Veilid顾问Micah Schaffer表示,这表明大公司计划使用联盟来“提供这种选择的错觉”。他们在某种程度上接受了联盟,从而转移了他们对审核决策的责任——你可以去另一个服务器。”
完全加密意味着审核员将无法看到有害的互动,这也是Veilid自己的社交应用允许用户邀请特定关注者的原因之一。
“Veilid为设计上更安全的新一代社交应用打开了大门,”沙弗说,他组建了YouTube的第一个安全团队,后来在Snap负责公共政策。
Rioux说,他希望在Def Con的第一天,他与Bowden的谈话,以及一个技术研讨会和一个派对,将激发Veilid成功所需的临界数量的爱好者。
“Def Con是注重隐私的用户和开发者的温床,”他说。“我们在正确的地方启动,吸引了一批非常感兴趣的人。”
隐私和安全机构将密切关注事态的发展。
发明家乔恩·卡拉斯是PGP公司、安全通讯公司Silent Circle和Blackphone的联合创始人,他说:“我很高兴他们能迎难而进。”“我期待看到细节。”
