Total Pageviews

Thursday, 30 July 2015

评估互联网翻墙工具应考虑的问题


开放式设计
要 做到工具软件及其设计透明并有可复用性,首先必须根据开源许可(不仅是客户方面的软件,而且还有服务器方面的软件)来发布软件。开源许可,即使用 者可对软件进行检验,看它如何操作,并且有权对应用程式加以修改。虽然并非人人都得益於这样的机会(许多人只想使用工具现有的功能),但实际上有的使用者 可以使之更加安全和有用。没有这一选择,你等於被迫相信少数软件开发者已经考虑到并解决了所有可能发生的问题。
仅 仅拥有开源许可是不够的。可靠的翻墙工具需要提供其他安全专家可资使用的清楚完整的文件——不仅有关其如何设计,而且有关其特点,以及开发者所要 实现的目标。他们准备提供隐私保护吗?他们准备应对攻击性的审查吗?他们准备抵抗什么样的攻击?为什么他们的工具能够抵抗这样的攻击?如果看不到源代码和 了解开发者的目的,就很难决定这一工具是否存在安全问题,或是很难评估其能否达到其目标。
在 密码学领域里,科克豪福斯(Kerckhoffs)原则要检验的是你所设计的系统应该使你要保密的範围尽可能小和容易理解。这就是为什么在加密算 法中有密钥(其秘密部分),而其馀部分则可对任何人公开解释。历史上,任何加密设计如果其中的秘密部分过多,最后的结果一定比设计者设想的更不安全。相似 情况也适用於翻墙工具的秘密设计,唯一能对该软件进行检验的人是该软件的开发者
和伤害它的攻击者,其他有助於使它更好更可持续的开发者和使用者却都被排除 在外了。
设计某一项目的想法可以被重复使用从而超出这一项目本身的寿命。有太多的翻墙工具对自己的设计加以保密,希望政府审查时难以发现其系统如何运作,但这样做的结果是各种项目之间无法相互学习,翻墙工具的发展领域作为一个整体进展缓慢。
五、分布式结构
对 翻墙工具另一个需要了解的特点是它的网络是集中式的还是分布式的。集中式的工具将其使用者的发出的所有要求通过一个或几个工具操作者控制的主机来 回答。而一个分布式的设计,如Tor或JAP,则通过多个不同地点传输数据。因此,就不存在可以看到每个使用者正进入哪个网站的单一地点或统一体。
另 一观察这种区别的角度基於你的信任是集中式的还是分布式的。如果你将所有信任全部放在一个实体上,那么你能期望的最好情况就是「以政策保护隐私」 ——即,他们虽然拥有你的所有数据,但他们保证不去看,也不会丢失或转卖你的数据。另一个方式就是安大略保护隐私委员会所呼吁的「以设计保护隐私」——即 系统设计本身确保使用者的隐私得到保护。这种设计的开放性让每个人评估设计所提供的对隐私的保护程度。
这 一关切并非仅为假设。2009年初,伯克曼中心的哈尔•罗伯兹在一个翻墙工具网站的常见问答中发现这一工具在推销其用户「点击记 录」(clicklogs)。后来,我跟另一翻墙工具提供商聊天,他说,他们拥有所有对其系统提出的使用要求记录,「因为你永远不知道什么时候你可能会需 要他们。」
我在这里隐去了这些工具的名称,因为重要的不是这些工具提供商可能使用了用户 的资料,而是任何以集中化信任架构为基础建立起来的工具都能够使用其用 户的资料,而这是用户无法知道的事情。糟糕的是,即使工具提供商并无恶意,但实际上所有数据通过一个地方,便使这个地方成了攻击者前来窥探的具吸引力的目 标。
许多这类工具把翻墙与保护用户隐私看作完全互不相连的两个目的。这种分离并不一定是 坏事,只要你知道你正处於怎样的境况。比如,在对信息进行审查的 国家中,我们从许多人那里听说,仅仅到一个新闻网上阅读并不会被盯上。但是,正如我们在过去几年里从各方面所了解到的,巨大的个人信息数据库最终往往比我 们希望的更公开。
六、上网安全
隐 私问题不仅仅涉及你使用的工具是否能记录你的使用请求,而且还涉及你访问的网站会不会认识或跟踪你。还记得雅虎交出其一位中国客户信息的事吗?如 果一个博客聚合要找出谁正在某个博客上贴文、谁贴了最新评论,或某一位博客到其它网站阅读了什么,那将会怎么样?使用安全的工具上网意味着网站没有多少信 息可以交出去。
一些翻墙工具比另一些更安全,其根本原因在於代理服务器。代理服务器常常 将客户地址跟着他们的网络使用请求一起发送出去,因此网站很容易确切地了解 使用请求是从哪里来的。从另一个角度来讲,像Tor这样的工具使用客户端浏览器延伸来隐藏你的浏览器版本、语言偏好、浏览器视窗尺寸、时区等等,来隔离你 的「小甜点」(Cookies)、过往历史和缓冲,从而可以预防像「快闪」(Flash)这样的插件洩漏你的信息。
但 是使用应用程序级的保护是有代价的:一些网站不能正确工作。当更多网站发展到最新「互联网2.0」版本时,这些网站要求浏览器的功能有更大的入侵 性。如果要达到最安全的目的,就要解除那些会带来危险的功能。但如果某人在土耳其试图登录YouTube,而Tor为了安全,关闭了他的插件 (Flash),那么他的视频就工作不了了。
没有哪个工具可以既安全又好用。赛风 (Psiphon)在它的集中化代理服务器上手工评估每个网站和应用程式,改写每一篇网页。他们的改写主要并不 是为了保护隐私而是为了确保网页上的所有连接能被导回其代理服务器,但结果是,如果他们没有查到你的目标网站,它可能就不能帮助你了。比如,因为 Facebook首页一直不断变化,赛风为了跟上它也必须跟着不断变化。Tor目前将一些内容关闭了,这些内容也许在实践中是安全的,之所以这样做是因为 我们还没有设计出一个好的界面,可以让用户在充分掌握信息的情况下做出决定。其它工具则还是让任何内容通过,他们不太在乎客户被暴露。
七、不承诺能为整个互联网加密
我 应该在加密和隐私之间做一区分。大部分翻墙工具将用户与翻墙工具提供商之间的网络数据加密,但像代理服务器这样非常简单的服务器则不加密。翻墙工 具需要加密以规避像中国的防火墙这样的审查机制设置的关键字过滤。但是,如果目标网站不支持加密的话,没有一种工具可以对工具提供商和目标网站之间的网络 数据加密。因此,不存在一种神奇的办法可以为网络数据加密。
对每个人来说,理想的答案是 使用安全超文本传输协议(HTTPS)上网;对每个网站来说,最好都支持安全超文本传输协议的连接。只要你正确使用,安 全超文本传输协议会在你的浏览器和网站间提供加密。这种终端对终端的加密意味着网络上无人(并非指你的互联网服务供应商,互联网主干供应商和翻墙工具提供 商)能获得你的通讯内容。但是由於种种原因,扩大加密还没有被完全接受。如果你的目标网站不支持加密,那么最好的办法是:第一,不要发送可辨识或敏感的信 息,如在博客帖子上署真名,或你不希望别人知道的密码;第二,使用无任何信任瓶颈的翻墙工具。所谓有信任瓶颈的翻墙工具就是,尽管在你已经做到了第一点的 情况下,还是会让别人将你和你造访的目标网站联系在一起的工具。
另外,当你必须传送敏感 信息时安全问题就变得更为复杂。有人对Tor使用志愿者操作的这种网络设计表示关切,理由是如果使用集中式设计你至少知道谁 在操作基础设施。但实际上不管采取哪种方式都是陌生人在读你的数据,不同点不过是陌生的志愿者还是陌生的专注於你的人。前者不知道你是谁(他们不会以你为 目标),后者的目的就是要获得你的全部流量资料(及你与它的关系)。任何人承诺绝对安全其实都是在花言巧语地推销东西。
八、快
对於一个翻墙工具下一个你要注意的问题是速度。有些工具总是很快,有些则总是很慢,有些完全无法预测其表现。速度受制於很多因素,包括该系统有多少人使用、用户在做什么、有多大的电脑资源,以及负荷是否均匀地分布在网络上。
「集 中化信任设计」有两个优点。第一,他们能看到所有用户以及他们正在做什么,即,他们可以事先将资源均匀分布,并可减少增加系统负担的行为。第 二,在需要的时侯可以购买更多电脑资源。因此,他们付出越多他们的工具速度就越快。而分布式信任设计就不那么容易跟踪他们的用户。如果他们依靠志愿者提供 的资源,那么,相对於集中式付更多宽带费可使速度加快,分布式使用志愿者越多其过程就越复杂速度也就越慢。
工 具的性能问
题的另一面是灵活性问题。许多系统通过限制其用户功能来确保速度。虽然「赛风」(Psiphon)限制用户造访他们还未经手工检查的网 站,但「极境网络」(Ultrareach)和「自由门」(Freegate)实际上已主动对允许用户造访的网站设限。这样他们才能控制他们的宽带费用。 相比之下,Tor能够让用户进入任何协议(protocol)和目标网站,即,比如,你也可以发送即时信息;但缺点是网络常常因用户的批量传输而不胜负 荷。
九、软件和更新易获得
当 某种翻墙工具一出名,其网站就会被屏蔽。如果无从获得这一工具,工具再好又有何用。在这里最好的解决办法是不要使用任何专门的客户软件。这样就不 必从工具网站上下载软件。比如「赛风」,只靠一般的浏览器,就不在乎网站可能被封,因为使用者不需要下载软件。另一种办法是使用微型应用程式,如「极境网 络」或「自由门」,你可以用实时消息的方式将链接传送给朋友。Tor的浏览器套件也是一个选择:套件包括所有已经配置好的所需要的软件。但是,由於它包含 了大型应用程式,如火狐(Firefox),因此不容易在网上传递。而通过社会网络、闪存硬盘,或使用电子邮件自动应答系统,则可得以分发。电子邮件自动 应答允许你通过谷歌的G-mail来下载Tor。
然后,你需要考虑每一种方法的特点。首 先,什么样的操作系统是它可支持的?「赛风」不需要任何额外的客户软件就可以很好工作;「极境网络」和「自由 门」都很特别,只能在微软视窗环境中工作;Tor及其软件基本上可以在任何环境中操作。其次,要考虑客户软件可自动处理从一个代理服务器转到另一个的失效 备援,所以,如果你目前的地址消失了或被封了,你不必用手工记下新的地址。
最后,你使用 的工具是否有跟踪记录功能来对付屏蔽?比如「无界浏览」和「自由门」都曾有当现有版本的工具停止工作时立刻发布更新版本的历史。他们在 这种「猫捉老鼠」的游戏中积累了丰富的经验,因此,有理由相信他们已经为下一轮变故做好了准备。在Tor这方面,也已经为最终可能被屏蔽做好了准备,那就 是将其网络通信更精简,看上去更像加密的网页浏览, 并介绍了还未出版的网桥中继(bridge relays)。对黑客来说网桥中继比公共中继(public relays)更难被发现和被屏蔽。Tor试图将软件更新跟代理服务器地址更新这两者区别开——如果你使用的网桥中继被屏蔽了,你可以继续使用同一个软 件,只要改变一下配置以使用新的网桥地址。我们的网桥设计2009年9月在中国进行了测试,数万用户顺畅地从使用公共中继转移到使用网桥中继。
十、不把自己作为翻墙工具推销
许 多翻墙工具通过大量媒体高调推出。媒体当然喜欢这样的做法,他们常常以《美国黑客对中国宣战!》为首页通栏标题。但这种亮相虽有助於吸引支持(志 愿者、利润、赞助商),但大肆宣传也吸引了审查者的注意。审查机构通常屏蔽两类翻墙工具:一类是好用的工具,即拥有数十万用户的工具;一类是名气很响的工 具。一般来说,审查制度屏蔽所有敏感内容的情况很少,更多的情况是制造一种打压的气氛,从而使人们进行自我约束。媒体上的文章对当局的控制能力造成威胁, 他们被迫做出回应。
这里要表明的是我们能够控制武器竞赛的速度。尽管某种工具拥有许多用 户,但只要无人谈论它,一般来说就不会被屏蔽。但是如果无人谈论它,用户又从何 知道它?走出这一悖论的方法之一是通过口耳相传和社会网络,而不是通过传统的媒体宣传来传播。另一方法是将工具置於一个不同的背景中——比如,我们主要将 Tor展现为一个保护隐私和公民自由的工具,而不是翻墙工具。但是,一个工具在名声日益增长时要维持这种平衡是很难的。
结语
本 文解释了一些你在评估翻墙工具的优缺点时应该考虑的问题。我故意没有将不同的工具做成图表及在不同的分类中对他们进行评分。毫无疑问,有人最终会 这样做,并概括出每种工具被打上多少个钩。但是现在的问题并不是要找出「最佳」工具。各种各样的翻墙工具被广泛使用,增加了所有这类工具的力量,因为审查 者必须同时去对付每一个策略。
最后,我们应该记住,技术不能解决所有的问题。防火墙毕竟 在许多国家都成功地发挥了作用。只要在审查制度下仍有很多人说「我很高兴政府使我感到互联 网是安全的」,那么就说明社会方面的挑战至少还是非常严重的。但与此同时,在所有这些国家仍然有人希望通过互联网学习和传播信息,那么一个强大的技术解决 方案就仍是至关紧要的一环.