Anticenzurní nástroj se ukázal jako příliš dobrý, než aby to byla pravda

Softwarový nástroj navržený tak, aby pomohl disidentům obejít vládní cenzuru internetu, obsahuje chyby tak závažné, že by mohly ohrozit ty, kdo jej používají.





Nástroj, tzv Kupka sena , získal ocenění a chválu za to, že umožnil politickým aktivistům a běžným občanům překonat vládní kontroly zakazující internetový obsah. Ale bezpečnostní expert Jacob Appelbaum varuje, že zanechává stopu stop, které by mohly být použity k nalezení toho, kdo ji používá, a k jakému obsahu přistupoval. Odborníci tvrdí, že to zdůrazňuje důležitost toho, aby externí odborníci kontrolovali technologie určené pro tento druh použití.

Haystack byl vytvořen v San Franciscu Centrum pro výzkum cenzury , kterou loni založili dva aktivisté Austin Heap a Daniel Colascione. Software měl podle webové stránky projektu poskytovat lidem v Íránu nefiltrovaný a nezjistitelný přístup k internetu. Jeho tvůrcům se dostalo velké pozornosti – Heap byl vyhlášen Inovátorem roku Strážce noviny a také obdržel cenu První dodatek koalice Beacon.

Nástroj byl účtován jako způsob, jak získat přístup k omezeným internetovým stránkám a zároveň skrývat tuto aktivitu před úřady. Tvůrci Haystack tvrdili, že to může udělat tak, že využije problémy s íránským firewallem, zašifruje komunikaci mezi uživateli a servery Haystack a zamaskuje provoz odesílaný do a z nástroje tak, aby uživatelé vypadali, že navštěvují neškodné webové stránky. V minulém měsíci však experti vyjádřili obavy, že nedošlo k žádné nezávislé kontrole jeho schopnosti fungovat tak, jak bylo slíbeno.



Appelbaum spolu s Jevgenij Morozov , hostující vědec v programu osvobozovací technologie na Stanfordské univerzitě a aktivista za občanské svobody Danny O'Brien zejména se snažili získat více podrobností o tom, jak byl software vytvořen. Obávali se, že zranitelnost v jeho základním kódu by mohla umožnit dekódování chráněných zpráv vládními úředníky. Po otestování softwaru byla jejich reakce hněv a zděšení.

Appelbaum říká, že poté, co slyšel popis toho, jak nástroj funguje, se obával, že nebyl postaven správně. Ale začal být opravdu znepokojen, jakmile to sám otestoval. Appelbaum a jeho kolegové prolomili ochranu soukromí tohoto nástroje za méně než šest hodin. Appelbaum říká, že pro vládní orgány by bylo snadné udělat totéž.

Toto je systém, který je tak křehký, že vám stěží mohu říci, jak funguje, aniž bych se extrémně obával o lidi, kteří jej mohli používat a neměli tušení, že jsou vystaveni riziku, říká Appelbaum. Je to neuvěřitelné a neuvěřitelně hrozné.



Appelbaum říká, že musí být opatrný při uvádění podrobností o tom, co je s Haystack špatně, ze strachu z dalšího ohrožení těch, kteří by mohli být ohroženi. Ale říká: Když nástroj použijete, účinně upozorní úřady, že se jej pokoušíte použít.

V pondělí Heap oznámil, že Haystack zastaví distribuci a testování s uživateli v Íránu, dokud nebudou vyřešeny bezpečnostní problémy. On napsal , Začali jsme kontaktovat uživatele Haystack, abychom jim řekli, aby přestali program používat. Nebudeme pokračovat v testování, dokud nebude dokončena tato kontrola třetí stranou a nebudou otevřeny a transparentně řešeny bezpečnostní problémy.

Ani Heapovi, ani dalším zaměstnancům Centra pro výzkum cenzury ani členům představenstva nebylo možné se k věci vyjádřit. Ale Colascione, hlavní vývojář Haystack, zveřejnil a veřejný rezignační dopis uznal, že Appelbaumovy obavy byly oprávněné. Je to tak špatné, jak to Appelbaum dělá, napsal Colascione a dodal, že verze v oběhu byla určena pouze pro testování, nikdy ne pro distribuci a skutečné použití.



Appelbaum říká, že se mu podařilo získat a spustit kopii Haystack několik dní poté, co Heap tvrdil, že přestal podporovat software, což naznačuje, že organizace nemá kontrolu nad tím, jak široce je distribuován.

Je alarmující, že Heap a jeho kolegové nepřijali více pomoci od lidí etablovaných v oblasti obcházení cenzury , říká Ross Anderson , předseda britské pobočky Nadace pro výzkum informační politiky a profesor bezpečnostního inženýrství na univerzitě v Cambridge.

Anderson říká, že je velmi obtížné navrhnout nástroje pro obcházení cenzury, které by fungovaly správně, a tvůrci takových nástrojů se musí dobře orientovat v rizicích a úskalích. Existuje mnoho krvavé historie a existuje mnoho relevantních výzkumů, říká.

Výzvy jdou nad rámec pouhého poskytování přístupu k omezeným webům, říká Anderson. Nástroje musí chránit anonymitu uživatelů a vyhýbat se vytváření důkazů, které by mohly být usvědčující, pokud by se dostaly do rukou vládních úředníků.

Špatně navržený nástroj může uživatele vybrat, říká Anderson. Přirovnává to k tomu, že se jako jediný objeví na večírku s maskou. Varuje, že protože Haystack se nezdá být široce používán, úřady by mohly předpokládat, že každý, kdo má kopii, je vysoce hodnotným cílem a měl by být zatčen.

Berkmanovo centrum pro internet a společnost na Harvardské univerzitě již dříve provedlo testy nástrojů pro obcházení cenzury, a to jak v laboratoři, tak v zemích, které filtrují internetový obsah, aby zjistilo, jak účinné jsou nástroje při obcházení cenzury, jak jsou bezpečné a jak snadné jsou. jsou k použití. Berkman výzkumník Ethan Zuckerman říká, že doufá, že zakladatelé Haystack umožní verzi tohoto nástroje otestovat později v tomto roce, až bude centrum příště plánovat takové nástroje vyhodnotit.

skrýt