Десять факторов
Роджер Динглдайн, лидер Проекта Tor
Пока все больше и больше стран принимают жесткие меры в отношении Интернета, люди по всему миру обращаются к программному обеспечению для обхода цензуры, которое помогает им получить доступ к заблокированным сайтам. Многие типы программного обеспечения, также известные как инструменты для обхода цензуры, были созданы в ответ на угрозу онлайн свободе. Эти инструменты имеют различные характеристики и уровни безопасности, и очень важно для пользователей понять различия.Эта статья описывает десять факторов, которые вы должны учитывать при оценке инструмента обхода цензуры. Моя цель - не пропагандировать какой-либо инструмент, а подчеркнуть, какие инструменты являются наиболее подходящими в различных ситуациях. Порядок представления факторов выбран, основываясь на простоте описания. Поэтому вы не должны думать, что первый фактор является самым важным.
Основывающееся на Интернете программное обеспечение для обхода цензуры состоит из двух компонентов: ретранслирующий компонент и открывающий компонент. Ретранслирующий компонент устанавливает связь с каким-либо сервером или прокси, занимается шифрованием, пересылает трафик в обоих направлениях. Открывающий компонент - это шаг перед шифрованием, процесс поиска одного или нескольких доступных адресов.
Некоторые инструменты имеют простой ретранслирующий компонент. Например, если вы используете открытый прокси, происходит прямой процесс использования прокси: вы настраиваете веб браузер или другое приложение на использование прокси. Большой проблемой для пользователей открытых прокси является нахождение открытого прокси-сервера, который надежен и быстро работает. С другой стороны, некоторые инструменты имеют более изощренные ретранслирующие компоненты и сделаны из составных прокси, составных слоев шифрования и т.д.
Одно пояснение для начала: я являюсь создателем и разработчиком инструмента под названием Tor, который используется как для обеспечения конфиденциальности, так и для обхода цензуры. Хотя, основываясь на том, какие инструменты я здесь выбрал, наглядным становится мое предпочтение таких более безопасных инструментов, как Tor (имеется в виду, что я поднимаю вопросы, которые отмечают сильные стороны Tor и до которых, возможно, нет дела разработчикам других средств), я также пытался включить детали, которые считают важными разработчики других инструментов.
1. Имеет разнообразные группы пользователей
Одним из самых простых вопросов, который вы можете задать при поиске инструмента для обхода цензуры, является вопрос о том, кто еще использует его. Множество пользователей означает, что если кто-то узнает, что вы используете определённое программное обеспечение, они не могут понять, почему вы его используете. Такой инструмент обеспечения конфиденциальности, как Tor, имеет много различных групп пользователей по всему миру (начиная от простых граждан и защитников прав человека до корпораций, правоохранительных органов и военных), поэтому факт наличия Tor на вашем компьютере не дает людям дополнительной информации о том, кем вы являетесь и какие сайты вы можете посещать. С другой стороны, представьте группу иранских блогеров, использующих инструмент обхода цензуры, который создан специально для них. Если кто-то обнаружит, что один из них использует этот инструмент, то можно сразу догадаться почему.Помимо технических характеристик, которые делают инструмент полезным для нескольких людей в одной стране или по всему миру, большую роль играет маркетинг, который, в свою очередь, создается пользователями. О многих инструментах информация распространяются устно, поэтому, если первые несколько пользователей оказались из Вьетнама и они считают инструмент полезным, следующие пользователи тоже, скорее всего, будут из Вьетнама. Также тот факт, что инструмент на какие-то языки переведен, а на другие не переведен, может сказаться на том, каких пользователей он привлечет (или наоборот воспрепятствует привлечению).
2. Работает в вашей стране
Следующий фактор, который вы должны рассмотреть, ограничивает ли оператор инструмента искусственно страны, в которых его можно использовать. Несколько лет назад коммерческий сервис Anonymizer.com сделал свой сервис бесплатным для людей в Иране. Таким образом, связи, идущие от серверов Anonymizer, исходили либо от платящих клиентов (в основном из Америки), либо от людей в Иране, которые пытались обойти фильтры их страны.
Из недавних примеров, Your-Freedom ограничивает свободное использование инструмента в нескольких странах, таких как Бирма, в то время как временами системы Freegate и UltraSurf совершенно блокируют связи со всеми странами, кроме тех, для которых они хотят служить (Китай и в случае недавнего Ultrasurf – Иран). С одной стороны, эта стратегия имеет смысл в условиях ограничения стоимости полосы пропускания. Но с другой стороны, если вы в Саудовской Аравии и нуждаетесь в инструменте обхода цензуры, полезные в другой ситуации инструменты не работают для вас.
3. Имеет устойчивую сеть и стратегию развития программного обеспечения
Если вы хотите посветить ваше время тому, чтобы понять, как использовать определенный инструмент, вы хотите убедиться, что вы сможете пользоваться им определенное время. Существует несколько путей, которые различные инструменты используют для обеспечения своего долгосрочного существования. Три главных подхода - это привлечение волонтеров, извлечение прибыли и получение средств от спонсоров.
Такие сети, как Tor полагаются на волонтеров, которые обеспечивают создание ретрансляторов сети и, таким образом, обеспечивают её укрепление. Тысячи людей по всему миру имеют компьютеры с хорошим соединением сети и хотят помочь сделать мир лучше. Объединяя их в одну большую сеть, Tor гарантирует, что сеть независима от организации, пишущей программное обеспечение. Таким образом, сеть будет существовать, даже если Проект Tor перестанет существовать. Psiphon использует второй подход: сбор денег для сервиса. Они утверждают, что если они могут создать приносящую прибыль компанию, то затем эта компания будет способна финансировать сеть на постоянной основе. Третий подход полагается на спонсоров, которые оплачивают стоимость полосы пропускания. Java Anon Proxy или Проект JAP полагались на правительственные гранты для финансирования полос пропускания; сейчас гранты закончились и они исследуют подход «ради прибыли». Ultrareach и Freegate успешно используют спонсорскую модель, хотя они постоянно ищут новых спонсоров, чтобы сохранять свою сеть действующей.
После вопроса о долгосрочном выживании сети следующим вопросом является устойчивость самого программного обеспечения. Те же три подхода применимы и здесь, но меняются примеры. Если сеть Tor управляется волонтерами, Tor полагается на спонсоров (правительства и ПНО) для финансирования новых возможностей и поддержания программного обеспечения. С другой стороны, Ultrareach и Freegate находятся в более устойчивой позиции в отношении обновления программного обеспечения: у них есть команда, состоящая в основном из волонтеров, по всему миру, которая работает над тем, чтобы инструмент был всегда на шаг впереди цензоров.Каждый из трех подходов может работать, но понимание подхода, который использует инструмент, может помочь вам предсказать, с какими проблемами вы можете столкнуться в будущем.
4. Имеет открытый код
Первым шагом на пути к прозрачности и долговременному
использованию программного обеспечения и инструмента является
распространение программного обеспечения (программное обеспечение не
только для клиента, но и для сервера) с открытым исходным кодом.
Открытый исходный код означает, что вы можете протестировать программное
обеспечение и увидеть, как оно работает на самом деле, и у вас есть
право изменить программу. Даже если не каждый пользователь
использует преимущество этой возможности (многие люди просто хотят
использовать инструмент таким, каков он есть), предоставление этой опции
дает больше гарантий того, что инструмент останется безопасным и
пригодным. Иначе вас заставляют верить, что небольшое число
разработчиков предусмотрело и учло все возможные проблемы.
Просто наличия открытого исходного кода недостаточно. Заслуживающие доверия инструменты обхода цензуры должны предоставлять четкую и полную документацию для других экспертов безопасности не только о том, как инструмент устроен, и какие цели были у создателей. Намеревались ли они предоставить защиту личных данных? От каких взломщиков? Каким образом инструмент использует шифрование? Намерены ли они предоставлять защиту от атак со стороны цензоров? Каким видам атак они намереваются противостоять, и почему инструмент будет противостоять им? Не видя исходного кода и не зная, что согласно задумке разработчиков он должен делать, сложно решить, существуют ли проблемы безопасности в инструменте, или оценить, достигнет ли он свои цели.
В поле криптографии принцип Кекегоффса объясняет, что вы должны создать вашу систему таким образом, чтобы количество секретной информации было настолько мало и хорошо понимаемо, насколько это возможно. Поэтому криптографические алгоритмы имеют ключи (секретную часть), а остальное может быть доступно и понятно для любого человека. Исторически сложилось так, что любой криптографический код, который имел много секретных частей, оказывался менее безопасным, чем думали его создатели. Подобным образом, в случае с закрытым кодом в инструментах обхода цензуры, единственными группами, проверяющими инструмент, являются его непосредственные разработчики и взломщики; другие разработчики и пользователи, которые могли бы помочь сделать его лучше, автоматически остаются вне доступа.
Идеи одного проекта могут быть заново использованы за рамками жизненного цикла проекта. Слишком многие инструменты обхода цензуры скрывают свои коды, надеясь, что правительственные цензоры потратят много усилий на то, чтобы разгадать, как работает система. Но в результате получается, что немногие проекты могут учиться у других проектов, и разработки в области обхода цензуры как таковые развиваются слишком медленно.
5. Имеет децентрализованное строение
Другая характеристика, на которую нужно обратить внимание в инструменте обхода цензуры, является ли его сеть централизованной или децентрализованной. Централизованный инструмент направляет все запросы пользователей через один или несколько серверов, которые контролируются оператором инструмента. Децентрализованный дизайн, например, Tor или JAP посылает трафик через множество различных местоположений, таким образом, нет одного местоположения или структуры, которая наблюдала бы за тем, какие сайты посещает каждый пользователь.
Другой способ посмотреть на это разделение основывается на том, является ли доверие централизованным или децентрализованным. Если вы должны вложить все ваше доверие в один объект, тогда лучшее, на что вы можете надеяться - это «конфиденциальность в силу принципов», а это означает, что у них имеется вся информация о вас, но они обещают не смотреть в нее, не потерять и не продавать ее. Альтернативой является то, что Комиссар по Конфиденциальности Онтарио называет «конфиденциальность по структуре», означающее, что само строение системы гарантирует сохранение конфиденциальности пользователей. В свою очередь, открытость кода позволяет каждому оценить предоставляемый уровень конфиденциальности.
Это не просто теоретический вопрос. В начале 2009 года Хэл Робертс с Центра Беркмана наткнулся на запись в части Списка Часто Задаваемых Вопросов по инструменту обхода цензуры, где для продажи предлагались файлы, содержащие историю кликов его пользователей. Позже я разговаривал с различными провайдерами инструментов обхода цензуры, которые объяснили, что у них есть вся история (в виде лог файлов) каждого запроса, когда-либо сделанного через их систему «потому что вы никогда не знаете, когда они могут вам понадобиться».
Я упустил названия инструментов, так как дело не в том, что некоторые поставщики инструментов могли предоставить кому-то информацию о пользователях; дело в том, что любой инструмент с централизованной облачной архитектурой может предоставить кому-то данные пользователей, и его пользователи не имеют возможности сказать, случилось ли уже это. Еще хуже, даже если поставщик инструмента имеет благие намерения, тот факт, что вся информация проходит через одно место, это создает привлекательную цель для взломщиков, которые желают шпионить.
Многие из этих инструментов видят обход цензуры и секретность информации о пользователях как абсолютно не соотносящиеся цели. Это разделение не обязательно является плохим, пока вы знаете, куда вы направляетесь. Например, мы слышим от многих людей в странах с цензурой, что вас не посадят просто за чтение новостей на веб сайте. Но как мы поняли из других контекстов за прошедшие годы, большие базы данных с персональной информацией имеют свойство быть обнародованными чаще, чем мы полагаем.
6. Keeps you safe from websites too
Конфиденциальность - это не только вопрос о том, может ли записывать ваши запросы оператор инструмента. Она также связана с тем, могут ли веб сайты, которые вы посещаете, распознать вас и следить за вами. Помните случай, когда Yahoo передал информацию об одном из своих китайских пользователей почтового сервиса? Что, если блог-агрегатор хочет узнать, кто постит в блоге, кто добавил последний комментарий или какие веб сайты читает определенный блогер? Использование более безопасного инструмента для выхода на веб сайт означает, что веб сайт не будет располагать большим количеством информации (которую он может передать) о вас.Некоторые инструменты обхода цензуры более безопасны, чем другие. С одной стороны - открытые прокси. Они часто передают адрес клиента вместе с веб запросом, поэтому для сайта не составляет труда точно определить, откуда поступил запрос. С другой стороны такие инструменты, как Tor, которые включают расширения для браузера клиента, чтобы спрятать версию вашего браузера, языковые настройки, размер окна браузера, временную зону и т.д.; изолировать куки, историю и кэш; обезопасить плагины, в частности Flash, от утечки вашей информации.
Хотя за этот уровень защиты на уровне приложения приходится расплачиваться: некоторые сайты работают некорректно. Так как все больше веб сайтов переходит на «web 2.0», они нуждаются в более навязчивых функциях, что касается поведения браузера. Самым безопасным ответом является отключение опасного поведения. Но если кто-то в Турции пытается зайти на YouTube и Tor отключает его Flash плагины для безопасности, то видео не будет загружаться.
Еще ни один инструмент не решил этой проблемы. Psiphon оценивает каждый сайт вручную и программирует свой центральный прокси на перезапись каждой страницы. В основном, они производят эту перезапись не для обеспечения конфиденциальности, а чтобы убедиться, что все ссылки на странице ведут назад к их прокси сервису. Но результатом является то, что, если они вручную еще не исследовали тот сайт, на который вы направляетесь, этот способ, возможно, не сработает для вас. В качестве примера, они, кажется, постоянно борются за то, чтобы идти в ногу с постоянно изменяющейся лицевой страницей Facebook. Tor в данный момент деактивирует некоторый контент, который, возможно, безопасен на практике, но мы еще не создали хороший интерфейс, позволяющий пользователям решать это осмысленным путем. Другие инструменты все еще просто допускают любой активный контент, подразумевая, что банально разоблачать их пользователей.
7. Не обещает волшебным образом зашифровать весь Интернет
Я должен провести различия между шифрованием и конфиденциальностью. Большинство инструментов обхода цензуры (все, кроме очень простых решений, таких как открытые прокси-сервера) шифруют трафик между пользователем и провайдером инструмента обхода цензуры. Им нужно это шифрование для защиты от фильтрования по ключевым словам, выполняемого такими операторами, как национальный брандмауэр в Китае. Но ни один из этих инструментов не может зашифровать трафик между провайдером и желаемым для посещения сайтом, если сайт не поддерживает шифрование. Таким образом, нет волшебного способа сделать весь трафик зашифрованным.Идеальным ответом для всех было бы использование https (так же известного как SSL) при доступе к веб сайтам, а для всех веб сайтов - поддержка https соединений. При правильном использовании https предлагает шифрование между вашим веб браузером и веб сайтом. Шифрование «end-to-end» означает, что никто в сети (ни ваш Интернет сервис провайдер, ни главные Интернет провайдеры, ни поставщик вашего инструмента обхода цензуры) не может просмотреть содержание вашей коммуникации. Но по некоторым причинам глубокое шифрование не нашло глобального применения. Если сайт не поддерживает шифрование, лучшее, что вы можете сделать, это: 1) не пересылать личную или щепетильную информацию, в частности настоящее имя в блог посте или пароль, т.е. то, что вы не хотите показать другим лицам, и затем 2) использовать инструмент обхода цензуры, не имеющий никаких сложностей с доверием, которые позволяют кому-то связывать вас с вашим пунктом назначения, несмотря на меры предосторожности шага 1.
Увы, все путается, если вы не можете не посылать чувствительную информацию. Некоторые люди выразили опасение о поддерживаемой волонтерами сети Tor, указывая на то, что при централизованной сети вы, по крайней мере, знаете, кто занимается инфраструктурой. Но на практике чужие люди не прочитают ваш трафик в любом случае. Обмен осуществляется между волонтерами, которые не знают, что вы это вы (имеется в виду, они не могут делать вас своей мишенью), или лицами, которые видят весь профиль вашего трафика (и связывают вас с ним). Любой, кто обещает «100% безопасность», продает что-то.
8. Предоставляет хорошее время ожидания и пропускную способность
Следующая характеристика, которую вы можете искать в инструменте обхода цензуры, - это скорость. Некоторые инструменты имеют тенденцию быть достаточно быстрыми, другие - медленными, а третьи ведут себя совершенно неожиданным образом. Скорость основывается на многих факторах, включая количество пользователей у системы, что пользователи делают, какова мощность, и распределяется ли нагрузка равномерно по сети.У централизованных проектов есть два преимущества. Во-первых, они могут видеть всех своих пользователей и то, что они делают, имея в виду то, что они имеют преимущество на равномерное распространение и предотвращение поведения, которое чрезмерно нагружает систему. Во-вторых, они имеют столько мощностей, сколько нужно. Таким образом, чем больше они платят, тем быстрее работает инструмент. Проекты распределенного доверия, с другой стороны, испытывают сложности, отслеживая своих пользователей, и если они полагаются на мощности волонтеров, то поиск большего количества добровольцев является более сложным процессом, нежели просто плата за большую широту пропускания.
Обратной стороной вопроса эффективности является гибкость. Многие системы гарантируют хорошую скорость путем ограничения возможностей своих пользователей. Если Psiphon не дает вам посещать сайты, которые они не проверили вручную, то Ultrareach и Freegate, чтобы снизить стоимость полосы пропускания, активно ограничивают веб сайты, к которым вы получаете доступ. Tor, наоборот, предлагает вам доступ к любому протоколу и сайту, и вы можете использовать через него даже сервис быстрого обмена сообщениями. Но негативной стороной является то, что сеть обычно перегружена пользователями, которые совершают большое количество действий.
9. Можно легко найти программное обеспечение и обновления к нему
Как только инструмент обхода цензуры становится известным, его веб сайт начинают блокировать. Если невозможно найти копию самого инструмента, кто заботится о том, насколько он хорош? Лучшим ответом в данном случае будет не требовать какого-то специального программного обеспечения для клиента. Psiphon, например, полагается на обычный веб браузер, поэтому им неважно, блокируется ли их веб сайт. Другой подход - это очень маленькая программа как, например, Ultrareach или Freegate, которую вы можете послать своим друзьям через сервис мгновенного обмена сообщениями. Третий вариант - это Пакет Tor для браузера, который имеет все сконфигурированное программное обеспечение, которое вам необходимо, но так как он включает в себя такие объемные программы, как Firefox, его труднее передать онлайн. В таком случае распространение обычно происходит через социальные сети, USB носители или путем использования нашей автоматической рассылки электронных сообщений, которая позволяет вам скачать Tor через Gmail.Затем вы должны принять во внимание компромиссы, которые присутствуют в каждом подходе. Во-первых, какие операционные системы поддерживаются? Psiphon и здесь впереди, так как он не требует какого-либо специального программного обеспечения для клиентов. Ultrareach и Freegate настолько специализированы, что работают лишь на Windows, тогда как Tor и сопутствующее ему программное обеспечение могут использоваться везде. Затем, учтите, что программное обеспечение со стороны клиента может автоматически справиться с преодолением отказа от одного прокси и переходит к другому, поэтому вам не нужно вручную вводить новый адрес, если какой-либо адрес исчезает или блокируется.
И последнее, есть ли у инструмента «положительная история» реагирования на блокирование? Например, UltraSurf и Freegate имеют историю выпуска быстрых обновлений, когда настоящая версия их инструмента перестает работать. У них есть большой опыт в этой игре в кошки-мышки, поэтому логично полагать, что они готовы к следующему кругу. Вместе с этим, Tor подготовил для своего возможного блокирования оптимизацию коммуникаций сети, чтобы выглядеть больше как шифрованный веб просмотр, представляя неопубликованные ранее «ретрансляторы мостов», которые взломщикам сложнее найти и заблокировать, нежели публичные ретрансляторы Tor. Tor старается разделить обновления программного обеспечения от обновлений прокси-адреса. Если используемый вами ретранслятор типа «мост» блокируется, то вы можете остаться с тем же программным обеспечением и просто настроить его на использование нового адреса моста. Наш мост был протестирован в сентябре 2009г. в Китае, и десятки тысяч пользователей плавно перешли с публичных ретрансляторов на Tor мосты.
10. Не заявляет себя в качестве средства обхода цензуры
Выход многих инструментов обхода цензуры сопровождается всплеском в СМИ. Медиа любят этот подход, и они в итоге публикуют на главной странице статью типа «Американские хакеры объявляют войну Китаю!» Но пока это внимание помогает привлечь поддержку (волонтеры, прибыль, спонсоры), оно привлекает также и внимание цензоров.В основном, цензоры блокируют две категории инструментов: 1) те, которые работают действительно хорошо, и 2) те, которые делают много шума. Во многих случаях, цензура не столько блокирует чувствительный контент, сколько создает атмосферу репрессий, и таким образом создают у людей само-цензуру. Статьи в прессе угрожают контролирующему имиджу цензоров, поэтому они вынуждены отвечать.
Урок заключается в том, что мы можем контролировать скорость борьбы вооружений. Парадоксально, даже если у инструмента есть много пользователей, пока о нем много не говорят, он остается доступным. Но если никто о нем не говорит, то как пользователи о нем узнают? Одним выходом является распространение информации устно и через социальные сети, нежели традиционные СМИ. Другим подходом является позиционирование инструмента в ином контексте; например, мы презентуем Tor главным образом как инструмент для обеспечения конфиденциальности и социальной свободы, нежели как инструмент обхода цензуры. Увы, трудно сохранять этот образ в условиях все возрастающей популярности.
Заключение
Эта статья объясняет некоторые моменты, которые вы должны учитывать при оценке сильных и слабых сторон инструментов обхода цензуры. Я специально не стал описывать различные инструменты и сортировать их по каждой категории. Без сомнений, кто-нибудь сделает это и суммирует пункты, которые наберет каждый инструмент. Но главная задача не в том, чтобы найти «лучший» инструмент. Наличие разнообразия в использовании инструментов обхода цензуры увеличивает надежность всех инструментов, так как цензоры должны разом следить за каждой стратегией.И в заключении, мы должны помнить, что технологии не решат всех проблем. Кроме того, брандмауэры социально очень успешны в этих странах. Пока многие люди в странах с цензурой говорят «Я так рад, что мое правительство защищает меня в Интернете», социальные сложности остаются, по крайней мере, такими же трудными. Но в то же время, во всех этих странах есть люди, которые хотят узнавать и распространять информацию онлайн, и сильное техническое решение остается критичной частью этой задачи.
Роджер Динглдайн - лидер проекта Tor, безвозмездно работающий в США над исследованиями в области обеспечения анонимности и развития на такие организации, как Военно-Морской флот США, Фонд Электронные Рубежи, Голос Америки. В дополнение ко всему, что он делает для Tor, Роджер организовывает академические конференции по вопросам анонимности, выступает на различных конференциях профессионалов и любителей, а также проводит консультации по вопросам конфиденциальности для национальных и зарубежных правоохранительных органов.
Статья распространяется согласно Лицензии США Creative Commons Attribution 3.0 United States License. Изначально подготовлена для «Index on Censorship» (Индекс цензуры) в марте 2010г, затем адаптирована для «Форума по правам в Китае» (перевод на китайский) в июле 2010. Последние изменения были внесены 25 мая 2010г.