AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

用 Rust 编写,已有 10 万行代码:顶级黑客组织出手,将推出新的反数据收集开源框架 Veilid

  • 2023-08-06
    北京
  • 本文字数:3793 字

    阅读完需:约 12 分钟

用Rust编写,已有10万行代码:顶级黑客组织出手,将推出新的反数据收集开源框架Veilid

近来,一个几十年前成立的、最古老、最具传奇色彩的黑客组织“复活”了。该黑客组织经过三年的筹备和开发之后,将推出一个新的开源项目 Veilid,该项目可让开发人员创建不收集或存储任何个人数据的社交应用程序。

 


大家日常使用的一些社交应用程序,会收集一切信息:你的位置、你的联系人、你的偏好、你的习惯、你的观点......再利用这些数据向你推销广告、影响你的行为、操纵你的情绪,甚至监视你。而 Veilid 的目的就是让用户拥有自己的数据,并决定与谁共享数据。这可能并不容易,因为 Veilid 不允许有针对性的广告或数据挖掘,而这是许多社交应用程序的主要收入来源。

 

一个古老的黑客组织“复活”了

 

黑客组织“死牛崇拜”(Cult of the Dead Cow,简称 cDc)可谓全美历史最悠久、社会影响力最大的黑客组织,也是“黑客行动主义”一词的发源地。该组织的名称源自早期成员们在得克萨斯州拉伯克市的一处早期聚会场所——大家想的没错,一处废弃的屠宰场,曾以分发黑客工具和羞辱软件公司来敦促其提高安全性而闻名。

 

该组织形式松散,而且不乏奇怪的分支,他们给骇客注入了道德准则,并渴望追求品德“高尚”。早在上世纪 80 年代,青少年阶段的 Beto O’Rourke(美政治家)就是该组织的活跃成员。cDc 最初只是在网络公告版上撰写故事,之后陆续迎来了如今网络安全领域的众多知名人士。比较有名的是其中两名成员率先对广泛使用的软件中的安全缺陷发出公开警告,并开始在修复过程中与厂商协调披露事宜。

 

这对搭档里就有 Peiter Zatko(更为人所熟知的绰号应该是“Mudge”),曾任五角大楼国防高级研究计划局(DARPA)的项目经理,并在线上支付服务商 Stripe 担任过安全主管。他后来被 Twitter 创始人 Jack Dorsey 聘用,负责监督安全工作。在去年的国会听证会上,他表示 Twitter 的安全实践非常糟糕,违反了该公司此前与联邦贸易委员会达成的和解协议。目前贸易委员会正在着手调查此事。

 


Twitter 前安全主管 Peiter “Mudge” Zatko 也是死牛崇拜的成员。

 

另一位先驱则是 Christien Rioux,他编写了一款用于攻击 Windows 设备的开源工具 Back Orifice 2000,并于 1999 年的 Def Con 大会上发布,因此十多年来他一直是 Microsoft 的眼中钉。Rioux 随后与他人共同创立了 Veracode 公司,专门开发可查找潜在安全缺陷的扫描软件。目前这家公司的估值已经超过 20 亿美元。

 

Rioux 和 Zatko 同时也是 L0pht 组织的成员,该组织在 25 年前曾向美国国会发出著名警告,称互联网基础设施的安全水平极其低下。另外,该组织还激发了标志性隐私工具的创建,例如匿名浏览器 Tor。

 

该组织目前正致力开发一套新系统。这群技术活动家们希望借助这项成果,构建起不会保留用户个人数据的消息传递和社交网络应用。

 

而得知此消息的网友们十分激动:“当我在 2000 年左右第一次听说他们时,他们已经达到了某种神话般的地位。”“天啊,当初炸裂了的 cDc?!已经很久没有听到这个名字了,以至于我都快要忘记了。就像,至少几十年。太好了,他们还继续活跃着!”“哇,完全是过去的回忆。好高兴听说他们还在活跃!”

 


新的开发框架

 

cDc 组织开发的是一种可供应用开发者使用的编码框架,希望通过其强大的加密技术颠覆现状,消除目前大多数应用从常规数据中收集具体资料、据此发布个性化广告的行业常态。

 

该团队选择以 Signal 等免费产品为基础。Signal 能够为文本消息和语音通话提供强大的加密功能,而 Tor 则通过一系列服务器路由流量来掩盖上网用户的真实位置,借此实现真正匿名的网络活动。

 

关于本次新框架的开发细节,将在下周于拉斯维加斯召开的年度 Def Con 黑客大会上具体披露。他们希望为消息传递、文件共享甚至是社交网络类应用打造新的基础,用全面端到端加密的方式保证用户信息安全、拒绝数据收集。

 

这套新框架名为 Veilid(发音为 vay-lid),开发人员可以利用它为移动设备或 Web 端构建应用程序。开发团队表示,这些应用程序将使用 Veilid 协议相互传递经过完全加密的内容。而且跟文件共享软件 BitTorrent 类似,随着更多设备加入进来并分摊负载,网络传递速度会变得越来越快。在这种去中心化的“点对点”网络中,用户彼此在对方处下载数据,而不再依靠集中化服务器设施。

 

在架构上,Veilid 是用 Rust 编写的,使用强大的加密技术,并且节点可以在 Linux、Mac、Windows、Android、iOS 以及浏览器的 WASM 上运行。它通过 UDP、原始 TCP、Websockets 和安全 Websockets 进行低级别的通信协议。节点被优化用于低延迟、高节点变动,并且特别能够处理低级别的网络变化,比如在通信过程中从蜂窝网络切换到 Wi-Fi 网络。

 

与其他开源项目一样,工作中的最大难点在于说服更多程序员和工程师花时间来设计与 Veilid 相兼容的应用程序。尽管开发者可以选择付费应用或者弹窗广告,但由于无法收集用户的详细个人信息,所以不可能拿到分发针对性广告或向特定用户群体推销产品的这部分传统收益。

 

Veilid 背后的开发团队尚未发布关于设计路线的说明文档,只提到他们是在初始开发的消息传递应用上进行协作。这款应用无需电话号码即可运行,但目前还没有供对外发布的测试版本。

 

目前社交网络和聊天用户对于 Twitter 和 Facebook 的不满已经积累到了临界点,在市场混乱、冲突的大背景之下,大家也更愿意抱着尝试的心态接纳新生事物。

 

非营利组织电子前沿基金会执行董事 Cindy Cohn 表示,“人们正在开发一套全面覆盖的端到端加密框架,这真是太棒了。我们有望突破固有的监控商业模式。”

 


经过三年的筹备和开发之后,Veilid 终于降临人间,成为黑客和安全领域中罕见的“野心之作”。

 

Veilid 是 cDc 这十多年来最重要的发布成果。

 

Rioux 在 Veilid 框架中承担了全部 10 万行代码中的大部分工作量,死牛崇拜的其他成员则主要参与测试和反馈,包括制定政策、撰写文档和开发首款应用。

 

Rioux 在采访中解释道,“我们可以将 Tor 视为网站访问中的隐私系统,它能对源 IP 做匿名化处理。”所谓源 IP,是指分配给各计算机且一般可以追踪的数字名称。但 RIoux 强调,Tor 使用起来非常复杂,“不太适合移动设备,而且构建方式也不够现代。”

 

“我们的成果有点像 Tor,但主要面向应用端。现在每个人口袋里的手机都是部小超算,那为什么把它们汇聚起来构建新的云呢?”

 

Rioux 和 Veilid 项目的其他参与者表示,决定成败的关键是能不能降低开发者和用户的接受门槛,最好能像 Facebook 那么简单易用。现有应用都可以制作与 Veilid 兼容的版本,确保用户在不受任何第三方窥探的前提下进行通信。

 

Veilid 的意义是什么?

 

该项目由一家已早点 501c(3)非营利资质的基金会运营,三名董事分别是 Rioux、新近加入 cDc 的 Katelyn Bowden,以及活跃于上世纪 90 年代并长期从事安全工作的 Paul Miller。

 

Bowden 指出,“现在要找款不出售用户数据的应用实在太难了。我们将赋予人们拒绝这种数据经济的选项。……将权力归还给用户,赋予他们对自己数据的掌控权,同时狠狠打击那帮靠销售私密信息赚取大量财富的家伙。”

 

一些参与过代码测试的资深工程师表示,该项目确实表现良好。

 

其中一位工程师 Kirk Strauser 指出,他很高兴 Rioux 采用了经过验证的加密协议,而不是从零开始纯靠原创。

 

他将 Veilid 与点对点先驱 Napster 相提并论,后者也是一款革命性产品,同样主要由现有技术组装而成。

 

Strauser 在一家数字健康公司担任首席安全架构师,他表示“这是一种将现有技术成果组合起来的新方式。”

 

Veilid 面对的最复杂挑战之一在于内容审核,这也是 Twitter 和 Facebook 始终没能处理好的核心难题。

 

近期涌现的一些后起之秀,例如 Mastodon,选择了所谓“联邦”方案。即将用户划分成一个个团体,各团体既坚守自己的规则、又可与其他规则不同的团体保持松散联系。

 

Facebook 母公司 Meta 表示,未来将保证新发布的 Threads 能够与 Mastodon 等新兴社交平台相兼容。但在 Veilid 非正式顾问 Micah Schaffer 看来,这仅仅是互联网大厂利用联邦设计 “来营造你有的选的幻觉。他们其实是以一种偏离审核责任的方式在拥抱联邦设计——不喜欢这里?那你怎么不去别的服务器?”

 

完全加密之后,版主将看不到那些“有毒”的互动,这也是 Veilid 官方 Web 应用只允许用户邀请特定关注者的原因之一。

 

Schaffer 曾在 YouTube 建立起首个安全团队,随后又在 Snap 领导公共政策事务。“Veilid 为新一代社交应用打开了大门,让应用在设计层面就变得更加安全。”

 

Rioux 表示,他希望自己在 Def Con 大会首日开幕式上和 Bowden 的对话以及后续的技术研讨与线下聚会,能够吸引到更多的关注者以推动 Veilid 项目取得成功。

 

“Def Con 是以隐私为中心的用户和开发者们的大本营。我们选择在这个正确的地点推出正确的方案,希望吸引到更多对此感兴趣的朋友。”

 

隐私和安全机构自然也在密切关注当下发生的一切。

 

PGP 公司及安全通信厂商 Silent Circle 与 Blackphone 联合创始人、发明家 Jon Callas 率先出面支持,“我非常赞赏他们不畏艰险的精神,也期待能看到更多项目细节。”

 

参考链接:

https://veilid.com/#about

https://twitter.com/VeilidNetwork

https://www.washingtonpost.com/technology/2023/08/02/encryption-dead-cow-cult-apps-def-con/

https://www.axios.com/2019/06/06/cult-of-dead-cow-lessons-from-historys-great-hacker-groups

https://www.linkedin.com/posts/lancing-light_veilid-defcon-socialmedia-activity-7092552164782325760-LEQY/

https://www.reddit.com/r/technology/comments/15g9npx/hacking_group_cult_of_the_dead_cow_plans_system/

2023-08-06 19:036683

评论

发布
暂无评论
发现更多内容

10个人9个答错,另外1个只对一半:数据库的锁(1)

Java 程序员 后端

2021!阿里技术官最新发布Java零基础就业宝典,不用再怀疑人生了

Java 程序员 后端

2021,你还在写“赤裸裸,nginx源码分析pdf

Java 程序员 后端

2020年IT运维市场大前景到底怎么样,一举拿下腾讯美团滴滴offer

Java 程序员 后端

2021先定个小目标?搞清楚MyCat分片的两种拆分方法和分片规则!

Java 程序员 后端

2021最新成功收获字节(Java后端开发)意向书

Java 程序员 后端

2021最新金三银四面经:166位粉丝面试大厂经验总结(附面试真题

Java 程序员 后端

1000页神仙文档,连阿里P8面试官都说太详细了,面面俱到!搞懂这些直接P6+

Java 程序员 后端

14道MyBatis面试题总结,看完你还敢说懂MyBatis吗?

Java 程序员 后端

1年半经验,2本学历,Curd背景,干货精讲

Java 程序员 后端

1篇文章全面总结2020年Java面试知识,掌握这些你也能进大厂!

Java 程序员 后端

2021阿里大牛最新发布:Java高频面试题和核心技术(已涨薪6K

Java 程序员 后端

2021最新总结:1万字Java并发编程最新面试题合集【含答案 建议收藏

Java 程序员 后端

“元宇宙”火出圈,不仅是区块链与科技圈,小说里也出现了

区块链日报

区块链 人工智能 facebook vr 元宇宙

15张图搞定MySQL InnoDB工作原理,kafka视频分析

Java 程序员 后端

15道常考SpringBoot面试题整理,java资源百度云盘

Java 程序员 后端

2021年九月最新Java面试必背八股文,338道最新大厂架构面试题

Java 程序员 后端

最新!阿里发布第四版Spring Cloud Alibaba全彩版手册

Java 架构 面试 微服务 阿里

2020年最新蚂蚁金服 Java 高级岗2000+面试通关秘籍,就这水平

Java 程序员 后端

2021毕业的Java应届生,面试需要掌握哪些技能,才能收割offer

Java 程序员 后端

区块链日报网元宇宙频道正式上线

区块链日报

架构实战营课程总结

子豪sirius

架构实战营

100道 IT名企前端面试真题,【面试必备】

Java 程序员 后端

2020年Java篇:蚂蚁金服、拼多多,小米java面试几轮

Java 程序员 后端

100道 IT名企前端面试真题(1),java面试中经常被问到的问题

Java 程序员 后端

与 Python 之父聊天:更快的 Python!

Python猫

Python

2021先定个小目标?搞清楚MyCat分片的两种拆分方法和分片规则!(1)

Java 程序员 后端

2021想进大厂?高手面经送给你:Java基础笔记

Java 程序员 后端

职场高效协作手册

刘华Kenneth

效率 职场 沟通

10个人9个答错,另外1个只对一半:数据库的锁

Java 程序员 后端

133道Java面试题及答案(面试必看),2021年Java面试心得

Java 程序员 后端

用Rust编写,已有10万行代码:顶级黑客组织出手,将推出新的反数据收集开源框架Veilid_中间件_Tina_InfoQ精选文章