一、用戶多元化
二、本地適用
三、可持續性網絡和軟件開發
四、開放式設計
五、分佈式結構
六、上網安全
七、不承諾能為整個互聯網加密
八、快
九、軟件和更新易獲得
十、不把自己作為翻牆工具推銷
當越來越多國家對使用互聯網進行鎮壓時,世界各地的人們正轉而尋找反審查軟件,以使他們能夠進入被屏蔽的網站。這類軟件也被稱為翻牆工具,是為了應付對網絡自由的威脅才被創造出來的。這些工具擁有不同特點,具有不同程度的安全性能。對用戶來說,瞭解使用這些軟件的優缺點十分重要。
本文提出十個在你評估一種翻牆工具時應該考慮的問題。我們的目的並不是為了推崇某一種軟件,而是為了告訴你在不同情況下什麼樣的工具更有用。提出這些問題的順序先後主要根據敘述的需要;所以,並不是首先提到的問題就是最重要的。
首先要告知的是:我是Tor第二代「洋蔥路由」軟件的發明人和開發者。Tor主要用於保護隱私和翻牆。雖然根據我所選擇的問題在這裡顯示了我對像Tor這樣的更安全的工具的偏愛(即我提出的問題突顯了Tor的優點;而這些問題是其他的工具開發者可能並不在意的),但我也試圖將其他軟件開發者認為重要的問題包括在內。
用於互聯網的翻牆軟件,包含兩個組件:中繼組件和發現組件。中繼組件建立與主機或代理服務器的聯繫,進行加密處理和傳輸數據;發現組件要做的則是在此之前的步驟—尋找一個或多個可訪問地址的過程。
有些工具只有一個簡單的中繼組件。比如,假定你正在使用一個開放代理服務器,使用過程是很直接的:設置你的網絡瀏覽器或其他軟件,以使用代理服務器。對使用開放代理服務器的人來說一個較大的挑戰是找到一個可靠、快速的開放代理服務器。另外,有些工具有非常複雜的中繼組件,由多個代理服務器、多層加密組成,等等。
當你評判一個翻牆工具時你會問的一個最簡單問題就是:還有誰在用它?使用者的多元性意味著如果有人發現你正使用這一軟件,他們將無法確定你用它的原因。安裝了一個像Tor這樣的保護隱私的工具——在全世界有許多不同階層的使用者(從普通民眾和人權活躍人士,到企業、執法部門和軍方)——這個事實並不會讓別人獲得更多有關你是誰或你可能會訪問哪些網站的信息。另一方面,設想一下一組伊朗博客使用只為他們設計的翻牆工具,那麼當任何人發現他們中有人使用這一軟件時,就很容易猜出使用它的目的。
除了技術上的特點,也就是使某種工具在一個國家對一些人很有用,或對世界上所有人都有用之外,市場營銷扮演著一個重要角色。許多工具是通過口耳相傳普及的,如果第一批用戶在越南,他們發現這個工具好用,那麼下一批用戶很可能仍在越南。一種工具被翻譯成某種語言或沒有被翻譯成某種語言,也會對其可能吸引的用戶起引導或阻礙作用。
下一個需要考慮的問題是這一工具是否人為地限制了在哪些國家可以使用它。幾年來,商業性網站Anonymizer.com在伊朗一直是免費使用的。所以該網站准予連接的要麼是付費的消費者(大部分在美國),要麼是在伊朗的為了規避政府審查的使用者。
最近的例子是Your Freedom只允許像緬甸這樣一小部分國家免費使用,像「自由門」和「無界瀏覽」這樣的系統也只在少數他們願意提供服務的國家(中國,無界瀏覽則在伊朗)提供免費連接,在其他國家則完全不行。一方面從寬帶成本的角度考慮,這一策略是有道理的;但另一方面,如果你在沙特阿拉伯,需要翻牆工具,一些有用的工具可能就不在你可選擇的範圍之內。
如果你準備花時間弄清楚怎樣使用某種工具,你想確定的是這種工具是不是會存在一段時間。這裡有三種可以確定不同的工具能否長期存在的方法:利用志願者、能否贏利、從贊助商獲得資金。
像Tor這樣的網絡是依靠志願者提供中繼才形成網絡的。全世界數千位有良好網絡連接的志願者,他們想幫助世界變得更美好。通過把他們連接成一個巨大的網絡,Tor確保了這個網絡獨立於編寫這軟件的公司,因此即便Tor這個項目作為一個實體已經消失,這個網絡仍將繼續存在。「賽風」(Psiphon)走的是第二條路:收服務費。他們的理由是,如果他們可以使公司贏利,那麼公司將有能力在此基礎上建立一個網絡。第三條路是依靠贊助者來付帶寬費。Java匿名代理(Java Anon Proxy)或是JAP項目依靠政府撥款資助其寬帶;現在政府撥款已經停止,他們正在瞭解收費贏利的辦法。「極境網絡」(Ultrareach)和「自由門」(Freegate)採用的「贊助者」模式效果不錯,不過他們一直在尋找更多贊助者以使他們的網絡可以繼續操作下去。
在解答了一個網絡怎樣才能長期生存下去的問題之後,接下來的問題就是軟件本身的可持續性。上面說到的三種方法同樣適用於此,但是例子不同。雖然Tor的網絡是由志願者來操作的,但是Tor作為軟件本身靠的是贊助者(政府和非政府組織)來資助軟件的新功能和軟件的維護。而「極境網絡」和「自由門」,在軟件更新方面的可持續性更強:他們在世界各地有一支團隊,大部分是志願者,確保他們的工具永遠比政府的審查走前一步。
這三種方法各有優點,但是加深理解某種工具採用的方法,可以幫助你預測未來你可能會碰到什麼樣的問題。
要做到工具軟件及其設計透明並有可復用性,首先必須根據開源許可(不僅是客戶方面的軟件,而且還有服務器方面的軟件)來發佈軟件。開源許可,即使用者可對軟件進行檢驗,看它如何操作,並且有權對應用程式加以修改。雖然並非人人都得益於這樣的機會(許多人只想使用工具現有的功能),但實際上有的使用者可以使之更加安全和有用。沒有這一選擇,你等於被迫相信少數軟件開發者已經考慮到並解決了所有可能發生的問題。
僅僅擁有開源許可是不夠的。可靠的翻牆工具需要提供其他安全專家可資使用的清楚完整的文件——不僅有關其如何設計,而且有關其特點,以及開發者所要實現的目標。他們准備提供隱私保護嗎?他們準備應對攻擊性的審查嗎?他們準備抵抗什麼樣的攻擊?為什麼他們的工具能夠抵抗這樣的攻擊?如果看不到源代碼和瞭解開發者的目的,就很難決定這一工具是否存在安全問題,或是很難評估其能否達到其目標。
在密碼學領域裡,科克豪福斯(Kerckhoffs)原則要檢驗的是你所設計的系統應該使你要保密的範圍儘可能小和容易理解。這就是為什麼在加密算法中有密鑰(其秘密部分),而其餘部分則可對任何人公開解釋。歷史上,任何加密設計如果其中的秘密部分過多,最後的結果一定比設計者設想的更不安全。相似情況也適用於翻牆工具的秘密設計,唯一能對該軟件進行檢驗的人是該軟件的開發者和傷害它的攻擊者,其他有助於使它更好更可持續的開發者和使用者卻都被排除在外了。
設計某一項目的想法可以被重複使用從而超出這一項目本身的壽命。有太多的翻牆工具對自己的設計加以保密,希望政府審查時難以發現其系統如何運作,但這樣做的結果是各種項目之間無法相互學習,翻牆工具的發展領域作為一個整體進展緩慢。
對翻牆工具另一個需要瞭解的特點是它的網絡是集中式的還是分佈式的。集中式的工具將其使用者的發出的所有要求通過一個或幾個工具操作者控制的主機來回答。而一個分佈式的設計,如Tor或JAP,則通過多個不同地點傳輸數據。因此,就不存在可以看到每個使用者正進入哪個網站的單一地點或統一體。
另一觀察這種區別的角度基於你的信任是集中式的還是分佈式的。如果你將所有信任全部放在一個實體上,那麼你能期望的最好情況就是「以政策保護隱私」——即,他們雖然擁有你的所有數據,但他們保證不去看,也不會丟失或轉賣你的數據。另一個方式就是安大略保護隱私委員會所呼籲的「以設計保護隱私」——即系統設計本身確保使用者的隱私得到保護。這種設計的開放性讓每個人評估設計所提供的對隱私的保護程度。
這一關切並非僅為假設。2009年初,伯克曼中心的哈爾•羅伯茲在一個翻牆工具網站的常見問答中發現這一工具在推銷其用戶「點擊記錄」(clicklogs)。後來,我跟另一翻牆工具提供商聊天,他說,他們擁有所有對其系統提出的使用要求記錄,「因為你永遠不知道什麼時候你可能會需要他們。」
我在這裡隱去了這些工具的名稱,因為重要的不是這些工具提供商可能使用了用戶的資料,而是任何以集中化信任架構為基礎建立起來的工具都能夠使用其用戶的資料,而這是用戶無法知道的事情。糟糕的是,即使工具提供商並無惡意,但實際上所有數據通過一個地方,便使這個地方成了攻擊者前來窺探的具吸引力的目標。
許多這類工具把翻牆與保護用戶隱私看作完全互不相連的兩個目的。這種分離並不一定是壞事,只要你知道你正處於怎樣的境況。比如,在對信息進行審查的國家中,我們從許多人那裡聽說,僅僅到一個新聞網上閱讀並不會被盯上。但是,正如我們在過去幾年裡從各方面所瞭解到的,巨大的個人信息數據庫最終往往比我們希望的更公開。
隱私問題不僅僅涉及你使用的工具是否能記錄你的使用請求,而且還涉及你訪問的網站會不會認識或跟蹤你。還記得雅虎交出其一位中國客戶信息的事嗎?如果一個博客聚合要找出誰正在某個博客上貼文、誰貼了最新評論,或某一位博客到其它網站閱讀了什麼,那將會怎麼樣?使用安全的工具上網意味著網站沒有多少信息可以交出去。
一些翻牆工具比另一些更安全,其根本原因在於代理服務器。代理服務器常常將客戶地址跟著他們的網絡使用請求一起發送出去,因此網站很容易確切地瞭解使用請求是從哪裡來的。從另一個角度來講,像Tor這樣的工具使用客戶端瀏覽器延伸來隱藏你的瀏覽器版本、語言偏好、瀏覽器視窗尺寸、時區等等,來隔離你的「小甜點」(Cookies)、過往歷史和緩衝,從而可以預防像「快閃」(Flash)這樣的插件洩漏你的信息。
但是使用應用程序級的保護是有代價的:一些網站不能正確工作。當更多網站發展到最新「互聯網2.0」版本時,這些網站要求瀏覽器的功能有更大的入侵性。如果要達到最安全的目的,就要解除那些會帶來危險的功能。但如果某人在土耳其試圖登錄YouTube,而Tor為了安全,關閉了他的插件(Flash),那麼他的視頻就工作不了了。
沒有哪個工具可以既安全又好用。賽風(Psiphon)在它的集中化代理服務器上手工評估每個網站和應用程式,改寫每一篇網頁。他們的改寫主要並不是為了保護隱私而是為了確保網頁上的所有連接能被導回其代理服務器,但結果是,如果他們沒有查到你的目標網站,它可能就不能幫助你了。比如,因為Facebook首頁一直不斷變化,賽風為了跟上它也必須跟著不斷變化。Tor目前將一些內容關閉了,這些內容也許在實踐中是安全的,之所以這樣做是因為我們還沒有設計出一個好的界面,可以讓用戶在充分掌握信息的情況下做出決定。其它工具則還是讓任何內容通過,他們不太在乎客戶被暴露。
我應該在加密和隱私之間做一區分。大部分翻牆工具將用戶與翻牆工具提供商之間的網絡數據加密,但像代理服務器這樣非常簡單的服務器則不加密。翻牆工具需要加密以規避像中國的防火牆這樣的審查機制設置的關鍵字過濾。但是,如果目標網站不支持加密的話,沒有一種工具可以對工具提供商和目標網站之間的網絡數據加密。因此,不存在一種神奇的辦法可以為網絡數據加密。
對每個人來說,理想的答案是使用安全超文本傳輸協議(HTTPS)上網;對每個網站來說,最好都支持安全超文本傳輸協議的連接。只要你正確使用,安全超文本傳輸協議會在你的瀏覽器和網站間提供加密。這種終端對終端的加密意味著網絡上無人(並非指你的互聯網服務供應商,互聯網主幹供應商和翻牆工具提供商)能獲得你的通訊內容。但是由於種種原因,擴大加密還沒有被完全接受。如果你的目標網站不支持加密,那麼最好的辦法是:第一,不要發送可辨識或敏感的信息,如在博客帖子上署真名,或你不希望別人知道的密碼;第二,使用無任何信任瓶頸的翻牆工具。所謂有信任瓶頸的翻牆工具就是,儘管在你已經做到了第一點的情況下,還是會讓別人將你和你造訪的目標網站聯繫在一起的工具。
另外,當你必須傳送敏感信息時安全問題就變得更為複雜。有人對Tor使用志願者操作的這種網絡設計表示關切,理由是如果使用集中式設計你至少知道誰在操作基礎設施。但實際上不管採取哪種方式都是陌生人在讀你的數據,不同點不過是陌生的志願者還是陌生的專注於你的人。前者不知道你是誰(他們不會以你為目標),後者的目的就是要獲得你的全部流量資料(及你與它的關係)。任何人承諾絕對安全其實都是在花言巧語地推銷東西。
對於一個翻牆工具下一個你要注意的問題是速度。有些工具總是很快,有些則總是很慢,有些完全無法預測其表現。速度受制於很多因素,包括該系統有多少人使用、用戶在做什麼、有多大的電腦資源,以及負荷是否均勻地分佈在網絡上。
「集中化信任設計」有兩個優點。第一,他們能看到所有用戶以及他們正在做什麼,即,他們可以事先將資源均勻分佈,並可減少增加系統負擔的行為。第二,在需要的時侯可以購買更多電腦資源。因此,他們付出越多他們的工具速度就越快。而分佈式信任設計就不那麼容易跟蹤他們的用戶。如果他們依靠志願者提供的資源,那麼,相對於集中式付更多寬帶費可使速度加快,分佈式使用志願者越多其過程就越複雜速度也就越慢。
工具的性能問題的另一面是靈活性問題。許多系統通過限制其用戶功能來確保速度。雖然「賽風」(Psiphon)限制用戶造訪他們還未經手工檢查的網站,但「極境網絡」(Ultrareach)和「自由門」(Freegate)實際上已主動對允許用戶造訪的網站設限。這樣他們才能控制他們的寬帶費用。相比之下,Tor能夠讓用戶進入任何協議(protocol)和目標網站,即,比如,你也可以發送即時信息;但缺點是網絡常常因用戶的批量傳輸而不勝負荷。
當某種翻牆工具一出名,其網站就會被屏蔽。如果無從獲得這一工具,工具再好又有何用。在這裡最好的解決辦法是不要使用任何專門的客戶軟件。這樣就不必從工具網站上下載軟件。比如「賽風」,只靠一般的瀏覽器,就不在乎網站可能被封,因為使用者不需要下載軟件。另一種辦法是使用微型應用程式,如「極境網絡」或「自由門」,你可以用實時消息的方式將鏈接傳送給朋友。Tor的瀏覽器套件也是一個選擇:套件包括所有已經配置好的所需要的軟件。但是,由於它包含了大型應用程式,如火狐(Firefox),因此不容易在網上傳遞。而通過社會網絡、閃存硬盤,或使用電子郵件自動應答系統,則可得以分發。電子郵件自動應答允許你通過谷歌的G-mail來下載Tor。
然後,你需要考慮每一種方法的特點。首先,什麼樣的操作系統是它可支持的?「賽風」不需要任何額外的客戶軟件就可以很好工作;「極境網絡」和「自由門」都很特別,只能在微軟視窗環境中工作;Tor及其軟件基本上可以在任何環境中操作。其次,要考慮客戶軟件可自動處理從一個代理服務器轉到另一個的失效備援,所以,如果你目前的地址消失了或被封了,你不必用手工記下新的地址。
最後,你使用的工具是否有跟蹤記錄功能來對付屏蔽?比如「無界瀏覽」和「自由門」都曾有當現有版本的工具停止工作時立刻發佈更新版本的歷史。他們在這種「貓捉老鼠」的遊戲中積累了豐富的經驗,因此,有理由相信他們已經為下一輪變故做好了準備。在Tor這方面,也已經為最終可能被屏蔽做好了準備,那就是將其網絡通信更精簡,看上去更像加密的網頁瀏覽, 並介紹了還未出版的網橋中繼(bridge relays)。對黑客來說網橋中繼比公共中繼(public relays)更難被發現和被屏蔽。Tor試圖將軟件更新跟代理服務器地址更新這兩者區別開——如果你使用的網橋中繼被屏蔽了,你可以繼續使用同一個軟件,只要改變一下配置以使用新的網橋地址。我們的網橋設計2009年9月在中國進行了測試,數萬用戶順暢地從使用公共中繼轉移到使用網橋中繼。
許多翻牆工具通過大量媒體高調推出。媒體當然喜歡這樣的做法,他們常常以《美國黑客對中國宣戰!》為首頁通欄標題。但這種亮相雖有助於吸引支持(志願者、利潤、贊助商),但大肆宣傳也吸引了審查者的注意。審查機構通常屏蔽兩類翻牆工具:一類是好用的工具,即擁有數十萬用戶的工具;一類是名氣很響的工具。一般來說,審查制度屏蔽所有敏感內容的情況很少,更多的情況是製造一種打壓的氣氛,從而使人們進行自我約束。媒體上的文章對當局的控制能力造成威脅,他們被迫做出回應。
這裡要表明的是我們能夠控制武器競賽的速度。儘管某種工具擁有許多用戶,但只要無人談論它,一般來說就不會被屏蔽。但是如果無人談論它,用戶又從何知道它?走出這一悖論的方法之一是通過口耳相傳和社會網絡,而不是通過傳統的媒體宣傳來傳播。另一方法是將工具置於一個不同的背景中——比如,我們主要將Tor展現為一個保護隱私和公民自由的工具,而不是翻牆工具。但是,一個工具在名聲日益增長時要維持這種平衡是很難的。
本文解釋了一些你在評估翻牆工具的優缺點時應該考慮的問題。我故意沒有將不同的工具做成圖表及在不同的分類中對他們進行評分。毫無疑問,有人最終會這樣做,並概括出每種工具被打上多少個鉤。但是現在的問題並不是要找出「最佳」工具。各種各樣的翻牆工具被廣泛使用,增加了所有這類工具的力量,因為審查者必須同時去對付每一個策略。
最後,我們應該記住,技術不能解決所有的問題。防火牆畢竟在許多國家都成功地發揮了作用。只要在審查制度下仍有很多人說「我很高興政府使我感到互聯網是安全的」,那麼就說明社會方面的挑戰至少還是非常嚴重的。但與此同時,在所有這些國家仍然有人希望通過互聯網學習和傳播信息,那麼一個強大的技術解決方案就仍是至關緊要的一環。
(本文原為2010年3月的《審查制度索引》(Index on Censorship)而寫。【2010年1月23日最後一次修改】)
列印本頁
電郵分享
面書分享
推特分享
Reddit
微博
QQ空间
百度贴吧