作者 | Tina、核子可樂

近來，一個幾十年前成立的、最古老、最具傳奇色彩的黑客組織“復活”了。該黑客組織經(jīng)過三年的籌備和開發(fā)之后，將推出一個新的開源項目 Veilid，該項目可讓開發(fā)人員創(chuàng)建不收集或存儲任何個人數(shù)據(jù)的社交應用程序。

大家日常使用的一些社交應用程序，會收集一切信息：你的位置、你的聯(lián)系人、你的偏好、你的習慣、你的觀點……再利用這些數(shù)據(jù)向你推銷廣告、影響你的行為、操縱你的情緒，甚至監(jiān)視你。而 Veilid 的目的就是讓用戶擁有自己的數(shù)據(jù)，并決定與誰共享數(shù)據(jù)。這可能并不容易，因為 Veilid 不允許有針對性的廣告或數(shù)據(jù)挖掘，而這是許多社交應用程序的主要收入來源。

一個古老的黑客組織“復活”了

黑客組織“死牛崇拜”（Cult of the Dead Cow，簡稱 cDc）可謂全美歷史最悠久、社會影響力最大的黑客組織，也是“黑客行動主義”一詞的發(fā)源地。該組織的名稱源自早期成員們在得克薩斯州拉伯克市的一處早期聚會場所——大家想的沒錯，一處廢棄的屠宰場，曾以分發(fā)黑客工具和羞辱軟件公司來敦促其提高安全性而聞名。

該組織形式松散，而且不乏奇怪的分支，他們給駭客注入了道德準則，并渴望追求品德“高尚”。早在上世紀 80 年代，青少年階段的 Beto O’Rourke（美政治家）就是該組織的活躍成員。cDc 最初只是在網(wǎng)絡公告版上撰寫故事，之后陸續(xù)迎來了如今網(wǎng)絡安全領域的眾多知名人士。比較有名的是其中兩名成員率先對廣泛使用的軟件中的安全缺陷發(fā)出公開警告，并開始在修復過程中與廠商協(xié)調(diào)披露事宜。

這對搭檔里就有 Peiter Zatko（更為人所熟知的綽號應該是“Mudge”），曾任五角大樓國防高級研究計劃局（DARPA）的項目經(jīng)理，并在線上支付服務商 Stripe 擔任過安全主管。他后來被 Twitter 創(chuàng)始人 Jack Dorsey 聘用，負責監(jiān)督安全工作。在去年的國會聽證會上，他表示 Twitter 的安全實踐非常糟糕，違反了該公司此前與聯(lián)邦貿(mào)易委員會達成的和解協(xié)議。目前貿(mào)易委員會正在著手調(diào)查此事。

Twitter 前安全主管 Peiter “Mudge” Zatko 也是死牛崇拜的成員。

另一位先驅(qū)則是 Christien Rioux，他編寫了一款用于攻擊 Windows 設備的開源工具 Back Orifice 2000，并于 1999 年的 Def Con 大會上發(fā)布，因此十多年來他一直是 Microsoft 的眼中釘。Rioux 隨后與他人共同創(chuàng)立了 Veracode 公司，專門開發(fā)可查找潛在安全缺陷的掃描軟件。目前這家公司的估值已經(jīng)超過 20 億美元。

Rioux 和 Zatko 同時也是 L0pht 組織的成員，該組織在 25 年前曾向美國國會發(fā)出著名警告，稱互聯(lián)網(wǎng)基礎設施的安全水平極其低下。另外，該組織還激發(fā)了標志性隱私工具的創(chuàng)建，例如匿名瀏覽器 Tor。

該組織目前正致力開發(fā)一套新系統(tǒng)。這群技術活動家們希望借助這項成果，構(gòu)建起不會保留用戶個人數(shù)據(jù)的消息傳遞和社交網(wǎng)絡應用。

而得知此消息的網(wǎng)友們十分激動：“當我在 2000 年左右第一次聽說他們時，他們已經(jīng)達到了某種神話般的地位?！薄疤彀?，當初炸裂了的 cDc？！已經(jīng)很久沒有聽到這個名字了，以至于我都快要忘記了。就像，至少幾十年。太好了，他們還繼續(xù)活躍著！”“哇，完全是過去的回憶。好高興聽說他們還在活躍！”

新的開發(fā)框架

cDc 組織開發(fā)的是一種可供應用開發(fā)者使用的編碼框架，希望通過其強大的加密技術顛覆現(xiàn)狀，消除目前大多數(shù)應用從常規(guī)數(shù)據(jù)中收集具體資料、據(jù)此發(fā)布個性化廣告的行業(yè)常態(tài)。

該團隊選擇以 Signal 等免費產(chǎn)品為基礎。Signal 能夠為文本消息和語音通話提供強大的加密功能，而 Tor 則通過一系列服務器路由流量來掩蓋上網(wǎng)用戶的真實位置，借此實現(xiàn)真正匿名的網(wǎng)絡活動。

關于本次新框架的開發(fā)細節(jié)，將在下周于拉斯維加斯召開的年度 Def Con 黑客大會上具體披露。他們希望為消息傳遞、文件共享甚至是社交網(wǎng)絡類應用打造新的基礎，用全面端到端加密的方式保證用戶信息安全、拒絕數(shù)據(jù)收集。

這套新框架名為 Veilid（發(fā)音為 vay-lid），開發(fā)人員可以利用它為移動設備或 Web 端構(gòu)建應用程序。開發(fā)團隊表示，這些應用程序?qū)⑹褂?Veilid 協(xié)議相互傳遞經(jīng)過完全加密的內(nèi)容。而且跟文件共享軟件 BitTorrent 類似，隨著更多設備加入進來并分攤負載，網(wǎng)絡傳遞速度會變得越來越快。在這種去中心化的“點對點”網(wǎng)絡中，用戶彼此在對方處下載數(shù)據(jù)，而不再依靠集中化服務器設施。

在架構(gòu)上，Veilid 是用 Rust 編寫的，使用強大的加密技術，并且節(jié)點可以在 Linux、Mac、Windows、Android、iOS 以及瀏覽器的 WASM 上運行。它通過 UDP、原始 TCP、Websockets 和安全 Websockets 進行低級別的通信協(xié)議。節(jié)點被優(yōu)化用于低延遲、高節(jié)點變動，并且特別能夠處理低級別的網(wǎng)絡變化，比如在通信過程中從蜂窩網(wǎng)絡切換到 Wi-Fi 網(wǎng)絡。

與其他開源項目一樣，工作中的最大難點在于說服更多程序員和工程師花時間來設計與 Veilid 相兼容的應用程序。盡管開發(fā)者可以選擇付費應用或者彈窗廣告，但由于無法收集用戶的詳細個人信息，所以不可能拿到分發(fā)針對性廣告或向特定用戶群體推銷產(chǎn)品的這部分傳統(tǒng)收益。

Veilid 背后的開發(fā)團隊尚未發(fā)布關于設計路線的說明文檔，只提到他們是在初始開發(fā)的消息傳遞應用上進行協(xié)作。這款應用無需電話號碼即可運行，但目前還沒有供對外發(fā)布的測試版本。

目前社交網(wǎng)絡和聊天用戶對于 Twitter 和 Facebook 的不滿已經(jīng)積累到了臨界點，在市場混亂、沖突的大背景之下，大家也更愿意抱著嘗試的心態(tài)接納新生事物。

非營利組織電子前沿基金會執(zhí)行董事 Cindy Cohn 表示，“人們正在開發(fā)一套全面覆蓋的端到端加密框架，這真是太棒了。我們有望突破固有的監(jiān)控商業(yè)模式。”

經(jīng)過三年的籌備和開發(fā)之后，Veilid 終于降臨人間，成為黑客和安全領域中罕見的“野心之作”。

Veilid 是 cDc 這十多年來最重要的發(fā)布成果。

Rioux 在 Veilid 框架中承擔了全部 10 萬行代碼中的大部分工作量，死牛崇拜的其他成員則主要參與測試和反饋，包括制定政策、撰寫文檔和開發(fā)首款應用。

Rioux 在采訪中解釋道，“我們可以將 Tor 視為網(wǎng)站訪問中的隱私系統(tǒng)，它能對源 IP 做匿名化處理?！彼^源 IP，是指分配給各計算機且一般可以追蹤的數(shù)字名稱。但 RIoux 強調(diào)，Tor 使用起來非常復雜，“不太適合移動設備，而且構(gòu)建方式也不夠現(xiàn)代?！?/span>

“我們的成果有點像 Tor，但主要面向應用端?，F(xiàn)在每個人口袋里的手機都是部小超算，那為什么把它們匯聚起來構(gòu)建新的云呢？”

Rioux 和 Veilid 項目的其他參與者表示，決定成敗的關鍵是能不能降低開發(fā)者和用戶的接受門檻，最好能像 Facebook 那么簡單易用?，F(xiàn)有應用都可以制作與 Veilid 兼容的版本，確保用戶在不受任何第三方窺探的前提下進行通信。

Veilid 的意義是什么？

該項目由一家已早點 501c（3）非營利資質(zhì)的基金會運營，三名董事分別是 Rioux、新近加入 cDc 的 Katelyn Bowden，以及活躍于上世紀 90 年代并長期從事安全工作的 Paul Miller。

Bowden 指出，“現(xiàn)在要找款不出售用戶數(shù)據(jù)的應用實在太難了。我們將賦予人們拒絕這種數(shù)據(jù)經(jīng)濟的選項?！瓕?quán)力歸還給用戶，賦予他們對自己數(shù)據(jù)的掌控權(quán)，同時狠狠打擊那幫靠銷售私密信息賺取大量財富的家伙?！?/span>

一些參與過代碼測試的資深工程師表示，該項目確實表現(xiàn)良好。

其中一位工程師 Kirk Strauser 指出，他很高興 Rioux 采用了經(jīng)過驗證的加密協(xié)議，而不是從零開始純靠原創(chuàng)。

他將 Veilid 與點對點先驅(qū) Napster 相提并論，后者也是一款革命性產(chǎn)品，同樣主要由現(xiàn)有技術組裝而成。

Strauser 在一家數(shù)字健康公司擔任首席安全架構(gòu)師，他表示“這是一種將現(xiàn)有技術成果組合起來的新方式?！?/span>

Veilid 面對的最復雜挑戰(zhàn)之一在于內(nèi)容審核，這也是 Twitter 和 Facebook 始終沒能處理好的核心難題。

近期涌現(xiàn)的一些后起之秀，例如 Mastodon，選擇了所謂“聯(lián)邦”方案。即將用戶劃分成一個個團體，各團體既堅守自己的規(guī)則、又可與其他規(guī)則不同的團體保持松散聯(lián)系。

Facebook 母公司 Meta 表示，未來將保證新發(fā)布的 Threads 能夠與 Mastodon 等新興社交平臺相兼容。但在 Veilid 非正式顧問 Micah Schaffer 看來，這僅僅是互聯(lián)網(wǎng)大廠利用聯(lián)邦設計 “來營造你有的選的幻覺。他們其實是以一種偏離審核責任的方式在擁抱聯(lián)邦設計——不喜歡這里？那你怎么不去別的服務器？”

完全加密之后，版主將看不到那些“有毒”的互動，這也是 Veilid 官方 Web 應用只允許用戶邀請?zhí)囟P注者的原因之一。

Schaffer 曾在 YouTube 建立起首個安全團隊，隨后又在 Snap 領導公共政策事務?！癡eilid 為新一代社交應用打開了大門，讓應用在設計層面就變得更加安全?！?/span>

Rioux 表示，他希望自己在 Def Con 大會首日開幕式上和 Bowden 的對話以及后續(xù)的技術研討與線下聚會，能夠吸引到更多的關注者以推動 Veilid 項目取得成功。

“Def Con 是以隱私為中心的用戶和開發(fā)者們的大本營。我們選擇在這個正確的地點推出正確的方案，希望吸引到更多對此感興趣的朋友。”

隱私和安全機構(gòu)自然也在密切關注當下發(fā)生的一切。

PGP 公司及安全通信廠商 Silent Circle 與 Blackphone 聯(lián)合創(chuàng)始人、發(fā)明家 Jon Callas 率先出面支持，“我非常贊賞他們不畏艱險的精神，也期待能看到更多項目細節(jié)?！?/span>

參考鏈接：

https://veilid.com/#about

https://twitter.com/VeilidNetwork

https://www.washingtonpost.com/technology/2023/08/02/encryption-dead-cow-cult-apps-def-con/

https://www.axios.com/2019/06/06/cult-of-dead-cow-lessons-from-historys-great-hacker-groups

https://www.linkedin.com/posts/lancing-light_veilid-defcon-socialmedia-activity-7092552164782325760-LEQY/

https://www.reddit.com/r/technology/comments/15g9npx/hacking_group_cult_of_the_dead_cow_plans_system/

活動推薦：

2023年9月3-5日，「QCon全球軟件開發(fā)大會·北京站」 將在北京?富力萬麗酒店舉辦。此次大會以「啟航·AIGC軟件工程變革」為主題，策劃了大前端融合提效、大模型應用落地、面向 AI 的存儲、AIGC 浪潮下的研發(fā)效能提升、LLMOps、異構(gòu)算力、微服務架構(gòu)治理、業(yè)務安全技術、構(gòu)建未來軟件的編程語言、FinOps 等近30個精彩專題。咨詢購票可聯(lián)系票務經(jīng)理 18514549229（微信同手機號）。