Уеб форумът 4chan е известен най-вече като място, където се споделят хулигански и, меко казано, неполиткоректни снимки. Но той е и родното място на един от най-новите опити да се заобиколи програмата за масово наблюдение на Агенцията за национална сигурност на САЩ..
Когато Едуард Сноудън разкри мащабите на дейността на службите през миналата година, членовете на технологичния форум в сайта са започнали да обсъждат потребността от по-защитена алтернатива на Skype. И скоро създават чат, в който да коментират подробностите, както и акаунт на сайта за съвместна работа и хостинг на софтуерен код GitHub - и са започнали да го разработват.
В крайна сметка те са се спрели на името Tox, като вече е възможно да бъдат изтеглени прототипи на изненадващо лесния за употреба инструмент. Той е част от масова стратегия за създаване на защитени инструменти за онлайн комуникация, които се контролират не от една-единствена компания, а от света като цяло - логична реакция на разкритията на Сноудън.Замисълът е те да включват всичко - от инструменти за незабавни съобщения до имейл услуги.
Твърде рано е да разчитате на Tox да ви предпази от послушване и шпионски агенции. Подобно на много други нови инструменти, той още е в ранен етап на разработка и тепърва предстои да бъде проучен внимателно по начина, по който това е правено с други инструменти за онлайн сигурност, като плъгина за криптиране на незабавни съобщения Off The Record. Той обаче се старае да си изгради уникална ниша в екосистемата на защитените комуникации.
‘Границите са само във въображението ви
Основното, което се опитва да постигне екипът на Tox, освен осигуряването на криптиране, е да създаде инструмент, който изобщо не изисква централни сървъри - дори такива, които вие да хоствате сами. Той разчита на същата технология, която BitTorrent използва за директна комуникация между потребителите, така че да няма централен възел, който да бъде подслушван или спрян.
Има и други разработчици, които се опитват да създадат защитена peer-to-peer система за обмен на съобщения - като Briar и Invisible.im. Има и други концентриращи се върху сигурността приложения за гласови комуникации, включително такива от Whisper Systems и Silent Circle, които криптират обаждания, провеждани през традиционната телеком инфраструктура. Tox обаче се опитва да съчетае peer-to-peer технологията и гласовите комуникации в едно.
Всъщност той отива дори още по-далеч. Tox е всъщност само протокол за криптирано peer-to-peer предаване на данни. "Tox е тунел, позволяващ връзка с друга точка, който е защитен и криптиран," обяснява Дейвид Лоул, говорител на проекта.
Какво ще изпращате по този тунел, зависи само от лимитите на вашето въображение. Например един от разработчиците подготвя наследник на сегашните имейл решения, базиран на протокола, а по думите на Лоул други разработват алтернатива с отворен код на BitTorrent Sync.
Новият Skype
Въпреки това основното ядро от разработчици на Tox се концентрира върху създаването специално на функции, необходими за получаването на заместител на Skype. Има поне 10 различни Tox клиенти за съобщения и гласова комуникация, като всеки поддържа различна гама от функции.
В крайна сметка, според Лоул, ще има "официални" клиенти за всяка голяма ОС, но засега екипът препоръчва само няколко конкретни клиента. µTox, достъпен за Linux и Windows, е "свръхактуалният" референтен дизайн, докато qTox е препоръчван за OS X потребителите, а Antox - за Android. iOS версия засега още няма.
µTox все още изглежда недовършен, но интерфейсът и потребителското преживяване са опростени и удобни. Потребителите изтеглят клиента и той автоматично създава публичен криптиращ ключ, който може да предоставяте на всеки, и частен ключ, който съхранявате на вашия компютър или телефон. Оттам той работи до голяма степен идентично на Skype.
Може да добавите приятел към списъка с контакти, като прехвърлите публичния му ключ, после просто кликвате на името, за да изпратите съобщение, или на голямата икона с телефон, за да проведете разговор. Ако желаете да преместите самоличността си от един компютър на друг, просто копирате един файл, включващ частния ключ и списъка с контакти.
Все още липсват някои функции. Например, въпреки че може да провеждате групов текстов чат, групов гласов чат още липсва. Няма и начин засега да сте влезли с един и същ акаунт на две различни устройства - примерно от телефона и компютъра. Лоул обаче казва, че тези функции се подготвят и екипът вече има предварителна версия на функционалността за групов гласови чат.
По думите на създателите на Tox, няма планове той да бъде монетизиран или да се сформира компания, която да го пуска на пазара. "Никой не получава заплащане, но посвещаваме колкото време можем да отделим," казва Лоул. "Когато не съм на лекции, или не се храня, вероятно работя точно по Tox, и това важи за поне още 10 души." Водещият разработчик, известен само с псевдонима irungentoo, е абсолютно анонимен, така че би било трудно да получава заплата."Съмнявам се някой от нас изобщо да знае истинското му име," коментира Лоул.
Връзката с 4Chan
Сега връзката с 4Chan се омаловажава от Лоул и други обсъждащи проекта. "Бяхме самодостатъчни след само няколко седмици," казва Лоул. "Публикували сме в Reddit и HackerNews, и хората се присъединяваха и оттам." Вероятно не е случайно, че разработчиците се опитват да дистанцират проекта от сайта - расизмът, хомофобията и женомразството, демонстрирани в 4Chan ежедневно, биха отблъснали и потребителите, и потенциалните съавтори в Tox.
Връзката със сайта също така е изложила проекта на тролване и драматизъм, типични за 4Chan, които са трудни за осмисляне от външни хора. Например един от разработчиците на Tox е изложил опасенията си, че потребителите виждат IP адресите на другите потребители.
Екипът е реагирал, като е маскирал IP адресите чрез технология, наречена "onion routing" - същата, която проектът Tor използва за защита на анонимността онлайн. Това обаче не е предотвратило вълната от параноя по форумите, и е трудно да се прецени каква част от нея е тролене и каква е резонни опасения за сигурността.
Може ли да имате доверие на този "наследник на Skype"?
Все още твърде малко експерти по сигурност извън проекта са преглеждали кода, но той е базиран на обширен набор от библиотеки с код за криптоалгоритми, наречен NaCl, който е анализиран от експерти неведнъж.
"NaCl е сравнително нова библиотека, която обаче е много уважавана в общността на специалистите по сигурност, и е разработена от много умели програмисти," казва главният технолог на Electronic Frontier Foundation Джейкъб Хофман-Андрюс, който още все още не е провеждал сериозен анализ на кода на Tox.
И все пак е напълно възможно добри крипто-библиотеки да бъдат написани по неправилен или съзнателно оставящ задни вратички начин, така че екипът на Tox е започнал да набира средства, за да наеме професионална компания за сигурност, която да направи одит на кода, когато той бъде в по-завършено състояние.
"Засега разчитаме само на общността с отворен код," обобщава Лоул. "Имаме около 15 разработчици, които непрекъснато гледат и променят кода в продължение на седмици."
