信号需要为其对反审查群体的反应做得更好

2021-02-19 16:26:12

在埃隆·马斯克(Elon Musk)的推文以及主要人物的许多其他建议(包括通常建议使用Signal的爱德华·斯诺登)之后,Signal已成功吸引了大量活跃用户。

但是,最近发生的一些事件涉及一些来自反审查机构的安全研究人员,他们报告了Signal对伊朗的审查规避技术存在严重缺陷,这使我开始思考Signal作为一家公司如何对开源社区做出回应并向公众展示自己。

他们做错什么了吗?他们是否应该努力改善与社区的沟通?到底是怎么回事?

在本文中,我将尝试就Signal如何解决该问题以及我认为他们应该如何解决发表自己的看法(仅限于我的观点和研究)。

注意:当然,据我了解,他们的团队很小,考虑到他们在该应用程序上的出色表现,他们没有义务对所有事情做出回应。过去,我曾尝试与他们联系,以创建可以帮助我们的读者自2014年起成为用户的更多信息,但并未获得回应。所以,这不足为奇。

附加说明:这完全是我的观点,并提出要让Signal团队做出适当的官方回应。

以database64128的GitHub线程作为参考,以下是初学者应该了解的几件事:

信号宣布实现伊朗中用户的简单TLS代理,以便能够通过绕过审查来重新连接到信号。

一位研究人员Ducksoft立即注意到简单代理的缺陷(基本上意味着可以检测到的代理和阻止 - 这可能会使用户审查),并通过信号的存储库上的GitHub问题报告它

另一个研究员学生们写道并测试了一个poc(概念证明),后来张贴在同一个线程中。

通过提到他们没有在GitHub上讨论此类问题的艾西尼(信号联合创始人)据说,GitHub问题,并建议将其发布在信号社区论坛上讨论。

响应令人沮丧的是研究人员疯狂地试图重新发出问题并提交将POC添加到信号的TLS代理存储库中的拉出请求。

删除原始GitHub线程,并据称,研究人员从信号的GitHub存储库中禁止。

信号应用程序泄露DNS查询的安全问题也发布在信号社区论坛中。

现在,您可以找到DuckSoft在单独的GitHub页面上重新发布的问题,该问题也在该线程中得到了其他多个研究人员的确认和支持。

但是,Moxie认为这在技术上不是缺陷,而是该技术的设计方式:

是的,至少在有人发现代理链接时,代理将始终可被检测为代理-当数百万的人使用它们时,这是不可避免的。幸运的是,这不是秘密!

-Moxie Marlinspike(@moxie)2021年2月8日

是的,我已经注意到,报告使用此代理技术的缺陷的研究人员在最初的GitHub问题关闭后的某个时间点是有毒的,使他们感到沮丧。

但是,我没有理由删除最初报告的GitHub问题。 Moxie在他的一些推文中提到,他关闭该问题是为了保持GitHub问题版块的整洁,因为这不是讨论的地方,并且该线程通常导致虚假PR和乱码的过山车:

在开始吸引大量通用技术支持类型的请求和讨论线程之前,我们几乎立即关闭了问题。我们认为GH问题对此无用,因此我们发布了一条注释,重定向了该问题中的人员并将其禁用。没有定位到目标任何人。

-Moxie Marlinspike(@moxie)2021年2月8日 但是,完全禁用“问题”部分或潜在地删除整个线程对我来说不是一个好兆头。 此外,考虑到将来使用户受到审查可能很危险(即使有0.01%的机会),将严重的关注点从GitHub问题线程重定向到Signal的社区线程? 严重地? 特别是,当有人投入精力准备PoC以及可能的解决方案来帮助Signal实施更好的审查规避技术时? 社区线程用于用户讨论或功能请求,而不是讨论直接的安全问题。 别忘了,那不是一个得到官方回应的地方。 作为我的同事,Avimanyu Bandyopadhyay提到了开源哲学,该哲学源于谦虚,爱与同情。 老实说,在这种情况下我看不到。 这种情况本来可以更好地处理的,也许Moxie也知道。

我甚至与网络安全专业人士(Roshan Raj Mishra)聊天,他认为,即使我们认为安全缺陷没有礼貌地报告,并不承认与PoC报告的缺陷通过信号不专业。所以,有那个。

此外,我没有看到有人在GitHub问题中提出关注的问题是什么?可以在那里讨论一个例外。一切都有第一次。

保留GitHub问题的重点是吱吱作响的清洁,没有正确讨论或关闭关注?

我们敦促信号发出声明,该声明通知其用户对其代理实施的缺陷引起的潜在风险。信号必须停止向伊朗的人们提供脆弱的临时解决方案。相反,伊朗人民应该寻求其他完善的解决方案,就像来自我们社区的解决方案。

当然,一个人争辩说,信号提到了作为“临时解决方案”的代理实现。

但是,即使,为什么他们不能正确地解决安全研究人员的担忧?关于关注的官方推文?博客文章澄清(用免责声明)代理实施不是最佳解决方案,并且对未来或更强大的审查系统可能会有风险?

特别是,当它不仅仅是一个单身人士对某些事情进行偏执,而是来自反审查群体的许多研究人员。

不要否认另一名安全研究员谢尔盖·弗洛洛夫(Sergey Frolov)也声称他过去曾报告过对Signal应用程序的某些担忧,但也未收到任何回应。 这对我来说听起来并不好。 正如我们所说,在这个世界上,没有任何事物是完美的。 因此,作为一家开源公司,Signal当然也可能有问题吗? 也许他们需要进行快速透明的沟通? 在专业上,我认为他们绝对应该有效地提出,解决或答复社区提出的问题。 无论团队多小,考虑到Signal的用户群不断增长(出于所有正确的原因,这也是我使用它的原因),应对社区的关注现在应该成为优先事项。 FOSS社区值得以文明的方式讨论此事,而不仅仅是专业地抛弃这些问题,这只是我个人,我并不代表所有人。