Jul 09, 2023
Hacktivisten von Cult of Dead Cow entwickeln Verschlüsselungssystem für mobile Apps
SAN FRANCISCO – Einst dafür bekannt, Hacking-Tools zu verbreiten und Softwareunternehmen dazu zu bringen, ihre Sicherheit zu verbessern, arbeitet eine berühmte Gruppe von Technologieaktivisten jetzt an der Entwicklung eines Systems, das dies ermöglicht
SAN FRANCISCO – Einst dafür bekannt, Hacking-Tools zu verbreiten und Softwareunternehmen dazu zu bringen, ihre Sicherheit zu verbessern, arbeitet eine berühmte Gruppe von Technologieaktivisten jetzt an der Entwicklung eines Systems, das die Erstellung von Messaging- und Social-Networking-Apps ermöglicht, die Benutzer nicht festhalten ' persönliche Daten.
Die Gruppe Cult of the Dead Cow hat ein Coding-Framework entwickelt, das von App-Entwicklern verwendet werden kann, die bereit sind, eine starke Verschlüsselung zu nutzen und auf Einnahmen aus Werbung zu verzichten, die auf Einzelpersonen ausgerichtet ist und auf detaillierten Profilen basiert, die aus den Daten gewonnen werden, die die meisten Apps mittlerweile routinemäßig sammeln sammeln.
Das Team baut auf der Arbeit kostenloser Produkte wie Signal auf, das eine starke Verschlüsselung für Textnachrichten und Sprachanrufe bietet, und Tor, das anonymes Surfen im Internet ermöglicht, indem der Datenverkehr über eine Reihe von Servern geleitet wird, um den Standort der Person zu verschleiern, die dies durchführt suchen.
Der neueste Versuch, der nächste Woche auf der großen jährlichen Hacking-Konferenz Def Con in Las Vegas im Detail vorgestellt wird, zielt darauf ab, eine Grundlage für Messaging, Dateifreigabe und sogar Social-Networking-Apps zu schaffen, ohne Daten zu sammeln, und das alles durch eine Art End-to-End-to-End-Lösung Endverschlüsselung, die das Abhören selbst für Regierungen erschwert.
Der Code heißt Veilid, ausgesprochen vay-lid, und kann von Entwicklern zum Erstellen von Anwendungen für mobile Geräte oder das Web verwendet werden. Laut den Entwicklern werden diese Apps mithilfe des Veilid-Protokolls vollständig verschlüsselte Inhalte aneinander weitergeben. Wie bei der Filesharing-Software BitTorrent, die verschiedene Teile desselben Inhalts gleichzeitig verteilt, wird das Netzwerk schneller, je mehr Geräte sich anschließen und die Last teilen, sagen die Entwickler. In solchen dezentralen „Peer-to-Peer“-Netzwerken laden Benutzer Daten voneinander statt von einer zentralen Maschine herunter.
Wie bei einigen anderen Open-Source-Projekten besteht die Herausforderung darin, Programmierer und Ingenieure davon zu überzeugen, sich der Entwicklung von Apps zu widmen, die mit Veilid kompatibel sind. Obwohl Entwickler für diese Apps Geld verlangen oder Anzeigen verkaufen könnten, werden die potenziellen Einnahmequellen durch die Unfähigkeit, detaillierte Informationen zu sammeln, begrenzt, die zu einer primären Methode für die Verteilung gezielter Anzeigen oder die Vermarktung eines Produkts an eine bestimmte Gruppe von Benutzern geworden sind.
Das Team hinter Veilid hat noch keine Dokumentation veröffentlicht, die seine Designentscheidungen erläutert, und die gemeinsame Arbeit an einer ersten Messaging-App, die ohne Telefonnummer funktionieren soll, hat noch keine Testversion hervorgebracht.
Aber das entstehende Projekt hat noch andere Dinge zu bieten.
Es entsteht inmitten von Unordnung, Konkurrenz und Experimentierfreudigkeit unter den Nutzern sozialer Netzwerke und Chats, die Twitter und Facebook verärgert sind. Und es untermauert den Widerstand gegen zunehmende Bestrebungen von Regierungen, zuletzt auch Großbritanniens, die starke Verschlüsselung durch Gesetze zu untergraben, die die Offenlegung von Inhalten oder Benutzeridentitäten auf Anfrage vorschreiben. Apple, die Facebook-Muttergesellschaft Meta und Signal haben kürzlich damit gedroht, einige Dienste in Großbritannien einzustellen, wenn das Online-Sicherheitsgesetz dieses Landes unverändert angenommen wird.
Bürgerrechtsaktivisten und Befürworter des Abtreibungsrechts waren auch alarmiert darüber, dass die Polizei per SMS und Facebook Messenger gesendete Nachrichten nutzte, um Abtreibungen in Staaten zu untersuchen, die das Verfahren eingeschränkt haben.
„Es ist großartig, dass Menschen ein Ende-zu-Ende-Verschlüsselungs-Framework für alles entwickeln“, sagte Cindy Cohn, Geschäftsführerin der gemeinnützigen Electronic Frontier Foundation. „Wir können über das Überwachungsgeschäftsmodell hinauskommen.“
Das FBI reagierte nicht auf eine Bitte um Stellungnahme, doch Strafverfolgungsbehörden beschweren sich häufig darüber, dass die Ende-zu-Ende-Verschlüsselung es schwierig macht, Nachrichten auf kriminelle Pläne zu überprüfen und es der Polizei erschwert, nachträglich Beweise zu beschaffen.
Nach drei Jahren als Programmierer betritt Veilid die Welt mit einem Stammbaum wie kaum ein anderer in der Welt des Hackens und der Sicherheit.
Veilid ist die bedeutendste Veröffentlichung seit mehr als einem Jahrzehnt von Cult of the Dead Cow, der am längsten bestehenden und einflussreichsten US-amerikanischen Hacking-Gruppe und den Urhebern des Wortes Hacktivismus, das Hacking und Aktivismus vereint. Die Gruppe, die ihr Akronym cDc nennt, hat ihren Namen von einem frühen Treffpunkt, einem verlassenen Schlachthof in Lubbock, Texas.
Nach bescheidenen Anfängen mit dem Schreiben von Geschichten für die Online-Schwarzen Bretter der 1980er Jahre vor dem Web, als der Teenager Beto O'Rourke in der Gruppe aktiv war, umfasst Cult of the Dead Cow heute einige der größten Namen der Cybersicherheit.
Zwei gehörten zu den ersten Personen, die öffentlich vor Sicherheitslücken in weit verbreiteter Software warnten und die Offenlegung mit den Anbietern koordinierten, während diese die Programme patchten.
Zu diesem Paar gehört Peiter Zatko, allgemein bekannt als Mudge, der Programmmanager bei der Defense Advanced Research Projects Agency (DARPA) des Pentagon und Sicherheitschef des Online-Zahlungsvermittlers Stripe war. Später wurde er vom Twitter-Gründer Jack Dorsey angeheuert, um dort die Sicherheit zu überwachen. Er sagte letztes Jahr vor dem Kongress aus, dass die Praktiken von Twitter so schlecht seien, dass sie gegen die früheren Vergleiche des Unternehmens mit der Federal Trade Commission verstießen. Die FTC ermittelt nun.
Ein anderer, Christien Rioux, schrieb ein Open-Source-Tool zum Hacken von Windows-Rechnern, Back Orifice 2000, das 1999 auf der Def Con veröffentlicht wurde. Rioux war später Mitbegründer von Veracode, das Programme zum Scannen von Software auf versteckte Sicherheitsmängel herstellte: Das ist das Unternehmen jetzt mehr als 2 Milliarden US-Dollar wert.
Rioux und Zatko gehörten auch einer Gruppe namens L0pht an, die vor 25 Jahren den Kongress bekanntermaßen warnte, dass die Infrastruktur des Internets katastrophal unsicher sei.
Rioux hat den Großteil der mehr als 100.000 Codezeilen im Veilid-Framework geschrieben, während andere Mitglieder von cDc daran beteiligt waren, es zu testen und zu kritisieren und an Richtlinien, Dokumentation und den ersten Apps zu arbeiten.
„Man kann sich Tor als ein Datenschutzsystem für den Zugriff auf Websites vorstellen. Es anonymisiert Ihre Quell-IP“, sagte Rioux gegenüber der Washington Post und bezog sich dabei auf die numerische Bezeichnung, die oft einem nachverfolgbaren einzelnen Computer zugewiesen wird. Aber Tor sei kompliziert zu bedienen, sagte Rioux, „nicht sehr mobilfreundlich und nicht sehr modern im Aufbau.“
„Das ist ein bisschen wie Tor, aber für Apps. Jeder hat Supercomputer in der Tasche. Warum nicht die Cloud für alle Computer schaffen?“
Rioux und andere, die an Veilid arbeiten, sagten, der Schlüssel liege darin, es Entwicklern und Benutzern so einfach wie Facebook zu machen. Bestehende Apps könnten eine Version erstellen, die mit Veilid funktioniert und es ihren Benutzern ermöglicht, zu kommunizieren, ohne dass Dritte davon erfahren.
Das Projekt wird von einer Stiftung durchgeführt, die den Status einer gemeinnützigen Organisation gemäß 501c(3) beantragt hat. Die drei Regisseure sind Rioux, eine neuere cDc-Kandidatin namens Katelyn Bowden und ein Mitreisender, der in der Hacking-Szene der 1990er Jahre aktiv war und seitdem im Sicherheitsbereich arbeitet, Paul Miller.
Bowden, die sich seit Jahren für die Opfer von Rachepornos einsetzt, sagte, sie sei motiviert, Menschen mit wenig Geld oder Macht die gleiche sichere Kommunikation wie Milliardäre und Experten zu ermöglichen. Dazu gehören auch Mädchen und Frauen, die nach Abtreibungsinformationen suchen und durch gängige Messaging-Apps verraten werden können.
„Es kommt sehr selten vor, dass Sie auf etwas stoßen, das Ihre Daten nicht verkauft“, sagte Bowden. „Wir geben den Menschen die Möglichkeit, aus der Datenwirtschaft auszusteigen. … Geben Sie den Benutzern die Macht zurück, geben Sie ihnen Entscheidungsfreiheit über ihre Daten und verarschen Sie diese Leute, die mit dem Verkauf von Periodeninformationen Millionen verdient haben.“
Einige erfahrene Ingenieure, die den Code des Projekts getestet haben, sagten, er habe eine gute Leistung erbracht.
Einer von ihnen, Kirk Strauser, sagte, er sei froh, dass Rioux bewährte Protokolle für die Verschlüsselung integriert habe, anstatt zu versuchen, alles von Grund auf neu zu erfinden.
Er verglich Veilid mit dem Peer-to-Peer-Pionier Napster – etwas Revolutionäres, das hauptsächlich auf Technologien basiert, die es bereits auf der Welt gibt.
„Es ist eine neue Art, sie zu kombinieren, um zusammenzuarbeiten“, sagte Strauser, der leitende Sicherheitsarchitekt bei einem Unternehmen für digitale Gesundheit.
Eines der komplexesten Probleme für Veilid ist die Moderation von Inhalten, die zu den größten Problemen bei Twitter und Facebook zählt.
Einige neue Konkurrenten dieser etablierten Unternehmen, wie beispielsweise Mastodon, haben sich für die sogenannte Föderation entschieden, bei der Gruppen mit eigenen Regeln locker mit anderen Gruppen verbunden sind.
Facebook-Mutter Meta sagt, dass es seinen neuen Twitter-Rivalen Threads mit Mastodon und anderen kompatibel machen wird. Der informelle Veilid-Berater Micah Schaffer sagte, dies zeige, dass große Unternehmen planen, die Föderation zu nutzen, um „diese Illusion der Wahl zu schaffen“. Sie begrüßen die Föderation auf eine Art und Weise, die die Verantwortung für ihre Moderationsentscheidung ablehnt – Sie können einfach zu einem anderen Server gehen.“
Vollständige Verschlüsselung bedeutet, dass Moderatoren keine schädlichen Interaktionen sehen können, was ein Grund dafür ist, dass die eigene Netzwerk-App von Veilid Benutzer dazu bringt, bestimmte Follower einzuladen.
„Veilid öffnet die Tür für eine neue Generation sozialer Apps, die von Natur aus sicherer sind“, sagte Schaffer, der das erste Sicherheitsteam von YouTube aufbaute und später die öffentliche Ordnung bei Snap leitete.
Rioux sagte, er hoffe, dass sein Gespräch mit Bowden, das den ersten vollen Tag der Def Con eröffnet, zusammen mit einem technischen Workshop und einer Party die kritische Masse an Enthusiasten inspirieren wird, die Veilid für den Erfolg braucht.
„Def Con ist ein Nährboden für datenschutzorientierte Benutzer und Entwickler“, sagte er. „Wir starten am richtigen Ort, um eine Menge sehr interessierter Leute herauszuholen.“
Die Datenschutz- und Sicherheitsbehörden werden genau beobachten, was passiert.
„Ich freue mich, dass sie diesen Stier bei den Hörnern packen“, sagte Erfinder Jon Callas, Mitbegründer der PGP Corp. und der sicheren Kommunikationsunternehmen Silent Circle und Blackphone. „Ich freue mich darauf, die Details zu sehen.“