2009年1月16日星期五

Popular Chinese Filtering Circumvention Tools DynaWeb FreeGate, GPass, and FirePhoenix Sell User Data

GFW规避工具:DynaWeb,FreeGate自由门,GPass世界通,FirePhoenix出卖卖用户数据
作者:Hal Roberts翻译:memedarwin
原文:http://blogs.law.harvard.edu/hroberts/2009/01/09/popular-chinese- filtering-circumvention-tools-dynaweb-freegate-gpass-and-firephoenix-sell-user-data/

三个使用最广泛的解决中国的大防火墙GFW的规避工具- DynaWeb freegate,Gpass世界通,和FirePhoenix -正被用于跟踪和出售用户的网页浏览记录。关于使用这些工具的用户的汇总数据可以免费的获取(http://ranking.edoors.com /site/ds)。例如,用户使用这些规避工具访问量最大的三个地点的live.com , google.com ,secretchina.com 。对我们这些有兴趣研究规避工具的使用者来说,这些汇总数据是一个很好的资源,而对规避用户来言又没有暴露隐私的风险,假如这些数据仅仅是储存和显示汇总的部分。

但是,做排名的网站宣称也有付费的服务让你不仅仅得到更多的数据,而且包括个人用户的数据。

该网站的常见问题FAQ写道:
问:我对更详细和深入的访问数据感兴趣的。它们有可能获得吗?答:有的,我们可以生成自定义报告,包括不同层次的细节满足您的需要,只需要支付一定的费用。但是,可以用来识别特定使用者的数据被视为机密的,不与第三方共享,除非您通过我们严格的筛选试验。请联系我们如果您有这样的需要。

如此看来,他们很乐意为您提供特定的用户数据,但只有当您超级承诺不会共享出去,或者他们超级喜欢你。

很难强调这是多么危险的做法,这些工具作为虚拟的ISP服务数百万的用户。所有规避工具都是通过提供第三方机器来为用户代理数据流量,因此规避流量总是经过第三方的机器。销售这些用户的浏览历史就像是一个ISP在销售其用户的浏览历史。比起NebuAd和Phorm这类公司做过或/正在尝试做的那嘛事,这简直是过之而无不及, NebuAd和Phorm至少在跟踪中增加了各种假名和隐私保护的措施,而dynaweb等显然直接存储(和销售)的完整而可识别个人的用户浏览的历史数据。

比起大多数ISP的用户,规避用户的数据更加敏感,这些用户的浏览历史记录,包含的不仅仅是被屏蔽的网站(因此从某种程度上说是最敏感的),而且是那些政策上和行动上迫害持不同政见者的专制国家所禁止访问的网站。任何个人或组织(自封为保护互联网自由的)作出保留这些数据的行为都是非常不好的做法。任何数据的存储有潜在共享或被盗的危险。确保数据不进入了坏人的手中的最佳途径是从一开始就不加以存储。

但是,这些项目不仅将数据储存,他们正在积极准备将它出售。我找不到任何一个项目有这样或那样的隐私权保护政策。在他们网站上的任何地方或在安装过程中,你也没有被告知他们会对浏览行为做跟踪或出售。然而,所有的网站都有类似的欺骗性语言,象FIREPHOENIX主页上说的:
“安全性:FP加密所有的网络流量,任何第三方都不能够鉴别流入和流出您的计算机的互联网信息,即使他们监测了你的流量。 ”

而事实上,第三方可以识别的运行FP的电脑的数据流,只要他们购买这些数据和承诺不共享与其他人。这样的事情表明,没有办法可以消除网络上的控制点。你只能把他们从一个地方转移到让您信任的人。
在这种情况下,中国用户正在把信任从ISP转移到代理流量的规避项目上。而这些工具象虚拟的ISP一样运作,因此有可能获得象当地的ISP一样控制(和滥用)的权力。他们可以窥探用户的活动,他们可以过滤和其他篡改连接;它们可以阻止P2P流量。

这些特殊的虚拟ISP选择了通过出售用户数据的方式来维持运作。很多人依靠个人的VPN来规避或保障安全的连接,但这些VPN本质上并不比本地ISP更安全。流行的VPN Relakks的运营地瑞典,去年通过的一项法律规定,要求联邦政府监控所有进出该国的数据,包括Relakks的国外用户。有些规避项目,如Psiphon使用P2P模式,在这种模式下志愿者作为主机代理(最好是规避用户所熟悉的志愿者)和其他类似Tor的使用方法,以确保代理之间的信任,但所有这些都要求,用户的信任其他一些人或与规避流量的一些代码。
注:* :由于FirePhoenix仅有中文界面,安装过程的语言和提示没有进行核实。