赛风在去年十二月也写了关于巴西网络屏蔽的事宜,详情请点击这里。
赛风的用户因应近期巴西对Whatsapp的全国屏蔽再次增加。在五月二日, 巴西州法官馬塞爾 · 馬塔瓦奧对通讯工具 Whatsapp颁发了七十二小时的禁令。禁令的理由是Whatsapp 无法交出执法部门需要的用户资料作刑事调查。馬塔瓦奧法官下令当地五大电讯公司在当地时间周一下午二时起禁止用户使用Whatsapp。
对于关闭服务的消息,Whatsapp 总裁庫姆在社交网络Facebook 写道,“一个法院要求拿取我们多次重申没有的资料,再一次令百万无辜的巴西用户受到惩罚。我们不单加密所有「端到端」的对话去保护用户,我们的服务器也不会储存任何聊天历史。当您发「端到端」加密讯息时,任何人,包括我们都不能看到里面的内容。”
Whatsapp 的律师期后提交上诉,成功推翻原本的禁令,Whatsapp将会恢復服务。
于今年三月,馬塔瓦奧法官也曾下令拘捕Facebook 拉丁美洲区的副总裁卓丹,原因是Whatsapp 没有履行交出调查需要的证据。卓丹在上诉程序后于次日被釋放。虽然Whatsapp是 Facebook所拥有,但他们的业务是各自独立的。
卓丹事后回应称,Whatsapp 无法交出数据是因为服务器不会储存任何已发送的讯息。另外,「端到端」加密技术也不可能被第三方读取。
使用赛风,巴西的用户便可以重新使用Whatsapp。在禁令的首24个小时,赛风的用户增长了三倍。巴西新闻网站Globo 也推荐用户下载赛风去使用被屏蔽的工具。
此事件反映出当有网络审查,屏蔽或其他限制的时候,用户会趋向使用他们已知的软件和工具去获取内容跟通讯。
]]>
在一月五号,摩洛哥民众发现[VoIP的3G和4G服务受到屏蔽](https://goo.gl/KpHnJV)。当地受欢迎的免费通讯服务,例如Viber, Skype, Facetime 和Whatsapp 也受影响停止运作。不满意的网络用户立刻在网上发起各种的活动。几天后,摩洛哥的电讯管理局发布消息,指出这些服务[违犯摩络哥的条例](https://goo.gl/qMRl83),电讯公司有权基于财政和商业的理由下关闭任何服务。
不满意的摩络哥用户继续向屏蔽事件抗议并施加压力,甚至[杯葛](https://goo.gl/XfpAa2)当地三大电讯公司。另一方面,使用围绕审查工具的用户却几乎没有受到影响。赛风的用户在屏蔽事件后的第一周**上升了三倍**,往后的**每星期以双倍继续增加**。摩络哥的[ASL19](https://goo.gl/enQr3T)团体 也极力以阿拉伯语和法语在当地推广赛风所研发的免费,开源围绕网络审查软件。ASL 19 是一个把围绕审查工具局部化成阿拉伯语跟其他语言的人权组织。赛风软件的免费和弹性应用很快就遍布整个国家。一个月后,随着网络用户不断的施压和围绕审查工具的普及应用,当地的电讯公司最终废除了逐渐失效的屏蔽
摩络哥的电讯公司在二月二十六日恢复屏蔽,引起当地网民的快速回应--包括由网站th3professional.com博客作家Amine Raghib所发起的大型社交网络运动,以及提交超过一万个签名的网络请愿信去要求总理阿卜德里拉赫·本基拉纳取消对VoIP 服务的屏蔽。与此文章发布同时,摩络哥的VoIP 服务已经在Wi-fi 上恢复,可是3G和4G的连接依旧被屏蔽。
摩络哥的电讯公司发表了联合声明,说明屏蔽的决定是由于VoIP 服务所提供的免费通话功能对他们带来了负面的影响。
然而,摩络哥不是唯一受VoIP 屏蔽影响的国家。许多中东国家也屏蔽了VoIP服务,从而辩护国家安全的审查工作。多个政府也重申他们没有辦法监督和管制这些通讯工具。VoIP现时的屏蔽也包括沙地阿拉伯、阿拉伯聯合酋長國、阿曼苏丹国、科威特国、卡塔爾和埃及。像摩络哥的情况,这些国家屏蔽该服务的主要原因也是商业问题。在很多国家,电话费用都非常高,所以VoIP 服务能相对地为用户减低财政负担。屏蔽VoIP 服务便制造了市民想绕过审查的需求。摩络哥的屏蔽只是其中一个近期的例子,展现出由对用户依赖的通讯工具进行大型屏蔽后所产生的大批围绕审查工具用户。
]]>在二月十八日,乌干达民众前往投票站为下一届总统和议会进行投票。据估计,这次大选将会是现任总统约韦里·穆塞韦尼掌政三十年以来面临最激烈的挑战。
大选前,国际媒体对于乌干达政权的巩固和胁迫行为的普及表示重视。非营利、非政府的组织人权观察的报告指出该国对新闻记者、媒体组织和公民社会的言论自由曾作出无数的威吓。另外,保护记者委员会也发布了一个选举前夕镇压媒体自由的事件表。
选举当日早上,社交网络(包括脸书、推特)、即时通讯工具(Whatsapp)、以及网上汇款工具(Mobile Money) 被屏蔽的消息受到广泛报道。移动电讯公司MTN在推特上发言说此屏蔽是由乌干达通讯委员会直接下令。 乌干达通讯委员会是保障公众安全和利益的国家监管机构。
基于公众安全和利益的理由,乌干达通讯委员指示 MTN 停止所有社交网络和amp; Mobile Money 的服务pic.twitter.com/BqPcUyW0QF
— MTN 乌干达(@mtnug) February 18, 2016
现任总统穆塞韦尼期后在电视访问上说,「这些通讯渠道被错误利用了--被用来传谣,如果你要使用权利,那你就要正确使用它。」
乌干达的群众很快就转向VPN和其他网络代理的工具去绕过屏蔽审查,安卓用户的下载次数更多达一百四十万次。赛风的用户数目也因为网络用户尝试连接到受审查的网络去通讯和上网而大幅增加。
乌干达市民可以相信赛风去访问开放的网络,请点击这里免费下载 https://t.co/jq89FNFV2i #乌干达决定 pic.twitter.com/T9d3dqBnrI
— Psiphon Inc. (@PsiphonInc) February 18, 2016
赛风数据显示出在屏蔽时期,赛风每小时的连接点都在上升,甚至比最低点高出二十五倍。
赛风的参与也一直受到媒体的报道,包括The Daily Dot。在跟Smart Monkey TV的访问上,「在屏蔽之前我们在乌干达只有很少的用户。当社交网络受到屏蔽后,认识赛风软件的网络用户开始发布有关赛风的消息,令我们在乌干达的用户大幅上升...我们相信下一次用户会增加的更快。」
此事件反映出当有网络审查,屏蔽或其他限制的时候,用户会趋向使用他们已知的软件和工具去获取内容跟通讯。
]]>通讯工具Whatsapp 在十二月十六日晚上九点在巴西被屏蔽 。Whatsapp 因为无法提交刑事调查需要的用户隐私资料, 而被巴西的州法官颁发了四十八小时的禁令。在过去的几个月,巴西电讯公司也曾经尝试关闭Whatsapp 所提供的免费讯息和话音服务。Whatsapp是巴西现时最流行的通讯工具,而当地的电讯公司则批评Whatsapp 把过百万的付费电话用户抢走。
巴西的网络用户对禁令反应强烈,他们批评在社交网络广泛屏蔽Whatsapp的做法。超过百万的用户因为禁令而转移使用其他通讯工具和社交网络的共用围绕审查技术。 巴西的用户对赛风一致赞好:作为一个免费,开源,和可以在其他屏蔽事件时让他们继续连接网络内容的软件。在这次事件,赛风的负荷容量亦能有效地应付增加需求,甚至多达平日数据的八倍。赛风在巴西的独立用户从十二月十六日的五万四千人上升到十二月十七日的九十四万。
禁令后一天,另一位法官推翻了初审法院的决定,Whatsapp也恢复了服务。发官回应说「过百万的用户因为Whatsapp 未能提供用户资料而受到影响,在宪法精神的立场而言是不能理解的。」赛风的团队很快便解决了使用负荷的问题,而且在禁令推翻后,赛风的数据比起预期多出了两倍。
更新:在二零一六年五月,巴西当局再次屏蔽了Whatsapp,我们也同样看到更多用户使用赛风。
]]>从三月二十五日到三十一日,赛风跟英国文化协会开展了BFI电影节的推广--一个国际网络人权自发行动和历史上第一个全球性和网络的同志文化电影活动。身为当代同志文化电影长达二十九年的表表者,本年的BFI 希望鼓励世界各地一同看电影,宣扬「爱是人的基本权利」的讯息。
赛风在此推广担当了国际化的重任:连接电影节的电影工作者、他们的故事、以及多达一百三十五个国家的观众,包括一些网络自由受严重影响的社会--言论自由,特别是对同志群体限制自由的国家。跟据 #五个自由电影 的導演艾伦‧格默尔说:「此合作绝对是突破性的发展去支持世界自由和平等,同时展现出一些电影节上最优秀的短片电影工作者...我们对是次推广达到过百万的群众,而且能团结世界各地,甚至是每天为生命和爱愤斗的人们感到非常自豪。」通过赛风的平台,超过五百万的浏览者认识了BFI 电影节、登陆页面更有一千三百万次的到访。
是次的合作是对赛风作为一个发布平台的试验。测验结果不单展示了赛风连接多元化及国际观众到有关文化内容的能力,也展示了连接这些团体本身,或是在国际沟通的模式上塞风软件可靠而有效的实力。
赛风总裁Karl Kathuria 对合作结果也十分满意,他说:「我们对成功增加了大家对BFI电影节的认知感到非常兴奋。赛风的用户大部分来自比较难访问同志文化网站的国家,所以这次是很独特的机会去连接这些用户跟五个自由电影的项目,藉此帮助双方在社交网络上交流。」
赛风总裁重申赛风会继续任何艺术、电影和文化活动上的发展。他说:「作为一个内容运送工具,我们的科技有实质和无限的可能去接觸国际用户,不论他们的网络限制。赛风也会在二零一五年的下半年继续从事更多推广和发布电影节内容的工作。」
五个自由电影 #FiveFilms4Freedom 会在二零一六年扩展他们的国际节目。赛风的安全和开源软件会继续在电脑和安卓免费开放使用,帮助世界各地的网络用户连接到开放网络上。
如欲知道 #五个自由电影 的更多资讯,请点击http://film.britishcouncil.org/our-projects/2015/fivefilms4freedom
BFI 电影节 http://www.bfi.org.uk/flare
英国文化协会http://www.britishcouncil.org/
在Psiphon,我们都致力于开放源代码开发。我们在以前讨论过这个博客文章,你可以访问我们的代码存储库这里。
我们最近得到了一个机会进一步采取步骤于这种开放源代码于Windows和Android产品。由iSEC合作伙伴进行了正式的安全审计。作为我们努力做到透明在我们的运作方式,我们很高兴发布这份报告全文,您可以访问这里(用英语)。
全局,我们是非常满意的结果的安全审计,而且我们都"积极确保我们的用户的安全"。我们已处理一个高严重性问题,发现由iSEC伙伴,并随着时间的推移将继续解决的其他建议。
该报告的主要结果如下:
一个特殊的发现由iSEC伙伴是还有潜力到的安全问题当我们使用仅浏览器模式。我们最近写到当在浏览器中被发现了一个新的安全漏洞。并且已采取步骤减轻反对它。
我们都很高兴能够有机会参与这次安全审查。我们希望你会发现这份报告很有趣,和它将展示我们致力于提供一流的软件,已永远开放源码和安全。
Edited 2021-05-19 to update defunct Bitbucket links.
在http://www.rafayhackingarticles.net/2014/08/android-browser-same-origin-policy.html的报告中显示了安卓AOSP浏览器一个严重的保安风险。
我们的团队确认了赛风App的内置浏览器(“只有浏览模式”)受到影响。受影响的版本为安卓3.0至4.3,透过使用WebvView 组件的安卓ASOP浏览器。除了在我们的内置浏览器WebView组件删除Javascript外,暂时没有任何方法可以减低此保安风险。
我们将会发布安卓62版,而此版本将会把受影响安卓版在内置浏览器中的Javascript删除。我们计划继续使用此修改方法,直到有减低此保安风险更有效的方法,或是当安卓ASOP浏览器的补丁软件变得更广泛。
]]>部分赛风的服务器曾经使用受影响的 OpenSSL版本,令 Python 网站服务器更容易受到心血漏洞的攻击。在网页服务器的处理工序里,包括赛风网络网路构架排列信息和网络使用数据, 还有网络密钥服务程序,都负有潜在风险。
SSH或SSH+ 赛风隧道却没有受到影响,用户流量亦然。可是,由于赛风会话前的验证阶段私钥是存储在 Python 网络服务器的内存里,VPN 赛风隧道可能会有潜在的中间人攻击的风险。
在二零一四年四月八号,赛风所有的服务器都进行了OpenSSL版本升级以更新修复版本。所有受影响的服务器都废除了非SSH或SSH+的功能(对所有用户作频外更新),让賽风用户客户端不会在安全隧道之外使用有潜在泄漏风险的服务器加密密钥。
Windows的用户版本没有採用OpenSSL,因此不会受到心血漏洞的攻击。
安卓的用户版本隧道也没有採用OpenSSL, 可是客户端使用安卓Java SSL 进行与赛风网络服务器和亚马逊S3的网络请求。由于安卓4.1.1 受心血漏洞影响,我们的在这里版本Android上的App 继续在与亚马逊服务,赛风服务器,或中间人攻击上窃取App 内存数据上上承担一定的潜在风险。
赛风的电邮自动回复服务器却使用了受影响的 OpenSSL 版本。攻击者透过SSL连接到云端的电邮服务器(使用该服务器的地址发出电邮请求),从而窥看电邮服务器的内存存储。这能暴露电有的内容,甚至发送和收信任的地址。这些OpenSSL版本都在二零一四年四月八号被更新修复。
回馈处理服务器使用了受影响的OpenSSL。此服务器有可能通过使用该版本插件库(通过Python+ Boto)向亚马逊AWS服务和谷歌Gmail服务器发起SSL连接。这意味着亚马逊或谷歌能够看到用户回馈数据。可是,请注意此数据也已经在亚马逊EC2 存档,而且有部分数据的也会透过Gmail电邮发送到我们的邮箱。这些OpenSSL版本都在二零一四年四月八号被更新修复。
https://psiphon.ca 并没有使用受影响的OpenSSL版本。
此文章是对最近两个问题的更新: 赛风是甚么?赛风跟VPN 有甚么分别?和对上一次技术设计文档进行更新后,赛风有甚么改变。
赛风3 是一个集中管理,在不同地理位置有大概一千个代理服务器的网络。我们大部分的设施都在云端提供商。赛风3 是一个 “一站式”, 在客户和服务器间提供链路加密的设施。我们在最流行的平台:Windows, 安卓和iOS (alpha) 提供赛风服务。
赛风是开源软件。我们的服务有完善的隐私条例。我们并没有设定用户帐号,所有用户的地址也不会被存档。
赛风跟一般VPN 服务的分别如下:
我们策略性的向用户发布服务器集,目的是可以在非暴露所有网络的前提下为每一个用户提供一系列他们可以连接的服务器。为了达成以上目的,我们网络集群的数量--尤其是我们网络地址的多样性--着不仅仅是一个简单的控制流量负荷的功能。
我们使用乱序协议加密去绕过DPI 屏蔽审查。
赛风的技术设计文档已经过期,而以下是一个简短的总结去概括我们自二零一一年计划开展以来的所有大型技术改变。
我们增加了混淆加密SSH协议去减少可被DPI深度检测我们网络传输包的特征印迹。 这个完全随机的协议也透过发布给每个赛风用户独特混淆鑰匙的模式展开。
我们也在协议中加了可选择的HTTP字首,去减低基于DPI白名单的HTTP交通。这个简单的字首已经足够基于regex 的 DPI (nDPI 和 17-过滤)去把赛风交通认证为HTTP;也足够去解决我们运行时面对的问题。
我们加了遥远服务器去增加内置和发现服务器的概念。虽然发现概念只能在连接到现有服务器的情况下发生,当其他服务器被屏蔽的时候,我们依然可以下载遥远服务器的名单。遥远服务器的名单是透过S3 和此网址 https://s3.amazonaws.com,在URL撇除Bucket 名称。这样会大大减少屏蔽我们遥远服务器名单的机率,因为他方要同时屏蔽所有S3或进行HTTPS通信量分析。
电邮是不容置疑的推广平台。是乎用户所发到的是赛风赞助商或客户渠道电邮地址,我们有自动回复的系统去发送软件的连结和附件。
我们在二零一二年发布了安卓客户版。第一版本包括了跟据安卓WebView所建立的内置浏览器。在二零一二/二零一三年度,我们对全局代理增加了支援,该模式会通过赛风代理所有安卓apps。我们有iptables 全局模式 (提供给安卓2.2 + rooted装置);还有使用安卓VpnService里Tun2socks (提供给所有安卓4+装置)的全局装置模式。其他新增功能包括出口区域选择和代理链。
我们的iOS客户版正在进行alpha 测试,此版本有内置浏览器。
我们软件内的回馈系统会发送讯息和用户自愿发送的日志。这系统有效帮助我们调节很多平台和屏蔽问题。
对发现算法的改变:我们的发现算法是我们改进网络逐渐的程序。大型的改变包括通过推广平台分享发现服务器;和加入当天时间作为次元。
优化连接算法:我们的版本现在会在同一时间和连接到多个服务器,然后保存“最佳”的连接。这有助于在负载均衡以及减少用户的等待时间,因为个别阻塞服务器不失速的连接序列。
我们也改进了客户版自动更新,此更新採用增量下载和带外的下载网站 (受电子证书认证)这些改变令我们更容易在屏蔽时段发布新版本。
我们刚更新了“关于我们”一栏,希望您(还有所有赛风用户)能够能更深入认识我们的团队--我们每一个成员都非常努力的工作,只为一个目的:为世界上每一个角落的你们带来开放网站访问的权利。
]]>