После многочисленных публикаций о масштабах слежки АНБ и другими правительственными организациями, хактивисты сконцентрировались на создании защищённых аналогов популярных сетевых сервисов и программ. Появились новые криптографические плагины для облачных приложений и мессенджеров, набирают популярность защищённая почта и приватные браузеры. Теперь анонимной группой запущен проект создания VoIP-сервиса Tox, который позиционируется как свободная альтернатива Skype. Основная масса его разработчиков общается на 4chan, где и была набрана команда. Среди ключевых особенностей Tox указываются открытый исходный код, отсутствие выделенных серверов и контроля со стороны какой-либо софтверной компании.
Как и его прародитель Skype, Tox будет предлагать полный набор привычных функций: голосовая и видеосвязь, режим конференции с несколькими участниками, указание и смена сетевого статуса, поддержка эмотиконов, возможность отправлять мгновенные сообщения и передавать файлы. Единственное, чего там нет, так это рекламы.
Общая логика работы Tox напоминает схему взаимодействия участников по протоколу BitTorrent. Реализована она примерно так же, как в облачном сервисе Bittorrent Sync. По аналогии с популярным торрент-клиентом, одна из версий приложения даже называется сходным образом – μTox. На момент написания статьи была доступна версия 0.1.3 для пользователей Linux и Windows (включая 64-битные версии).
При общей идее проекта разработка клиентских приложений ведётся отдельно для каждой операционной системы. Команды пишут десятки вариантов с отличающимся набором функций, но для скачивания с официальной страницы будут предлагаться только наиболее стабильные. μTox станет своего рода официальной версией для пользователей Linux и Windows, qTox предназначен для поклонников OS X, а Antox – мобильный вариант для ОС Android. Версии для iOS пока нет.
Самый посещаемый имиджборд и анонимный форум «Форчан» был создан в 2003 году пятнадцатилетним студентом Кристофером Пулом (Christopher Poole). Спустя шесть лет Кристофер неожиданно возглавил рейтинг ста самых влиятельных людей по результатам интернет-голосования, проводимого журналом Time. Произошло это в результате накруток счётчика участниками 4chan, обнаруживших в системе голосования уязвимости и вписавших его под псевдонимом Moot.
До сих пор сетевую активность 4chan трудно было назвать созидательной. Они закидывали неугодные ресурсы шок-контентом, а вместе с активистами The Pirate Bay устраивали DDoS-атаки на серверы платёжных систем под предлогом возмездия за преследование Джулиана Ассанджа и блокировку WikiLeaks. Однако среди завсегдатаев крупнейшего анонимного форума немало и креативных людей с хорошими навыками программирования, знанием сетевых технологий и желанием использовать их для всеобщего блага. Последнее обычно понимается как помощь в реализации права на свободный доступ к информации и тайну личной жизни, для чего и разрабатываются соответствующие программы.
Совместная работа над проектом Tox осуществляется с помощью сервиса GitHub, где уже доступны исходники тестовой версии. Как видно из кратких описаний «ночных сборок», защита соединения достигается за счёт использования SOCKS прокси-серверов. Также поддержка SOCKS5 позволяет перенаправлять весь трафик через Tor. Криптографические функции выполняются с помощью библиотеки NaCl (читается: salt | «соль»), созданной международной группой специалистов по безопасности под руководством Даниэля Бернштейна (Daniel J. Bernstein) из Университета штата Иллинойс в Чикаго. Подробное описание Tox для разработчиков представлено по этой ссылке. Следить за новостями и скачивать тестовые версии пользователям предлагается с сайта проекта. Он доступен уже более чем на полусотне языков, среди которых есть русский.
Помимо Tox подобные сервисы для защищённой переписки разрабатываются и другими приверженцами свободного софта. Среди них стоит отметить Briar, созданный командой Майкла Роджерса (Michael Rogers) из Делфтского технического университета и проект Invisible.im. Последний был основан аналитиком Патриком Греем (не путать с его полным тёзкой – директором ФБР) и автором фреймворка Metasploit (H.D. Moore), занимающим сейчас пост ведущего разработчика фирмы Rapid7, специализирующейся на вопросах ИТ-безопасности. Оба клиента позиционируют как приватные аналоги WhatsApp, Viber и других мессенджеров.
Решения для шифрования обычных телефонных переговоров давно присутствуют на рынке. Одними из самых востребованных стали программы от Whisper Systems (Signal для iPhone) и Silent Circle (доступные также для Android). Однако Tox может стать тем приложением, которое заменит собой как приватные мессенджеры, так и программные криптофоны.
«Сейчас Tox – это просто защищённый и безопасный туннель между узлами сети, – комментирует разработку один из участников проекта Дэвид Лоула (David Lohle) изданию Wired. – Что именно вы будете передавать по нему, ограничивается лишь вашим воображением».
Несмотря на разнообразие подходов при написании клиентских приложений Tox, все они работают по общей схеме ассиметричного шифрования. После установки μTox автоматически создаётся пара ключей. Публичный ключ можно передавать кому угодно – он служит как уникальный идентификатор для поиска собеседника. Секретный ключ хранится только у владельца и подтверждает его подлинность не раскрывая персональные данные.
Пока проект Tox находится на ранней стадии. Реализованы только базовые функции, а продвинутые возможности, вроде одновременного голосового общения с несколькими участниками, ещё только планируется добавить. Беседовать в режиме конференции текстом уже можно. Возможность одновременно войти в систему с тем же идентификатором на двух и более устройствах обсуждается, но пока недоступна по факту.
Идея создания Tox кажется мне здравой и заслуживающей внимания. Однако сам по себе открытый код ещё не гарантирует надёжной защиты, а безопасность «луковичной маршрутизации» неоднократно критиковалось. Разработчики пишут код на голом энтузиазме и не планируют превращать Tox в коммерческий проект. Считаю, что со временем было бы целесообразно устроить краудфандинговую кампанию для сбора средств на профессиональный аудит стабильной версии. Подобно тому, как это уже было сделано для приложения TrueCrypt.