科技猎对于网站的政治审查,谷歌站出来说:我们将保护政治对话的各方,并免费提供网络防御服务
作者:安迪·格林伯格(Andy Greenberg),《连线》杂志高级撰稿人,文章内容涉猎安全、隐私、信息自由和黑客文化。
迈赫迪·叶海亚尼贾德(Mehdi Yahyanejad)曾以为,2009年6月12号伊朗大选落下帷幕之后,他终于能喘口气儿了。这位民间记者站兼社会新闻网站Balatarian.com的主编,已经为报道那次大选连轴转了很多天。因此,当强硬派总统马哈茂德·艾哈迈迪-内贾德(Mahmoud Ahmadinejad)十分可疑地以巨大优势击败改革派领袖米尔-侯赛因·穆萨维(Mir Hussein Moussavi),当抗议者纷纷走上街头,这位33岁的伊朗移民正在美国加州大苏尔度假。本应消闲愉快的夏日假期画风突变,主编大人变成了坚守在电脑前,为保卫自己的网站不被网络攻击瘫痪而奋战的苦逼程序员。
这轮数字轰炸似乎是由伊朗政府发起的,目的就是让他的网站在敏感政治时期无法发布信息。而这,仅仅是个开始。数年来,一有抗议出现,这家网站就会遭到所谓的“分布式拒绝服务”(DDoS)攻击,服务器被垃圾流量淹没,外国媒体无法访问伊朗人民发布在该网站上的动荡局势照片和视频。那个时候,Balatarin的工作人员每天都要封锁成千上万的IP地址,甚至请了一家荷兰的网络安全顾问,却依然毫无效果。叶海亚尼贾德回忆道:“这经历真是太糟糕了,我们每开启一个服务器都会在几分钟之内就被搞到宕机。”
我们希望护盾项目能像Gmail封住垃圾邮件一样挡住DDoS。
然后,2013年5月,叶海亚尼贾德在谷歌的一位朋友建议他注册谷歌页面速度服务的免费试用,将网站在谷歌服务器上缓存,缩短页面加载时间。他采纳了这个建议,效果立即而直观。忽然之间,Balatarin就有了谷歌强大的基础设施做后盾,DDoS攻击统统被谷歌的服务器吸收或过滤掉了,而Balatarin依旧坚挺在线。叶海亚尼贾德很高兴地说:“改变来得如此突然,我们再也不用担心那些抗议游行大爆发的日子了。”
事实上,谷歌是默默地把Balatarin纳入到了其护盾项目服务的早期试行之中。该服务被设计为防止DDoS攻击被用作一个审查工具,目前正保护着将近100个主要涉及人权、选举监督和独立政治新闻的网站。现在,该项目终于走出邀请测试阶段,不仅仅是最易遭到攻击的网站,而是任何需要的新闻网站,都可以免费享受其网络攻击防护服务。
如今,刚刚更名为“拼图”(Jigsaw)的谷歌创意(Google Idea),向任何申请该服务的“独立”新闻网站开放了护盾项目。换句话说,任何非政府非党派的新闻网站都可以免费享受谷歌的网络防护。大型企业新闻网站也可以使用该服务,但护盾项目负责人乔治·康纳德(George Conard)称:该项目的真正目标是那些资源不足的小网站,他们挡不住网络上日渐疯狂的DDoS攻击。他说:“基本上,任何发布过有趣内容的人多多少少都遭到过攻击。更小更独立的声音通常没有资源——无论是技术资源还是资金资源,不能真正落实好安全防护。而这,也就是我们的切入点。”
注册了护盾项目的网站可以修改他们的域名配置,将访客重定向到谷歌服务器上。这些服务器的作用类似“反向代理”,可以过滤掉可疑流量,缓存网站的部分元素,减轻对网站自身服务器的负载。(为防止给潜在的DDoS攻击者提示,康纳德没有透露该服务过滤功能的细节。)
谷歌此举有什么好处?
向成千上万家网站免费提供基础设施资源,谷歌,及其母公司Alphabet,又得到了什么呢?护盾项目属于Jigsaw的使命任务,旨在“用技术解决最难以攻克的地缘政治挑战”。在Alphabet的一堆子公司中,Jigsaw大概是最不关心利润的了。
曾就职美国国务院,在“阿拉伯之春”事件中帮助领导了国务院互联网自由活动的Jigsaw总裁康纳德说:“这无关利润。我们有着更大的使命。当我们谈论组织全球信息并使其可用,你得确保人们访问这些信息的时候不会遭到DDoS攻击,这些信息不会被篡改,不会被政治审查。”
Jigsaw的工程师和高管们认为,防止DDoS攻击,对互联网是有益的。而对互联网有益的东西,就对谷歌有益。科恩说:“我们仅仅是认为DDoS攻击就不应该存在于这世间。我们希望护盾项目能像Gmail封住垃圾邮件一样挡住DDoS。”
为什么特别向新闻网站提供?
将近10年间,互联网自由分析家眼里,DDoS攻击都被用作一种“适时”的政治审查。这种做法与中国的“墙”不同,它不是封锁站点,而是在一些关键时刻,比如抗议游行或大选的时候,政府或者政府雇佣的黑客将站点弄下线。而DDoS只是在近些年才成为更强有力的审查方式:跟踪DDoS的网络安全公司Arbor Networks最近发现,如今的攻击流量峰值通常都在每秒100gb以上了,2009年时还只是50gb每秒。
正是这逐年增长的威胁,促使谷歌在2013年启动了护盾项目,并在如今将防护范围扩大到了任何想加入的新闻站点。护盾项目早期产品经理C.J.亚当斯(C.J. Adams)称,谷歌选择针对新闻组织提供护盾项目是因为,在很多情况下,这些组织完全依靠他们的网页将信息传播给公众。护盾项目也向人权和选举监督网站发送邀请,但亚当斯将以上两类护盾用户与新闻网站做了区别:这两类网站即使被弄下线了也可以继续他们的工作。
“新闻”也是个更广泛更好定义的网站类别:会出现在谷歌新闻(Google News)上,就能享受护盾项目的保护。换句话说,就是那些遵守新闻工作准则和报道事实的网站。个人博客和民间记者网站也可以申请该项服务,但将会被逐个审查。
保持各种声音活跃的重点,就在于你不能简单粗暴地用攻击来使某种观点静默。
——乔治·康纳德,护盾项目负责人
不过,他们也谨慎点出,网站的政治倾向或观点不会被用于区分接受护盾帮助的人。康纳德说:“我们将保护政治对话的各方。保持各种声音活跃的重点,就在于你不能简单粗暴地用攻击来使某种观点静默。”
但即使这看起来很仁慈的举动,也肯定会招致对谷歌隐私策略的批评,因为加入护盾项目的新闻站点得向谷歌提供访客数据。不过Jigsaw承诺:从反向代理服务收集的原始日志,将至多保存两周,然后就只以聚合形式存储,供进行DDoS攻击模式的学习。而且,护盾项目收集的任何数据都不会被用于广告业务。亚当斯说:“哪有什么圈套?我们非常明确,任何流经我们服务器的东西,我们都无权将之商业化。”
Jigsaw认为,防止新闻网站遭受DDoS攻击符合谷歌的核心目的:不仅只将搜索者导向信息,还要确保信息在线可供访问。“如果这就是我们想要的,那么出钱出带宽来保护全球新闻网站免遭DDoS攻击是否值得?”科恩问道:“我们给出的答案,明显是,‘没错’!”(翻译:nana,编辑:picar)
