cover_image

可扩展地逃离监视资本主义

Kurt Pan XPTY
2024年01月20日 12:26

原文:https://ergaster.org/posts/2024/01/18-escaping-surveillance-capitalism-at-scale/

译文:https://zkfold.ing/surveillance-captalism

译者:Kurt Pan


我们与电脑和手机的关系已经改变。我们过去依赖在计算机本地安装的软件,现在正在转向基于服务和配套应用,有时还提供免费试用和订阅的模型。

大多数服务由组织提供,这些组织收集用户信息,有时将其转售给第三方。这种大规模、不加区别、有组织的个人数据收集行为,称为监视资本主义。虽然组织可能会争辩说这种数据收集对于提供其服务是必要的,但这会对隐私带来重大影响。

自托管和付费订阅是逃离监视资本主义的常见策略。但他们真正能提供什么保证呢?对于想要逃离监视资本主义的普通公众来说,还有哪些替代方案?代价又是什么?

付费订阅还不够

当服务有免费和付费两个层级时,人们很容易以为服务供应商会在免费层级上出售你的数据,但会在付费层级上注意这一点。向供应商付费订阅听起来是一个保证数据安全的好主意,有时确实如此。但事实并非一定如此。

据 The Verge 报道,心理健康服务供应商 BetterHelp 向包括Facebook 和 Snapchat 等第三方共享了客户的电子邮件地址、IP 地址和健康调查问卷信息,同时还在承诺这些信息会是保密的。心理健康正是应该保密的信息类型,这使得 BetterHelp 的这一举动尤其令人震惊。

自托管,但作为服务

监视资本主义的主要推动因素之一是中心化。这个意义上,付费订阅并不能保证供应商会遵守规则并确保你的数据保密。

自托管在阻止监视资本主义方面相当有效,主要是因为数据并不存在于中心化存储库中,而是存在于自托管者的基础设施中。这个意义上,它并不能直接促成监视资本主义。不过,这里区分开私有信息和公开信息很重要。联邦社交媒体平台上的帖子并不是中心化的,但它们是公开的,可以被抓取并被利用。我们在本文中讨论的威胁是供应商发展得如此之大,以至于可以大规模收集和利用非公开数据。

应该指出的是,自托管解决方案的卖家理论上仍然可以通过使其软件向母机发送数据来收集有关用户的信息,无论其安装在何处。在某种程度上,只要用户明确知道发送了哪些数据、可以选择退出,且出于明确定义的目的发送最少量的匿名数据,这是可以接受的。这种做法称为遥测 telemetry。对开源软件,任何精通技术的人可以去查看代码并检查实际发送到母机的内容。对专有软件这要困难得多。

但自托管无法很好地扩展,因为它需要时间和知识。有一个变通办法:使用可以自托管的软件,但是将其作为服务购买。现实生活中的一个例子可以是 Google Drive 的伦理替代方案 Nextcloud:Ionos 等多家供应商提供托管的 Nextcloud 实例。这使得此类解决方案可供更广泛的公众使用(并且安全!)。

使用开源许可意味着可以对软件进行审计,但它也允许任何人获取代码并将其作为服务提供。当服务提供商没有进行公平竞争时,这可能导致在成本和质量方面的恶性竞争:他们从其未投入资源的开发工作中获益,同时也没有在财务或技术上对上游项目作出贡献。

如果此类供应商的客户遇到问题,得到的支持通常很少:在预算非常紧张的环境中,失去客户可能比调查重大问题更有利可图。这种掠夺性方法会损害其部署所在的生态:客户会获得糟糕的体验,而上游项目几乎没有获得任何好处。在 Matrix 生态中也观察到了类似的行为,其中集成商部署了开源产品,但没有做出任何回报。

截图:Nextcloud 网站上列出与 Nextcloud 合作伙伴的页面

最终,支持合同会是服务供应商及其客户的保险。当服务供应商支付上游支持费用并报告问题时,开发产品的工程师会调查该案例,解决问题,并使该修复达到每个人。这也使得上游能够产生一些收入,为项目的健康、可持续性以及令人兴奋的新功能的出现做出贡献。

Nextcloud 还允许用户直接从 nextcloud.com 注册第三方供应商。这个注册功能使用户可以非常轻松地选择供应商。 Nextcloud 的 Jos Poortvliet 向我证实,这不是一个正式的认证计划,而更多的是 Nextcloud 信任的一组公司。 Nextcloud 不会有意从该计划中获得收入,因为他们不从事通过私有用户获利的业务。认证计划的运行成本通常非常昂贵,而且不一定能为供应商带来利润。

截图:Nextcloud 网站上提示用户输入他们的电子邮件地址,并提供给他们附近的服务供应商的页面。

不相信任何人

从供应商处购买托管服务,实际上开启了一种部分再中心化的形式……技术上讲,这允许供应商开始出售用户的数据以获利。

还有第三种选择:确保数据只能由其预期接收者读取,将服务器变成相当基本的管道。这就是端到端加密(E2EE)。这听起来确实像是一颗银弹!那么为什么不是每个服务供应商都去实现之以显示他们的诚意呢?因为它有缺点。

使用 E2EE 时,文件会被加密。除了所有者和所有者明确授权的人之外,任何人都不能阅读。这意味着服务器软件和服务器的技术管理员也都无法读取。这通常是用户所期望的,但这会产生后果!

哑服务器

由于服务器无法读取数据,因此无法再执行一些合理操作。一个典型的例子是“深度”搜索功能,即服务器花费计算时间来读取和索引所有文件,以便用户可以轻松查询。当文件被加密时,索引和搜索只能在客户端上进行。这些操作非常昂贵,客户端不一定具备执行这些操作所需的计算能力、连接性或存储能力。

有一些新技术,例如同态加密,最终可以使用户将计算卸载到服务器上,而服务器无需了解其实际在做什么,但该技术尚未准备好大规模使用。

拥有哑服务器还严重限制了其根据特定工作流发送自动报告或警报的能力。某种意义上说,服务器不能再为用户“工作”,而只不过是一个备份服务。

数据可能变得不可恢复

对于E2EE,加密和解密密钥仅存储在设备上,这是一个很大的风险。假设你将重要文档唯一地托管在 E2EE 服务上,并且你的密钥仅存在于你的手机上。如果你的手机损坏或丢失,你的解密密钥也会随之丢失。

可以采用三种解决方法来避免完全丢失密钥:

  1. 直接在客户端中生成一个“纸密钥”(也称为“恢复密钥”、“种子口令”,在加密货币上下文中称为“纸钱包”),并为用户提供 12 到 15 个单词以供写下或打印在某处。
  2. 从用户口令中导出加密密钥。这就是 Firefox Sync 所采用的方法。
  3. 将加密密钥存储在服务器端的由口令派生的密钥加密的保管库中。当然,口令必须足够长,以使服务器管理员难以破解。

这些解决方法的主要不便之处在于,它们要求用户打印/写下生成的密钥并将其存储在某个安全的地方以便以后可以恢复,或者记住口令以访问其加密/解密密钥。如果用户丢失了生成的密钥或忘记了口令,他们的数据就会丢失且无法恢复。服务供应商对此无能为力,因为他们也无法访问数据。换句话说:不再有“忘记密码”的链接了。

无法帮助忘记密码的用户所带来的声誉风险对于服务供应商来说通常是不可接受的。即使将自己定位为尊重用户隐私的公司的 Apple 也不会默认打开 E2EE,并且在允许用户在其 iCloud 帐户上实际打开 E2EE 之前采取了很多预防措施,这是可以理解的。

E2EE 中的“E”并不代表“一切”

虽然 E2EE 非常善于防止爱管闲事的人查看文件和消息本身,但这并不意味着所有内容都已被加密。特别是,元数据会以明文形式发送,因为服务器需要提供服务,或者服务供应商可以从中获利。

典型地,WhatsApp 是一个 E2EE 的消息传递应用,但供应商仍然可以访问元数据。 WhatsApp 还具有审核功能,允许用户解密他们发送的 E2EE 消息,并将其发送到 Meta 进行审核。虽然审核是一个合理的用例,并不会破坏加密本身,但它表明客户端理论上可以解密消息并将其发送给用户背后的服务供应商。

截图:iOS App Store 上显示 WhatsApp 的 'App 隐私' 部分。'与你相关的数据' 部分提到了许多条目。

这凸显出仅 E2EE 也是不够的:即使用户不需要信任服务供应商,他们也需要能够信任他们所依赖的协议和客户端。这意味着客户端必须开源并由独立第三方定期审计。

技术之外

正如我们所看到的,有几种策略可以帮助公众摆脱监视资本主义。自托管很有效,但扩展性不佳,自托管软件的付费实例通常运行良好,但不是银弹,E2EE 对于保护隐私非常有用,但也不能提供全面的保证。

归根结底,E2EE 是一种非常自由主义的解决社会问题的方法,采取“我自己反对世界”的立场。这可能是一种合理的立场,特别是对于少数群体和在敌对环境中时。但监视资本主义并不是一个技术问题。技术使其成为可能,但其核心是一个社会问题。

正如Molly White所说,“社会问题从来没有纯粹的技术解决方案”。为了对抗监视资本主义,我们需要 E2EE、监管、司法和教育。

我们需要 E2EE 来从一开始就防止收集的发生。我们需要适当的监管来定义什么是可接受的或不可接受的,这最终将定义什么是可行的商业模式,什么是不可行的。这意味着罚款一定要使得出售用户数据的行为变得无利可图。我们需要司法和行政机构来实际执行法规。我们需要对公众进行教育,以了解监视资本主义的风险。