Победителями стали команды literalLegends, Get_site_copy и SecurityBand. Они работали над созданием бота в мессенджерах, который будет делиться мостами Tor с пользователями, и телеграм-ботом, способным сделать заблокированную информацию снова доступной. Команды разделили призовой фонд в 120 тысяч рублей.
21-22 мая «Роскомсвобода» и Privacy Accelerator при поддержке «Теплицы социальных технологий» провели Demhack 4 — онлайн-хакатон в области приватности и свободы интернета. Уже который год мы помогаем командам искать технические решения для защиты цифровых прав и расширения цифровых возможностей пользователей. В этом году отбор прошли 11 заявок.
«Решения все разные, — говорит ментор хакатона, сo-founder & Creative Director in Fancy Interactive Илья Розовский. — Если лично от себя говорить, некоторые проекты показались мне персонально очень полезными и перспективными. Но это не делает другие проекты хуже. Там были и прекрасные специализированные проекты. И это, если честно, даже важнее, потому что решение должно находится для всех. И то, что у этих проектов будет 100 пользователей, как по мне, ценнее, чем проекты на многие тысячи, если эти 100 больше нигде решения найти бы не смогли».
На хакатоне было четыре трека: приватность в условиях военного времени; доступ к информации; русскоязычное сообщество за границей; доступ россиян к технологиям. Перед участниками были поставлены соответствующие задачи, которые они решали на протяжении двух дней. Всем была оказана помощь менторов.
«Считаю, что поставленные задачи были охвачены, — говорит ментор хакатона, юрист и эксперт «Роскомсвободы» Владимир Ожерельев. — Проекты были по всем обозначенным темам. При этом участники работали очень спокойно, не предлагая «экстремальных» решений, подходили к ситуации взвешенно и реалистично».
Победителями стали literalLegends, Get_site_copy и Security Band. Они получили 50, 40 и 30 тыс. руб. соответственно. Специальные награды — устройства Flipper от создателя Павла Жовнера — ушли к literalLegends, «Наст мисис елите форсес» и Burping enthusiasts. Мерч от «Роскомсвободы» (футболки и стикерпаки) — к Get_site_copy.
Проекты-призёры
Команды literalLegends и SecurityBand работали над задачей от The Tor Project — созданием бота в мессенджерах, который будет делиться мостами Tor с пользователями, при этом не отдавая их «злонамеренным» пользователям, которые могли бы, наоборот, эти мосты заблокировать.
literalLegends делала бот для Signal. Для того чтобы облегчить доступ пользователей к базе данных мостов, а также обезопасить их от возможной блокировки адресов, команда создала бот с несколькими уровнями доверия к пользователю, зависящими от активности пользователей, и репутационным скором, а также с дополнительной верификацией через GitHub для защиты от атак с целью получения полного списка мостов.
«Хотя, например, в России «Роскомсвобода» и отвоёвывает право пользоваться Tor, для таких стран, как Иран или Китай, наше решение актуально. У нас есть планы сотрудничать с разработчиками Tor и работать над проектом дальше, в частности на форуме “Интернет без границ”», — рассказала участница команды Соня.
За время хакатона команда освоила принцип создания ботов в Signal, успела создать тестового бота с языковой поддержкой (английский, русский), который работает по принципу one user = one bridge, активно поработала над решением проблем bridge enumeration, bot abuse.
Security Band тоже делала бот для Signal, хотя в перспективе платформа может интегрироваться в другие мессенджеры. Команда предложила определять пользователей за счёт механизма сбора определённой информации, статистики (номер телефона и активность по ID) и выдавать мост после этого. Номера телефонов при этом не хранятся.
«У нас есть задумка сделать сервис для распределённых инструментов, и, возможно, было бы неплохо научить их “общаться” через Tor. Для этого сервис автоматической раздачи мостов будет очень кстати», — поделился планами разработчик Серафим Прозоров.
За время хакатона команде удалось создать API модуль для раздачи мостов (для любого мессенджера), по REST интерфейсу. Она продумала и решила проблемы, подсвеченные менторами, по приватности и безопасности данных. Практически полностью написала бот для Signal.
Get_site_copy занималась телеграм-ботом, способным сделать недоступную в России информацию снова открытой.
Бот работает следующим образом: пользователь отдаёт ему ссылку с ресурса с ограниченным доступом, бот подтягивает информацию и выдает её по новой ссылке. Ссылку далее можно переслать кому угодно. Таким образом, решение позволяет делиться недоступной информацией с теми, у кого нет VPN или Telegram.
«Это не альтернатива VPN. Наш бот скорее для тех, кто не может установить VPN в принципе, — объясняют разработчик Даниил и продуктолог Татьяна о своём проекте. — Допустим, вы прочитали статью на “Медузе” и хотите поделиться ей с мамой или бабушкой, которые не настроят VPN никогда. Наш бот в этом поможет».
За время хакатона команда создала MVP (телеграм-бот и сервис создания скриншотов), а также частично реализовала сервис копирования html/css и Proxy-сервер.
«Наст мисис елите форсес» делала Cherepaya Proxy. Это решение по использованию мессенджеров в качестве транспорта для передачи трафика. «Говоря более продуктово, сегодня у нас есть прокси, который в качестве транспорта использует сообщения в мессенджерах», — объясняется в описании проекта. Зашифрованное сообщение отправляется заранее созданному боту, который дешифрует их и выполняет запрос, а потом возвращает ответ аналогичным способом. Сервис может использоваться для обхода блокировок, а также для безопасного, зашифрованного общения.
«Мы хотели проверить идею защищённой передачи информации через мессенджеры. Cherepaya Proxy позволяет заходить в интернет через другое устройство, из другой страны, но только транспорт здесь не сеть, а мессенджер, на данный момент – сообщения в ICQ. Это альтернативный способ обхода файрволла на случай, если все остальные решения (например, VPN) заблокированы», — рассказывает тимлид команды Максим Мержанов.
Участники разработали два приложения, клиент-приложение и сервер.
Burping enthusiasts выполняла задачу участника третьего набора акселератора команды Eppie — делала плагин для почтового сервера для хранения писем в файловой системе IPFS.
«Почтовые сервера нуждаются в архитектуре, которая обеспечивала бы приватность данных одновременно с сохранностью и простым доступом к контенту. Эти требования на сторонних сервисах могут в любой момент нарушиться, а поддержка личного сервера до недавнего времени не обладала тем же уровнем качества, что у коммерческих решений, — говорится в описании проекта. — Технологии децентрализованного интернета дают новые возможности личным почтовым серверам, и предлагаемый проект помогает их реализовать».
Решение основывается на Maildir-формате системы хранения писем: нужно запустить python-скрипт, который зашифровывает каждое новое письмо с помощью GPG и публикует в IPFS.
«Зашифрованные письма нельзя будет прочитать, если сервер будет скомпроментирован», — пояснил один из разработчиков Владимир Филинов.
Команде удалось точно узнать запрос в таком плагине, выбрать подходящие утилиты для реализации плагина и протестировать решение на почтовом сервере на базе postfix+dovecot.
Менторы оценили все проекты (и победителей, и не попавших в призы) как достаточно сильные. В первую очередь – командами, говорит Розовский. По его словам, участники были «заряженными, хорошо подготовленными, сплоченными специалистами. От того и сами проекты были очень техничными и к концу хакатона это были уже почти готовые решения».
Владимир Ожерельев отмечает, что уровень команд от хакатона к хакатону растёт:
«Если раньше видел две-три хорошие идеи, то сейчас и проекты интересные, и команды были более мотивированные. Кроме того, почти у всех есть желание развивать решения дальше. За два дня команды достигли значительного прогресса, и если бы хакатон длился неделю, то результаты были бы еще более впечатляющими».
С Ожерельевым согласен и Илья Розовский. По его мнению, с точки зрения возможностей нескольких человек сделать что-то в ограниченное время ограниченное время «было сделано даже больше, чем представлялось возможным».
«Конечно, ни одного хакатона не может быть достаточно. Это история про вычерпывание океана. Но рук опускать не стоит. Даже у океана можно отобрать немного суши. Люди очень на многое способны», — заключил эксперт.
Партнёрами хакатона стали международные и российские IT-компании, прайваси-стартапы, СМИ, правозащитные организации в сфере гражданских и цифровых прав, медиа и технологические проекты, среди которых: DRC Group, Tor, Access Now, Russian Hackers, Security Lab, DOXA, ОВД-Инфо, 7х7, «Новая Газета Европа», «Медиазона», «Инфокультура», VPNlove, Amnezia VPN, арт-группа «Явь».
Поздравляем победителей, благодарим остальные команды за участие, менторов — за уделённое время и рекомендации, жюри — за оценку проектов! Удачи командам в дальнейшей реализации проектов и до новых встреч!