Атака клонов или темная сторона Open Source

В далёкой-далёкой стране под названием «Open Source»...

Когда-то мы просто хотели сделать VPN, который можно будет легко развернуть на своем сервере, без сбора логов, централизации и слежки. В 2020 году, на хакатоне Demhack, организованном цифровыми правозащитниками из Роскомсвободы, родилась идея создать VPN-сервис, который станет независимым и неуязвимым к блокировкам. Так появился Amnezia VPN – бесплатное open-source решение, позволяющее каждому настроить VPN на собственном сервере с использованием различных протоколов, например, OpenVPN, WireGuard, Shadowsocks, IKEv2 или OpenVPN over Cloak, как надежда на свободный и неуязвимый интернет. Чуть позже мы сделали еще клиент AmneziaWG, о нем расскажем ниже. И как любой хороший повстанческий корабль, он был построен не корпорацией, а маленькой командой инженеров и активистов – с использованием открытого кода, под свободной лицензией.

Тогда мы еще не предполагали, что спустя пару лет в галактике появится дюжина клонов, выдающих себя за нас.

Эпизод I. Новая угроза

Сначала всё было хорошо. Пользователи устанавливали Amnezia VPN, создавали VPN на собственных серверах, обходили блокировки. Множество протоколов : OpenVPN, WireGuard, Shadowsocks, OpenVPN over Cloak, IKEv2, функциональных фич -  KillSwitch, Split Tunneling, собственный ip. Всё своё, всё под контролем. Полезный фидбек и благодарности. 

Так продолжалось до тех пор, пока в наш саппорт не начали сыпаться странные обращения:

– «У меня Amnezia не подключается!»
– «Она вообще без интерфейса!»
– «Амнезия очень медленно работает!»

Мы были в недоумении. Пока не начали разбираться. Так мы увидели тёмную сторону open source.

Клоновая армия

Open-source лицензии, такие как GNU GPL 3.0, дают свободу использовать, изменять и распространять исходный код, но накладывают важные обязательства. Например, если вы взяли проект под GPL, модифицировали и начали распространять, вы обязаны раскрывать исходный код, включая все ваши изменения. Это защищает свободу самого кода, но не предоставляет полную свободу действий пользователям: вы не можете просто закрыть исходники и продавать продукт как «чёрный ящик».

Другие open-source лицензии, например BSD или MIT, таких строгих требований не имеют и позволяют закрывать модифицированный код без его раскрытия. Однако, что объединяет все лицензии — ни одна из них не разрешает распространять модифицированные версии проекта под оригинальным названием без явного согласия автора. Это важно, чтобы предотвратить возможные злоупотребления и сохранить доверие пользователей к первоначальному проекту.

Мы же столкнулись с двумя основными вариантами недобросовестного использования нашего продукта:

1. Перекрашивание клиента в цвета своего бренда. Это когда наша кодовая база используется практически без изменений, цвета интерфейса и название приложения адаптируются под другой бренд без указания оригинала приложения, при этом зачастую ссылки на официальную документацию не меняются.  

2. Недобросовестное использование нашего бренда. Это ситуации, когда создаются сайты, внешне очень похожие на оригинальный сайт amnezia.org, с сохранением ссылок на наши официальные ресурсы (например, GitHub или документацию). Все это вводит пользователей в заблуждение, создавая ложное впечатление принадлежности к официальному проекту. При этом продаваемые на этих ресурсах ключи для AmneziaVPN или VPS для Self-hosted решений, на самом деле, не имеют к нашему проекту никакого отношения. Ситуация осложняется еще и тем, что наш официальный сайт заблокирован на территории России, и не попадается в выдаче некоторых российских поисковиков, в то время как многие фейковые сайты попадают на первые строчки. 

Особенное внимание заслуживает бренд «AmneziaWG», так как он в большей степени был подвержен недобросовестному использованию. Приложение AmneziaWG по интерфейсу является практически точной копией приложения WireGuard. Мы создали его для того, чтобы пользователи не были привязаны к AmneziaVPN и могли использовать протокол AmneziaWG в облегченном клиенте. Но так как у нас нет никаких сервисов с этим названием, самые предприимчивые VPN-мошенники решили занять эту нишу и создали ботов, которые выдают ключи для этого приложения под брендом AmneziaWG. Тут стоит отметить, что мы совершенно не против того, чтобы ключи для AmneziaWG кто-то раздавал или продавал под собственным брендом.    

В общей сложности, за всё время мы отследили порядка 20+ таких клонов разных наших продуктов. Некоторые копировали внешний вид. Некоторые – даже ссылались на наш сайт, но меняли код. Люди устанавливали это, и думали, что это мы. А потом VPN переставал работать – и наша репутация страдала, в то время как мы не имели к этому никакого отношения. 

Мифы и реальность: что думает пользователь

Мы с осторожностью поднимаем эту тему, поскольку понимаем, что у части пользователей может сложиться ошибочное впечатление, будто вокруг полно фейков и пользоваться нашими продуктами небезопасно. Тем не менее, нам важно донести мысль, что далеко не всё, что называется Amnezia, действительно является оригинальной “Амнезией”.

Получается неловкий парадокс: из-за высокого доверия к бренду пользователи часто покупают ключи, не задумываясь, в первом попавшемся Telegram-боте с названием «Amnezia», потом они активируют их в приложении, а когда возникают проблемы, обращаются в нашу поддержку. При этом, бывает непросто объяснить, что приложение является open-source VPN-клиентом, и абсолютно любой человек может самостоятельно генерировать для него ключи, которые будут технически работоспособны.

Важно понимать, что использование открытого кода в соответствии с лицензией не является незаконным. Однако, когда сторонние проекты маскируются под оригинал, это может привести к:

• Потере доверия пользователей к оригинальному продукту.

• Распространению небезопасных версий, содержащих уязвимости или вредоносный код.

• Затруднению поддержки пользователей, обращающихся к нам с проблемами, связанными с неофициальными версиями.

Контратака: что мы сделали

Мы осознаем и ценим открытость и прозрачность open-source движения, однако, стоит помнить, что оно не оправдывает плагиат и недобросовестное использование. Наша задача — не навредить другим честным проектам и командам, а обеспечить безопасность наших пользователей и защитить свою репутацию.

Когда случаи появления клонов и попыток недобросовестного использования бренда участились, мы решили действовать максимально аккуратно, но решительно:

• Провели информационную работу в комьюнити, объяснив, как распознать оригинальную Amnezia VPN.

• Связались с администрацией Telegram и хостинг-провайдерами, добившись удаления наиболее явных случаев злоупотребления нашим именем.

• Официально зарегистрировали товарные знаки и защитили бренд авторским правом.

• Подали соответствующие заявки на исключительные права для дополнительной юридической защиты.

Но самым важным шагом стала эмпатия. 

Мы запустили акцию «50% скидки при переходе на Amnezia VPN» для всех, кто пострадал от недобросовестных сервисов и подделок. Всё, что требовалось, — прислать любое подтверждение покупки другого VPN-сервиса. Сначала это задумывалось как временная мера, но за месяц акции мы получили такое количество обращений, что осознали реальный масштаб проблемы.

Поэтому теперь это не просто акция, эта наша позиция - любой пользователь, купивший нерабочий VPN, медленный VPN, или любой другой VPN, который его не устраивает может прислать подтверждение покупки и получить скидку в 50% на покупку Premium, мы закрепили это в манифесте с объяснением своей позиции. Потому что доверие и помощь– важнее прибыли. 

Что мы поняли

1. Open Source – это свобода. Но свобода требует бдительности.

2. Бренд – не только логотип. Это репутация, которую легко подмочить чужими руками.

3. Пользователям нужно помогать. Особенно когда они просто хотят безопасный интернет.

Работа с open-source решениями – это не только разработка кода, но и постоянная работа по поддержанию доверия пользователей. Мы стали уделять больше внимания:

• Сбору отзывов и общению с сообществом.

• Коммуникации по вопросам безопасности и лицензирования.

• Мониторингу и быстрому реагированию на появление клонов и мошеннических версий.

Эпилог: путь джедая

Open-source предоставляет мощные инструменты для борьбы с цензурой и ограничениям свободы информации. Однако с этой свободой приходит ответственность. Мы призываем пользователей быть внимательными, проверять источники загрузки и заходить только на официальные сайты проектов. Только совместными усилиями мы сможем сохранить доверие и обеспечить безопасность пользователей.

Мы продолжаем развивать Amnezia: внедряем новые протоколы, совершенствуем клиент, растим сообщество. И, как любой open-source проект, балансируем где-то между хаосом и порядком.

Быть открытым — значит принимать риски и оставаться уязвимым перед теми, кто хочет воспользоваться твоей открытостью в своих целях. Но мы всё равно выбираем открытость.

Потому что в этой галактике и без того хватает тьмы. А значит, кто-то должен нести свет.

Если вы хотите узнать больше о Amnezia VPN или внести свой вклад в развитие проекта, посетите наш официальный сайт: (зеркало)  или наш репозиторий на GitHub: