Etter opprøret mot det omstridte presidentvalget i Iran 12. juni i fjor, tok to amerikanske IT-eksperter knyttet til Censorship Research Center (CRC), Austin Heap og Daniel Colascione, på seg å utvikle en løsning for å gi innbyggere i Iran en mulighet til å unnslippe myndighetenes sensur og overvåking av Internett.
Programmet Haystack ble kunngjort med brask og bram i juli i fjor, og ble utdelt til utvalgte brukere, etter hvert også i Iran.
Nå er Haystack trukket tilbake. På nettstedet står det at pågående testing av Haystack er stanset av sikkerhetsmessige grunner. De som besitter en kopi, henstilles til ikke å bruke den.
Bakgrunnen er kritikk fra sikkerhetseksperter om at Haystack har elendig sikkerhet, og at det ikke er noen sak for iranske myndigheter å spore og identifisere brukerne, i motsetning til det Heap og Colascione har påstått det siste året.
Det forklares på nettstedet til Haystack at de har valgt en ny tilnærming til problemet med sensur og filtrert trafikk, slik at det er «usedvanlig vanskelig» å oppdage, og enda vanskeligere å blokkere. Programmet Haystack skal altså gjøre det trygt for brukere i land med avansert nettsensur å bruke vanlige nettlesere og nettjenester. Trafikken inn og ut av pc-ene deres ser ut som den går til uskyldige nettsteder, selv om de har kontakt med egne Haystack-servere i andre land, med forbindelse til forbudte eller sensurerte tjenester. Haystack-klienten tilbys til Windows, Mac og Linux.
Ifølge utviklerne kan ikke Haystack avsløres av verktøy som identifiserer kryptert trafikk, og tjenesten kan heller ikke blokkeres av tiltak for å blokkere krypterte bitstrømmer.
Samtidig er krypteringen i Haystack, etter metoden kjent som elliptisk kurve, så sterk at CRC trengte spesialtillatelse for å eksportere Haystack til Iran. Denne tillatelsen ble gitt 13. april 2010.
Austin Heap innrømmer overfor BBC at kritikken er alvorlig. Han sier CRC vil la en uavhengig instans granske kildekoden. Mens FAQ-listen til Haystack argumenterer mot å frigi kildekoden, sier Heap nå at koden etter hvert vil slippes som åpen kildekode.
Kritikken mot Haystack frontes først og fremst av sikkerhetsekspert Jacob Appelbaum, som forklarer seg i en artikkel i MIT-tidskriftet Technology Review: Anticensorship Tool Proves Too Good to Be True. Appelbaum sier det tok seks timer for ham og en gruppe kollegaer å bryte sikkerhetsvernet i Haystack, og at det må ventes at iranske myndigheter har gjort det samme. Han fyrer av denne kraftsalven:
– Systemet er så skjørt at jeg kan ikke fortelle dere hvordan det virker uten å bli svært bekymret over dem som kan ha brukt det, og som ikke hadde anelse om hvilken risiko de har utsatt seg for. Det er utrolig, og utrolig elendig. De som bruker dette verktøyet, varsler i praksis myndighetene om at de bruker det.
Heaps kompanjong i CRC, Daniel Colascione, gjør mer enn bare å gi kritikerne rett. I et åpent brev, trekker han seg fra hele prosjektet. Han beklager at han har vært med på å utsette folk for fare, og ber om at hele CRC helt enkelt legges ned.
En kjent kryptograf, professor Ed Felten ved Princeton University, slutter seg til kritikken mot Haystack i et innlegg der han besvarer det åpenbare spørsmålet, Why did anybody believe Haystack?
En hviterussisk IT-ekspert med førstehåndskap til nettsensur, Evgeny Morozov, innledet et felttog mot Haystack allerede 2. september. Han fikk et kontant og fiendtlig svar fra Heap, med beskyldning om Brain Dead Journalism og «tabloid bullshit». Morozov fyrte tilbake med One week inside the Haystack.
Morozov fnyser av amerikanere som tror de kan redde verden fra sensur gjennom lettvint IT.