Tapaa OSTIF, yksityisyyden puolustajat, jotka tekevät Internetistä turvallisemman tarkistamalla sen koodin

[ware_item id=33][/ware_item]

OSTIF tarkastaa OpenVPN: ää kaikkien hyödyksi.


ExpressVPN keskustelee avoimen lähdekoodin tekniikan parannusrahaston (OSTIF) toimitusjohtajan Derek Zimmerin kanssa hänen organisaatiostaan, OpenVPN-auditoinnista ja Internetin tietosuojatyökalujen tulevaisuudesta.

Tässä blogissa julkaistut lainaukset (punaisella) ovat katkelmia Derekin koko haastattelusta, jonka voit lukea kokonaan täältä.

ExpressVPN tuki ylpeänä OSTIF: n tarkastusta.

Miksi on tärkeää tarkistaa avoimen lähdekoodin projekteja, kuten OpenVPN

Tietosuojatietoiset ja tietoturvaan liittyvät projektit luottavat yhä enemmän avoimen lähdekoodin ohjelmistoihin ideologisista syistä, lisenssikysymyksistä ja luottamuksesta.

Ohjelmisto on avoin luonne, jonka avulla kuka tahansa voi nähdä miten se toimii ja miten se kootaan - ja pitää hallussaan koodin toiminta.

Todellisuudessa kuitenkin harvat ihmiset voivat tarkistaa ja ymmärtää koodia kokonaan, ja vaikka jonkinlainen huono käyttäytyminen on ilmeistä, haavoittuvuudet ja virheet vievät usein vuosia havaitsemiseen.

Koko koodin tarkistus on kallista ja vaikea suorittaa, ja vaikka monet ihmiset ja organisaatiot saattavat luottaa projektiin, on vaikea koordinoida täydellistä tarkastusta.

OSTIF päätti ryhtyä pelottavaan tehtävään riippumatta. Derek selittää, että kesti kolme tutkijaa 50 päivää (tai noin 1000 tuntia) arvioinnin suorittamiseen. Niiden tarkastama versio oli OpenVPN 2.4, koska se sisältää joitain merkittäviä koodimuutoksia ja uusia ominaisuuksia.

"OpenVPN on ainutlaatuinen ohjelmisto, sillä se on monoliittinen koodi, jossa on paljon ominaisuuksia, joiden on oltava yhteensopivia vanhempien versioiden kanssa."

OSTIF tarkasteli ensisijaisesti Windows- ja Linux-toteutuksia, koska ne ovat käyttäjien ja kehittäjien tunnetuimpia.

”Päätimme myös keskittyä mihin tahansa OpenVPN: n itse luomaan salaukseen ja sovelluksen turvallisuuteen. Tämä tarkoittaa loogisten virheiden, muistin varausvirheiden, virheellisen puskurin käsittelyn tai muiden virheellisten virhetilojen etsimistä. "

OpenSSL: ää, johon OpenVPN (yhdessä PolarSSL: n kanssa) luottaa ”salauksensa tehostamiseen”, ei sisällytetty tarkastukseen, ja sillä on oma erillinen katsaus. On kukoistavia yrityksiä, jotka luottavat OpenSSL: ään tai Nginxiin, ja Derek toivoo varaavansa heiltä.

Valitettavasti muillakin laajoilla tietosuojaohjelmistoprojekteilla, kuten OTR, Signal tai Tor, ei ole omaa kaupallista käyttäjää, joten yhteisön on löydettävä keino rahoittaa auditoinnit itse.

Rahoituksen löytäminen koko kooditarkastusta varten

Aikaisemmin OSTIF oli yrittänyt muita keinoja, kuten Kickstarter kerätä varoja. Nyt Derek pyrkii keräämään lahjoittajia jokaisesta projektista erikseen, ja toivottavasti saamaan enemmän luottamusta tekniikan teollisuudesta ja yhteisöstä prosessiin. Toivotaan, että tämä lähestymistapa antaa mahdollisuuden ryhtyä suurempiin hankkeisiin.

OpenVPN-auditointi oli Derekin mukaan ensimmäinen ”laaja” auditointi, jonka OSTIF sitoi. Toisin kuin heidän aiemmin odotettu tarkastus Veracryptissä (Truecryptin seuraaja), OpenVPN: llä on kukoistava yhteisö suuria VPN-palveluntarjoajia, jotka ovat valmiita osallistumaan taloudellisesti.

”Olin yllättynyt myönteisestä yhteisövasteesta ja tuen hankkimisesta projektille. Se oli todella merkittävää! Olen erittäin tyytyväinen hankkeen yhteisötukeen, mutta olin yllättynyt myös suurempien organisaatioiden määrästä, jotka eivät vastanneet kyselyihimme tai joilla ei ollut lainkaan yhteyshenkilöä niiden johdolle. "

Kehittyvä yksityisyyden ja turvallisuuden ala

Vaikka Derek näyttää olevan suurelta osin optimistinen online-tietoturvan ja yksityisyyden tulevaisuuden suhteen, hän on huolissaan "mustista koodiruuduista" ja miljoonista vanhemmista, mutta aktiivisista järjestelmistä, joissa ei ole viimeisimpiä tietoturvapäivityksiä - etenkin Android-ekosysteemissä..

Apple puolestaan ​​asettaa valtavia resursseja turvallisuuteen. Hänen mukaansa Apple ei kuitenkaan avaa lähdekoodin tekniikkaansa. Sen sijaan he luottavat laitteiden turvallisuuteen pitääkseen ei-toivotut haittaohjelmatutkijat loitolla - mikä on epäluotettava asennus.

Näyttää siltä, ​​että edessä on monia ahdistuksia. Viime kädessä Derek ja hänen tiiminsä tarjoavat kuitenkin erinomaisen palvelun Internetille ja sen käyttäjien yksityisyydelle. Mutta taistelu ei ole kaukana:

”Olemme toistuvasti nähneet useiden valtion virastojen vuotojen kautta, että jos tietojen ympärillä oleva salaus on hyvä, he eivät voi rikkoa sitä massiivisesti. Tämä tosiasia ainakin estää joukkoseurannan "kuunteleminen kaikille" -muodon, josta on tullut levinnyt viime vuosina. Näiden tietosuojatyökalujen parantuessa jatkuvasti ja salauksen muuttuessa vaikeammaksi ja helpommaksi käyttää, näemme huomattavasti lisääntyneitä pyrkimyksiä hyökkäyksille ja kompromisseille laitteille. "

Tapaa OSTIF, yksityisyyden puolustajat, jotka tekevät Internetistä turvallisemman tarkistamalla sen koodin
admin Author
Sorry! The Author has not filled his profile.