Maak kennis met OSTIF, de voorstanders van privacy die het internet veiliger maken door de code te controleren

[ware_item id=33][/ware_item]

OSTIF controleert OpenVPN voor iedereen.


ExpressVPN praat met Derek Zimmer: president en CEO van het Open Source Technology Improvement Fund (OSTIF), over zijn organisatie, de audit van OpenVPN en de toekomst van internetprivacyhulpmiddelen.

De citaten (in het rood) die in deze blog zijn gepubliceerd, zijn fragmenten uit het volledige interview met Derek die u hier volledig kunt lezen..

ExpressVPN trots ondersteund OSTIF's audit.

Waarom het belangrijk is om open-sourceprojecten zoals OpenVPN te auditen

Privacybewuste en beveiligingsgerelateerde projecten vertrouwen steeds meer op open source software vanwege ideologische redenen, licentieproblemen en vertrouwen.

Het is de open aard van de software waarmee iedereen kan zien hoe het werkt en hoe het te compileren - en controle houdt over wat de code doet.

In werkelijkheid kunnen echter maar weinig mensen de code volledig beoordelen en begrijpen, en hoewel sommige snode gedrag duidelijk is, doen kwetsbaarheden en bugs er vaak jaren over.

Volledige codebeoordelingen zijn duur en moeilijk uit te voeren, en hoewel veel mensen en organisaties op een project kunnen vertrouwen, is het moeilijk om een ​​volledige audit te coördineren.

OSTIF besloot om de ontmoedigende taak op zich te nemen, ongeacht. Derek legt uit dat er drie onderzoekers voor nodig waren 50 dagen (of ongeveer 1000 uur) om de beoordeling te voltooien. De versie die zij hebben gecontroleerd was OpenVPN 2.4 omdat deze een aantal belangrijke codewijzigingen en nieuwe functies bevat.

"OpenVPN is een uniek stuk software, omdat het een monolithische code is met veel functies die compatibel moeten zijn met oudere versies."

OSTIF keek vooral naar de Windows- en Linux-implementaties omdat deze het meest bekend zijn bij gebruikers en ontwikkelaars.

“We hebben ook besloten ons te concentreren op elke cryptografie die door OpenVPN zelf is gemaakt, en op de beveiliging van de applicatie. Dit betekent zoeken naar logische fouten, geheugentoewijzingsfouten, onjuiste bufferbehandeling of andere onjuistheden in de foutstatus. "

OpenSSL, waarop OpenVPN (samen met PolarSSL) vertrouwt "om zijn cryptografie te voeden" was niet opgenomen in de audit en zal zijn eigen, afzonderlijke beoordeling hebben. Er zijn bloeiende bedrijven die afhankelijk zijn van OpenSSL of Nginx, en Derek hoopt van hen fondsen te werven.

Helaas hebben andere grootschalige privacysoftwareprojecten, zoals OTR, Signal of Tor geen gevestigde commerciële gebruikers, dus de gemeenschap zal een manier moeten vinden om zelf audits te financieren.

Financiering vinden voor een volledige code-audit

Eerder had OSTIF andere middelen geprobeerd, waaronder een Kickstarter om fondsen te werven. Nu streeft Derek ernaar om voor elk project afzonderlijk donoren te verzamelen en hopelijk meer vertrouwen te winnen van de technische industrie en de gemeenschap in het proces. We hopen dat deze aanpak de mogelijkheid biedt om grotere projecten aan te nemen.

De OpenVPN-audit was de eerste "brede" audit, zoals Derek het zegt, die OSTIF ondernam. In tegenstelling tot hun eerdere langverwachte audit van Veracrypt (de opvolger van Truecrypt), heeft OpenVPN een bloeiende gemeenschap van grote VPN-providers die bereid zijn om financieel bij te dragen.

“Ik was verrast door de positieve reactie van de gemeenschap en de enorme hoeveelheid steun voor het project. Het was echt opmerkelijk! Ik ben erg blij met de community-ondersteuning voor het project, maar was ook verrast door het aantal grotere organisaties dat niet op onze vragen reageerde of helemaal geen contactpunt had voor hun beheer. "

De zich ontwikkelende privacy- en beveiligingsindustrie

Hoewel Derek grotendeels optimistisch lijkt over de toekomst van online beveiliging en privacy, maakt hij zich zorgen over 'zwarte dozen met code' en de miljoenen oudere, maar actieve systemen zonder recente beveiligingsupdates - vooral in het Android-ecosysteem.

Omgekeerd zet Apple enorme middelen in voor beveiliging. Hij zegt echter dat Apple hun technologie niet open source heeft. In plaats daarvan vertrouwen ze op hun apparaatbeveiliging om ongewenste malware-onderzoekers op afstand te houden - wat een onbetrouwbare opstelling is.

Het lijkt erop dat er veel beproevingen te maken hebben. Uiteindelijk doen Derek en zijn team echter een uitstekende service aan het internet en de privacy van zijn gebruikers. Maar het gevecht is nog lang niet voorbij:

"We hebben verschillende overheidslekken herhaaldelijk gezien dat als de cryptografie rond de informatie goed is, ze het niet massaal kunnen breken. Dit feit schakelt in ieder geval de "meeluisteren met iedereen" -vorm van massabewaking uit die de laatste jaren alomtegenwoordig is geworden. Naarmate deze privacytools blijven verbeteren en crypto moeilijker te breken en gemakkelijker te gebruiken wordt, zien we aanzienlijk meer inspanningen om apparaten aan te vallen en te compromitteren. "

Maak kennis met OSTIF, de voorstanders van privacy die het internet veiliger maken door de code te controleren
admin Author
Sorry! The Author has not filled his profile.