Møt OSTIF, personvernforkjemperne som gjør internett tryggere ved å revidere koden

[ware_item id=33][/ware_item]

OSTIF reviderer OpenVPN til fordel for alle.


ExpressVPN snakker med Derek Zimmer: President og administrerende direktør i Open Source Technology Improvement Fund (OSTIF), om organisasjonen hans, tilsynet med OpenVPN og fremtiden for Internett-personvernverktøy.

Sitatene (i rødt) publisert i denne bloggen er tekstutdrag hentet fra hele intervjuet med Derek som du kan lese i sin helhet her.

ExpressVPN støttet stolt OSTIFs tilsyn.

Hvorfor det er viktig å revidere åpen kildekode-prosjekter som OpenVPN

Personvernbevisste og sikkerhetsrelaterte prosjekter er i økende grad avhengige av open source programvare på grunn av ideologiske grunner, lisensproblemer og tillit.

Det er den åpne naturen til programvaren som gjør at enhver kan se hvordan den fungerer og hvordan den skal kompileres - og holde kontroll over hva koden gjør.

I virkeligheten er det imidlertid få som kan gjennomgå og forstå koden fullstendig, og selv om en viss skikkelig oppførsel er åpenbar, tar det ofte mange år å oppdage sårbarheter og feil.

Fullkodevurderinger er dyre og vanskelige å gjennomføre, og selv om mange mennesker og organisasjoner kan stole på et prosjekt, er det vanskelig å koordinere en full revisjon.

OSTIF bestemte seg for å ta på seg den skremmende oppgaven, uansett. Derek forklarer at det tok tre forskere 50 dager (eller rundt 1000 timer) for å fullføre vurderingen. Versjonen de reviderte var OpenVPN 2.4 fordi den inkluderer noen betydelige kodeendringer og nye funksjoner.

"OpenVPN er et unikt programvare, ved at det er en monolitisk kode med mange funksjoner som må være kompatible med eldre versjoner."

OSTIF så først og fremst på implementeringene av Windows og Linux fordi de er mest kjent med brukere og utviklere.

"Vi bestemte oss også for å fokusere på all kryptografi laget av OpenVPN selv, og applikasjonens sikkerhet. Dette betyr å lete etter logiske feil, hukommelsesallokasjonsfeil, feil bufferthåndtering eller andre feilaktige feilstatusproblemer. ”

OpenSSL, som OpenVPN (sammen med PolarSSL) er avhengig av "for å drive sin kryptografi", var ikke inkludert i tilsynet og vil ha en egen, separat gjennomgang. Det er blomstrende virksomheter som er avhengige av OpenSSL eller Nginx, og Derek håper å samle inn penger fra dem.

Dessverre har andre store programvareprosjekter for privatliv, som OTR, Signal eller Tor, ingen kommersielle brukere som er opptjent, så samfunnet må finne et middel til å finansiere eventuelle revisjoner selv.

Finne finansiering for en fullkoderevisjon

Tidligere hadde OSTIF prøvd andre midler, inkludert en Kickstarter for å skaffe midler. Nå tar Derek sikte på å samle givere for hvert prosjekt individuelt, forhåpentligvis få mer tillit fra teknologibransjen og samfunnet i prosessen. Det er håpet at denne tilnærmingen vil gi muligheten til å ta på seg større prosjekter.

OpenVPN-tilsynet var den første "brede" tilsynet, som Derek uttrykker det, som OSTIF foretok. I motsetning til deres forrige etterlengtede revisjon av Veracrypt (etterfølgeren til Truecrypt), har OpenVPN et blomstrende samfunn av store VPN-leverandører som er villige til å bidra økonomisk.

”Jeg ble overrasket over det positive samfunnsresponset og støtten til prosjektet. Det var virkelig bemerkelsesverdig! Jeg er veldig fornøyd med samfunnsstøtten til prosjektet, men ble også overrasket over antallet større organisasjoner som ikke svarte på forespørslene våre eller ikke hadde noen kontaktperson for ledelsen. "

Den utviklende personvern og sikkerhetsbransjen

Mens Derek stort sett virker optimistisk om fremtiden for online sikkerhet og personvern, er han bekymret for "svarte kasser med kode" og millionene av eldre, men likevel aktive, systemer uten nylige sikkerhetsoppdateringer - spesielt i Android-økosystemet.

Motsatt setter Apple enorme ressurser i sikkerhet. Imidlertid, sier han, Apple har ikke åpen kildekode for teknologien. I stedet stoler de på enhetssikkerheten for å holde uønskede skadelige forskere i sjakk - som er et upålitelig oppsett.

Det ser ut til at det er mange trengsler å møte. Til slutt yter Derek og teamet hans en utmerket service til internett og brukernes personvern. Men kampen er langt fra over:

"Vi har flere ganger sett gjennom forskjellige lekkasjer fra myndighetsorganer at hvis kryptografien rundt informasjonen er god, kan de ikke bryte den en masse. Dette faktum deaktiverer i det minste "lytting på alle" form av masseovervåkning som har blitt gjennomgripende de siste årene. Ettersom disse personvernverktøyene fortsetter å forbedre og krypto blir vanskeligere å ødelegge og enklere å bruke, ser vi betydelig økt innsats for å angripe og kompromittere enheter. "

Møt OSTIF, personvernforkjemperne som gjør internett tryggere ved å revidere koden
admin Author
Sorry! The Author has not filled his profile.