Möt OSTIF, integritetsförespråkarna som gör internet säkrare genom att granska dess kod

[ware_item id=33][/ware_item]

OSTIF granskar OpenVPN till förmån för alla.


ExpressVPN pratar med Derek Zimmer: VD och koncernchef för Open Source Technology Improvement Fund (OSTIF), om hans organisation, granskningen av OpenVPN och framtiden för integritetsverktyg för internet.

Citaten (i rött) som publiceras i den här bloggen är utdrag som tas från den fullständiga intervjun med Derek som du kan läsa i sin helhet här.

ExpressVPN stöttade stolt OSTIFs granskning.

Varför är det viktigt att granska projekt med öppen källkod som OpenVPN

Integritetsmedvetna och säkerhetsrelaterade projekt förlitar sig allt mer på öppen källkodsprogramvara på grund av ideologiska skäl, licensproblem och förtroende.

Det är programvarans öppna natur som gör att alla kan se hur det fungerar och hur man sammanställer det - och hålla kontrollen över vad koden gör.

I verkligheten är det dock få som kan granska och förstå koden fullständigt, och även om en del ondskad beteende är uppenbart tar sårbarheter och buggar ofta många år att upptäcka.

Fullständiga kodrecensioner är dyra och svåra att genomföra, och även om många människor och organisationer kan lita på ett projekt är det svårt att samordna en fullständig revision.

OSTIF beslutade att ta på sig den skrämmande uppgiften, oavsett. Derek förklarar att det krävde tre forskare 50 dagar (eller cirka 1000 timmar) för att slutföra granskningen. Den version de granskade var OpenVPN 2.4 eftersom den innehåller några betydande kodändringar och nya funktioner.

"OpenVPN är en unik programvara genom att det är en monolitisk kod med många funktioner som måste vara kompatibla med äldre versioner."

OSTIF tittade främst på Windows- och Linux-implementeringarna eftersom de är mest bekanta med användare och utvecklare.

”Vi beslutade också att fokusera på all kryptografi som skapats av OpenVPN själv, och programmets säkerhet. Detta innebär att leta efter logikfel, minnesallokeringsfel, felaktig bufferthantering eller andra felaktiga felstatusproblem. "

OpenSSL, där OpenVPN (tillsammans med PolarSSL) förlitar sig "för att driva sin kryptografi" ingick inte i granskningen och kommer att ha en egen, separat granskning. Det finns blomstrande företag som litar på OpenSSL eller Nginx, och Derek hoppas att samla in pengar från dem.

Tyvärr har dock andra storskaliga program för integritetsprogramvara, som OTR, Signal eller Tor, inga ägda kommersiella användare, så gemenskapen måste hitta ett sätt att finansiera alla revisioner själva.

Hitta finansiering för en full kodrevision

Tidigare hade OSTIF försökt andra medel, inklusive en Kickstarter för att samla in pengar. Nu strävar Derek efter att samla in givare för varje projekt individuellt och förhoppningsvis få mer förtroende från teknikindustrin och samhället i processen. Det hoppas att detta tillvägagångssätt ger möjlighet att ta på sig större projekt.

OpenVPN-revisionen var den första "breda" revisionen, som Derek uttrycker det, som OSTIF gjorde. Till skillnad från deras tidigare högt förväntade revision av Veracrypt (efterträdaren för Truecrypt) har OpenVPN en blomstrande gemenskap av stora VPN-leverantörer som är villiga att bidra ekonomiskt.

”Jag blev förvånad över det positiva samhällsresponset och utkastet av stöd för projektet. Det var verkligen anmärkningsvärt! Jag är mycket nöjd med samhällsstödet för projektet, men blev också förvånad över antalet större organisationer som inte svarade på våra förfrågningar eller inte hade någon kontaktpunkt för deras ledning. "

Den växande sekretess- och säkerhetsbranschen

Medan Derek verkar i stort sett optimistisk när det gäller framtiden för onlinesäkerhet och integritet, är han orolig för "svarta rutor med kod" och miljontals äldre, men ändå aktiva system utan senaste säkerhetsuppdateringar - särskilt i Android-ekosystem.

Omvänt sätter Apple enorma resurser i säkerhet. Men, säger han, Apple öppnar inte sin teknik. Istället förlitar de sig på deras enhetssäkerhet för att hålla oönskade skadliga forskare i skadan - vilket är en opålitlig installation.

Det verkar som om det finns många förödelser att möta. I slutändan gör Derek och hans team en utmärkt service på internet och användarnas integritet. Men kampen är långt ifrån över:

”Vi har upprepade gånger sett genom olika statliga byråläckor att om kryptografin kring informationen är bra kan de inte bryta den en massa. Detta faktum inaktiverar åtminstone "lyssna på alla" -formen av massövervakning som har blivit genomgripande under de senaste åren. Eftersom dessa sekretessverktyg fortsätter att förbättras och krypto blir svårare att bryta och lättare att använda, ser vi avsevärt ökade ansträngningar att attackera och kompromettera enheter. "

Möt OSTIF, integritetsförespråkarna som gör internet säkrare genom att granska dess kod
admin Author
Sorry! The Author has not filled his profile.