Γνωρίστε το OSTIF, τους υπερασπιστές της ιδιωτικής ζωής που κάνουν το Διαδίκτυο ασφαλέστερο ελέγχοντας τον κώδικα του

[ware_item id=33][/ware_item]

Το OSTIF ελέγχει το OpenVPN προς όφελος όλων.


Το ExpressVPN μιλά στον Derek Zimmer: Πρόεδρος και Διευθύνων Σύμβουλος του Ταμείου Αύξησης Τεχνολογίας Ανοιχτού Κώδικα (OSTIF), σχετικά με την οργάνωση, τον έλεγχο του OpenVPN και το μέλλον των εργαλείων προστασίας του διαδικτύου.

Τα αποσπάσματα (σε κόκκινο) που δημοσιεύονται σε αυτό το ιστολόγιο είναι αποσπάσματα που ελήφθησαν από την πλήρη συνέντευξη με τον Derek που μπορείτε να διαβάσετε πλήρως εδώ.

ExpressVPN υποστήριξε με υπερηφάνεια τον έλεγχο του OSTIF.

Γιατί είναι σημαντικό να ελέγχετε έργα ανοικτού κώδικα όπως το OpenVPN

Τα προγράμματα που σχετίζονται με την προστασία της ιδιωτικής ζωής και την ασφάλεια βασίζονται όλο και περισσότερο σε λογισμικό ανοιχτού κώδικα λόγω ιδεολογικών αιτιών, ζητημάτων αδειοδότησης και εμπιστοσύνης.

Είναι η ανοικτή φύση του λογισμικού που επιτρέπει σε οποιονδήποτε να δει πώς λειτουργεί και πώς να το συνθέσει - και να διατηρεί τον έλεγχο του τι κάνει ο κώδικας.

Στην πραγματικότητα, ωστόσο, λίγοι άνθρωποι μπορούν να αναθεωρήσουν και να κατανοήσουν πλήρως τον κώδικα και ενώ κάποια κακή συμπεριφορά είναι προφανής, τα τρωτά σημεία και τα σφάλματα συχνά χρειάζονται χρόνια.

Οι πλήρεις αναθεωρήσεις κώδικα είναι ακριβές και δύσκολο να πραγματοποιηθούν και ενώ πολλοί άνθρωποι και οργανισμοί μπορούν να βασίζονται σε ένα έργο, είναι δύσκολο να συντονιστεί ένας πλήρης έλεγχος.

Το OSTIF αποφάσισε να αναλάβει το δύσκολο έργο, ανεξάρτητα από αυτό. Ο Ντέρεκ εξηγεί ότι χρειάστηκαν τρεις ερευνητές 50 ημέρες (ή περίπου 1000 ώρες) για να ολοκληρώσετε την αναθεώρηση. Η έκδοση που έλεγξαν ήταν το OpenVPN 2.4 επειδή περιλαμβάνει κάποιες σημαντικές αλλαγές κώδικα και νέα χαρακτηριστικά.

"Το OpenVPN είναι ένα μοναδικό κομμάτι λογισμικού, καθώς είναι ένας μονολιθικός κώδικας με πολλά χαρακτηριστικά που πρέπει να είναι συμβατά με παλαιότερες εκδόσεις".

Το OSTIF εξέτασε κατά κύριο λόγο τις εφαρμογές των Windows και του Linux, επειδή είναι οι πιο εξοικειωμένοι με τους χρήστες και τους προγραμματιστές.

"Επίσης, αποφασίσαμε να επικεντρωθούμε σε οποιαδήποτε κρυπτογραφία που δημιουργήθηκε από το ίδιο το OpenVPN και στην ασφάλεια της εφαρμογής. Αυτό σημαίνει αναζήτηση λογικών σφαλμάτων, σφαλμάτων μνήμης, ακατάλληλου χειρισμού buffer ή άλλων αθέμιτων τρωτών σημείων σφάλματος. "

Το OpenSSL, στο οποίο βασίζεται το OpenVPN (μαζί με το PolarSSL) "για την τροφοδοσία της κρυπτογράφησης", δεν συμπεριλήφθηκε στον έλεγχο και θα έχει τη δική του ξεχωριστή ανασκόπηση. Υπάρχουν ακμάζουσες επιχειρήσεις που βασίζονται σε OpenSSL ή Nginx, και ο Derek ελπίζει να κερδίσει χρήματα από αυτούς.

Δυστυχώς, όμως, άλλα μεγάλα προγράμματα λογισμικού ιδιωτικού απορρήτου, όπως το OTR, το Signal ή το Tor, δεν έχουν κατοχυρωμένους εμπορικούς χρήστες, οπότε η κοινότητα θα πρέπει να βρει ένα μέσο για να χρηματοδοτήσει τους ίδιους τους ελέγχους.

Εύρεση χρηματοδότησης για έναν πλήρη έλεγχο κώδικα

Προηγουμένως, το OSTIF είχε δοκιμάσει άλλα μέσα, συμπεριλαμβανομένου του Kickstarter, για να αντλήσει κεφάλαια. Τώρα, ο Derek στοχεύει στη συγκέντρωση δωρητών για κάθε έργο χωριστά, ελπίζοντας ότι θα κερδίσει περισσότερη εμπιστοσύνη από την τεχνολογική βιομηχανία και την κοινότητα στη διαδικασία. Ελπίζεται ότι αυτή η προσέγγιση θα δώσει τη δυνατότητα να αναλάβει μεγαλύτερα έργα.

Ο έλεγχος OpenVPN ήταν ο πρώτος "ευρύς" έλεγχος, όπως ανέφερε ο Derek, που ανέλαβε το OSTIF. Σε αντίθεση με τον προηγούμενο πολυαναμενόμενο έλεγχο του Veracrypt (ο διάδοχος του Truecrypt), το OpenVPN διαθέτει μια ευημερούσα κοινότητα μεγάλων παρόχων VPN που είναι διατεθειμένοι να συνεισφέρουν οικονομικά.

"Με εκπλήσσει η θετική ανταπόκριση της κοινότητας και η έκρηξη της υποστήριξης για το έργο. Ήταν πραγματικά αξιοσημείωτο! Είμαι πολύ ευχαριστημένος με την υποστήριξη της κοινότητας για το έργο, αλλά ήταν επίσης έκπληκτος από τον αριθμό των μεγαλύτερων οργανισμών που δεν απάντησαν στα ερωτήματά μας ή δεν είχαν κανένα σημείο επαφής για τη διοίκησή τους ».

Η εξελισσόμενη βιομηχανία προστασίας της ιδιωτικής ζωής και της ασφάλειας

Ενώ ο Derek φαίνεται σε μεγάλο βαθμό αισιόδοξος για το μέλλον της σε απευθείας σύνδεση ασφάλειας και ιδιωτικότητας, ανησυχεί για τα "μαύρα κουτιά κώδικα" και τα εκατομμύρια παλαιότερων, αλλά ενεργών συστημάτων χωρίς πρόσφατες ενημερώσεις ασφαλείας - ειδικά στο οικοσύστημα Android.

Αντίθετα, η Apple βάζει τεράστιους πόρους στην ασφάλεια. Ωστόσο, λέει, η Apple δεν ανοίγει την τεχνολογία τους. Αντ 'αυτού, βασίζονται στην ασφάλεια των συσκευών τους για να κρατήσουν τους ανεπιθύμητους ερευνητές κακόβουλου λογισμικού στον κόλπο - κάτι που είναι μια αναξιόπιστη ρύθμιση.

Φαίνεται ότι υπάρχουν πολλές δυσκολίες να αντιμετωπιστούν. Τελικά, όμως, ο Derek και η ομάδα του κάνουν μια εξαιρετική υπηρεσία στο διαδίκτυο και την ιδιωτικότητα των χρηστών του. Αλλά ο αγώνας απέχει πολύ από το πέρασμα:

"Έχουμε επανειλημμένα δει μέσα από διάφορες διαρροές κυβερνητικών πρακτορείων ότι αν η κρυπτογραφία γύρω από την πληροφορία είναι καλή, δεν μπορούν να την διασπάσουν en masse. Το γεγονός αυτό απενεργοποιεί τουλάχιστον τη μορφή μαζικής παρακολούθησης "ακούγοντας σε όλους", η οποία έχει γίνει διάχυτη τα τελευταία χρόνια. Καθώς αυτά τα εργαλεία προστασίας της ιδιωτικής ζωής συνεχίζουν να βελτιώνονται και η κρυπτογράφηση γίνεται πιο δύσκολη και ευκολότερη στη χρήση, θα δούμε ουσιαστικά αυξημένες προσπάθειες για επίθεση και συμβιβασμό συσκευών. "

Γνωρίστε το OSTIF, τους υπερασπιστές της ιδιωτικής ζωής που κάνουν το Διαδίκτυο ασφαλέστερο ελέγχοντας τον κώδικα του
admin Author
Sorry! The Author has not filled his profile.