コードを監査することでインターネットをより安全にするプライバシー支持者であるOSTIFに会う

[ware_item id=33][/ware_item]

OSTIFは、すべての利益のためにOpenVPNを監査しています。


ExpressVPNがDerek Zimmerと話します:Open Source Technology Improvement Fund(OSTIF)の社長兼CEO、彼の組織、OpenVPNの監査、およびインターネットプライバシーツールの将来について.

このブログで公開されている引用(赤)は、Derekとの完全なインタビューから抜粋した抜粋であり、ここで完全に読むことができます。.

ExpressVPN OSTIFの監査を誇らしげにサポートしました.

OpenVPNなどのオープンソースプロジェクトを監査することが重要な理由

イデオロギー上の理由、ライセンスの問題、信頼のために、プライバシーを意識したセキュリティ関連のプロジェクトは、ますますオープンソースソフトウェアに依存しています。.

それはソフトウェアのオープンな性質であり、だれでもそれがどのように機能し、どのようにコンパイルするかを見ることができ、コードが何をするのかを制御できます。.

ただし、実際には、コードを完全にレビューして理解できる人はほとんどいません。また、悪意のある動作は明らかですが、脆弱性やバグを見つけるのに何年もかかることがよくあります。.

完全なコードレビューは費用がかかり、実行が困難です。多くの人々や組織はプロジェクトに依存しているかもしれませんが、完全な監査を調整することは困難です。.

OSTIFは、とにかく困難な仕事を引き受けることにしました。デレクは3人の研究者が必要だと説明します レビューを完了するには50日(または約1000時間). 彼らが監査したバージョンはOpenVPN 2.4でした.

「OpenVPNは、古いバージョンとの互換性が必要な多くの機能を備えたモノリシックコードであるという点で、ユニークなソフトウェアです。」

OSTIFはユーザーと開発者に最も精通しているため、主にWindowsとLinuxの実装に注目しました.

「また、OpenVPN自体が作成した暗号化とアプリケーションのセキュリティに焦点を合わせることにしました。これは、論理エラー、メモリ割り当てエラー、不適切なバッファ処理、またはその他の不適切なエラー状態の脆弱性を探すことを意味します。

OpenSSL(PolarSSLとともに)が「暗号化の強化」に依存しているOpenSSLは監査に含まれず、独自の個別のレビューがあります。 OpenSSLまたはNginxに依存している繁栄している企業があり、Derekはそれらからの資金調達を望んでいます.

ただし、残念ながら、OTR、Signal、Torなどの他の大規模なプライバシーソフトウェアプロジェクトには既得の商用ユーザーがいないため、コミュニティは監査自体に資金を提供する手段を見つける必要があります。.

完全なコード監査の資金調達を見つける

以前、OSTIFは資金を調達するためのキックスターターなど、他の手段を試していました。現在、デレクは各プロジェクトのドナーを個々に集め、その過程で技術業界とコミュニティからより多くの信頼を得ることを目指しています。このアプローチにより、より大きなプロジェクトを引き受ける能力が付与されることが期待されています。.

OpenVPN監査は、OSTが行った最初の「ワイド」監査であり、Derekが言ったとおりです。 Veracrypt(Truecryptの後継)に対する以前から非常に期待されていた監査とは異なり、OpenVPNには、金銭的に貢献したいと考えている大規模なVPNプロバイダーのコミュニティがあります.

「コミュニティからの好意的な反応と、プロジェクトへの支援があふれていることに驚きました。本当にすごかった!このプロジェクトに対するコミュニティのサポートには非常に満足していますが、問い合わせに応じなかったり、経営陣との連絡がまったくなかった大規模な組織の数にも驚きました。」

進化するプライバシーとセキュリティ業界

Derekは、オンラインセキュリティとプライバシーの将来については大部分が楽観的であるように見えますが、「Androidエコシステムでは特に」「ブラックボックスのコード」と、最近のセキュリティ更新がない何百万もの古いまだアクティブなシステムを心配しています.

逆に、Appleはセキュリティに膨大なリソースを投入しています。しかし、Appleは彼らの技術をオープンソース化していないと言います。代わりに、彼らはデバイスのセキュリティに依存して、望ましくないマルウェア研究者を寄せ付けません。これは信頼できない設定です.

直面する多くの苦難があるようです。しかし、最終的には、Derekと彼のチームは、インターネットとそのユーザーのプライバシーに対して優れたサービスを提供しています。しかし、戦いは終わりにはほど遠い:

「さまざまな政府機関のリークを繰り返し見てきましたが、情報を取り巻く暗号が優れていれば、それらを大量に解読することはできません。この事実は、少なくともここ数年で広まっている大量監視の「誰でも聞く」形式を少なくとも無効にします。これらのプライバシーツールが改善され続け、暗号化が解読されにくくなり、使いやすくなるにつれて、デバイスを攻撃および侵害するための努力が大幅に増加することがわかります。」

コードを監査することでインターネットをより安全にするプライバシー支持者であるOSTIFに会う
admin Author
Sorry! The Author has not filled his profile.