与OSTIF会面,隐私权倡导者通过审核其代码使互联网更安全

[ware_item id=33][/ware_item]

OSTIF正在审核OpenVPN的全部收益。


ExpressVPN与开源技术改进基金会(OSTIF)总裁兼首席执行官Derek Zimmer进行了交谈,讨论了他的组织,OpenVPN的审计以及互联网隐私工具的未来.

此博客中的报价(红色)是摘录自Derek的全部访谈的摘录,您可以在此处全文阅读.

ExpressVPN 自豪地支持OSTIF的审核.

为什么审核像OpenVPN这样的开源项目很重要

由于意识形态原因,许可问题和信任,与隐私相关的项目和与安全性相关的项目越来越依赖于开源软件.

这是软件的开放性,它使任何人都可以查看它的工作方式和编译方式,并控制代码的作用.

但是,实际上,很少有人能够完全审查和理解代码,并且虽然有些恶意行为是显而易见的,但漏洞和错误通常需要数年才能发现.

完整的代码审核非常昂贵且难以执行,尽管许多人和组织可能会依赖某个项目,但很难协调全面的审核.

无论如何,OSTIF决定承担艰巨的任务。德里克(Derek)解释说,这花了三名研究人员 50天(或大约1000小时)完成审核. 他们审核的版本是OpenVPN 2.4,因为它包括一些重大的代码更改和新功能.

“ OpenVPN是一款独特的软件,因为它是具有许多功能的单片代码,必须与旧版本兼容。”

OSTIF主要研究Windows和Linux实施,因为它们是用户和开发人员最熟悉的.

“我们还决定专注于OpenVPN本身创建的任何加密技术以及应用程序的安全性。这意味着要查找逻辑错误,内存分配错误,不正确的缓冲区处理或其他不正确的错误状态漏洞。”

OpenVPN(与PolarSSL一起)依靠其“增强其加密功能”所依赖的OpenSSL未包含在审核中,它将进行自己的单独审核。有蓬勃发展的企业依赖OpenSSL或Nginx,Derek希望从中筹集资金.

但是,不幸的是,其他大型隐私软件项目(例如OTR,Signal或Tor)没有既得的商业用户,因此社区将不得不寻找一种方法来资助自己的审计工作.

寻找资金进行完整的代码审核

此前,OSTIF曾尝试其他方式,包括Kickstarter筹集资金。现在,Derek的目标是分别为每个项目收集捐助者,希望在此过程中获得技术行业和社区的更多信任。希望这种方法能够使承接更大的项目.

正如Derek所说,OpenVPN审核是OSTIF进行的首次“广泛”审核。与之前对Veracrypt(Truecrypt的继任者)的高度期望的审计不同,OpenVPN拥有一个由大型VPN提供商组成的繁荣社区,他们愿意为财务做出贡献。.

“我对社区的积极响应以及对该项目的大力支持感到惊讶。真的很棒!我对社区对该项目的支持感到非常满意,但也感到惊讶的是,有许多大型组织没有响应我们的询问,也没有任何管理联系的渠道。”

不断发展的隐私和安全行业

尽管Derek似乎对在线安全和隐私的未来非常乐观,但他担心“代码黑匣子”以及数百万个没有最新安全更新的较旧但活跃的系统,尤其是在Android生态系统中.

相反,苹果公司将大量资源投入了安全性。但是,他说,苹果公司并未开源其技术。相反,他们依靠设备安全性来阻止有害的恶意软件研究人员,这是不可靠的设置.

似乎要面对许多麻烦。但最终,Derek和他的团队为互联网及其用户的隐私提供了出色的服务。但是斗争还远没有结束:

“我们多次通过各种政府机构的泄密事件发现,如果信息周围的加密技术很好,他们就无法将其彻底破坏。这一事实至少使过去几年中普遍使用的“监听所有人”形式的大规模监视无效。随着这些隐私工具的不断完善,以及加密变得越来越难以破解和易于使用,我们将看到加大力度来攻击和破坏设备。”

与OSTIF会面,隐私权倡导者通过审核其代码使互联网更安全
admin Author
Sorry! The Author has not filled his profile.