تعرف على OSTIF ، المدافعين عن الخصوصية الذين يجعلون الإنترنت أكثر أمانًا عن طريق مراجعة الكود

[ware_item id=33][/ware_item]

يقوم OSTIF بتدقيق OpenVPN لصالح الجميع.


يتحدث ExpressVPN إلى Derek Zimmer: الرئيس والمدير التنفيذي لصندوق تحسين تقنية المصدر المفتوح (OSTIF) ، حول مؤسسته ، ومراجعة OpenVPN ، ومستقبل أدوات خصوصية الإنترنت.

تعتبر علامات الاقتباس (باللون الأحمر) المنشورة في هذه المدونة مقتطفات مأخوذة من المقابلة الكاملة مع Derek والتي يمكنك قراءتها بالكامل هنا.

ExpressVPN دعم بفخر مراجعة OSTIF.

لماذا من المهم مراجعة مشروعات مفتوحة المصدر مثل OpenVPN

تعتمد المشروعات المتعلقة بالخصوصية والأمان على البرامج مفتوحة المصدر لأسباب إيديولوجية وقضايا الترخيص والثقة.

إنها الطبيعة المفتوحة للبرنامج التي تسمح لأي شخص برؤية كيفية عمله وكيفية تجميعها والتحكم في أداء الشفرة..

في الواقع ، مع ذلك ، قلة من الناس يمكنهم مراجعة الكود وفهمه بالكامل ، وبينما يكون بعض السلوك الشنيع واضحًا ، إلا أن نقاط الضعف والبق غالبًا ما تستغرق سنوات.

تعتبر مراجعة الكود الكامل باهظة الثمن ويصعب تنفيذها ، وفي حين أن العديد من الأفراد والمؤسسات قد يعتمدون على مشروع ما ، إلا أنه من الصعب تنسيق عملية تدقيق كاملة.

قرر OSTIF تولي المهمة الشاقة ، بغض النظر. يوضح ديريك أن الأمر استغرق ثلاثة باحثين 50 يومًا (أو حوالي 1000 ساعة) لإكمال المراجعة. كان الإصدار الذي قاموا بتدقيقه هو OpenVPN 2.4 لأنه يتضمن بعض التغييرات المهمة في التعليمات البرمجية والميزات الجديدة.

"يعد OpenVPN جزءًا فريدًا من البرامج ، حيث إنه رمز متجانس يحتوي على الكثير من الميزات التي يجب أن تكون متوافقة مع الإصدارات القديمة."

نظر OSTIF بشكل أساسي إلى تطبيقات Windows و Linux لأنها الأكثر دراية بالمستخدمين والمطورين.

"قررنا أيضًا التركيز على أي تشفير تم إنشاؤه بواسطة OpenVPN نفسه ، وأمن التطبيق. وهذا يعني البحث عن الأخطاء المنطقية ، أو أخطاء تخصيص الذاكرة ، أو معالجة المخزن المؤقت غير السليم ، أو نقاط الضعف الأخرى في حالة الخطأ غير المناسبة. "

لم يتم تضمين OpenSSL ، الذي يعتمد عليه OpenVPN (مع PolarSSL) "لتشغيل تشفيره" ، في المراجعة وسيكون له مراجعات منفصلة خاصة به. هناك شركات مزدهرة تعتمد على OpenSSL أو Nginx ، وتأمل ديريك في جمع التبرعات منها.

لسوء الحظ ، على الرغم من أن مشاريع برامج الخصوصية واسعة النطاق الأخرى ، مثل OTR أو Signal أو Tor ، ليس لها مستخدمون تجاريون مكتسبون ، لذلك سيتعين على المجتمع إيجاد وسيلة لتمويل أي عمليات تدقيق خاصة بهم.

العثور على تمويل لتدقيق الكود الكامل

في السابق ، جرب OSTIF وسائل أخرى ، بما في ذلك Kickstarter لجمع الأموال. الآن ، يهدف ديريك إلى جمع الجهات المانحة لكل مشروع على حدة ، على أمل كسب المزيد من الثقة من صناعة التكنولوجيا والمجتمع في هذه العملية. من المأمول أن يمنح هذا النهج القدرة على تولي مشاريع أكبر.

كانت عملية تدقيق OpenVPN هي أول عملية تدقيق "واسعة" ، كما يقول ديريك ، والتي قام بها OSTIF. على عكس المراجعة السابقة المتوقعة للغاية من Veracrypt (خليفة Truecrypt) ، فإن OpenVPN لديها مجتمع مزدهر من كبار مزودي VPN الذين هم على استعداد للمساهمة ماليا.

"لقد فوجئت برد فعل المجتمع الإيجابي وتدفق الدعم للمشروع. كان حقا رائعا! أنا سعيد جدًا بدعم المجتمع للمشروع ، لكنني فوجئت أيضًا بعدد أكبر من المنظمات التي لم تستجب لاستفساراتنا أو لم يكن لديها أي اتصال على الإطلاق لإدارتها ".

صناعة الخصوصية والأمن المتطورة

بينما يبدو ديريك متفائلاً إلى حد كبير بشأن مستقبل الأمن والخصوصية على الإنترنت ، إلا أنه قلق بشأن "الصناديق السوداء للرموز" وملايين الأنظمة الأقدم ، ولكن النشطة ، دون التحديثات الأمنية الأخيرة - لا سيما في نظام Android البيئي.

على العكس ، تضع Apple موارد هائلة في أمان. ومع ذلك ، كما يقول ، لا تفتح Apple تقنيتها مفتوحة المصدر. بدلاً من ذلك ، يعتمدون على أمان أجهزتهم للحفاظ على الباحثين في البرامج الضارة غير المرغوب فيهم - وهو إعداد غير جدير بالثقة.

يبدو أن هناك العديد من المحن لوجه. في النهاية ، رغم ذلك ، يقدم Derek وفريقه خدمة ممتازة للإنترنت وخصوصية مستخدميها. لكن المعركة لم تنته بعد:

"لقد رأينا مرارًا وتكرارًا من خلال عدة وكالات حكومية تتسرب إلى أنه إذا كان التشفير حول المعلومات جيدًا ، فلا يمكن كسرها بشكل جماعي. هذه الحقيقة على الأقل تعطل شكل "الاستماع على الجميع" للمراقبة الجماعية التي أصبحت منتشرة في السنوات القليلة الماضية. نظرًا لاستمرار تحسين أدوات الخصوصية هذه وتصبح عملية تشفيرها أكثر صعوبة وأسهل استخدامها ، فسنشهد زيادة كبيرة في الجهود لمهاجمة الأجهزة وتسويتها. "

تعرف على OSTIF ، المدافعين عن الخصوصية الذين يجعلون الإنترنت أكثر أمانًا عن طريق مراجعة الكود
admin Author
Sorry! The Author has not filled his profile.