Conozca a OSTIF, los defensores de la privacidad que hacen que Internet sea más seguro auditando su código

[ware_item id=33][/ware_item]

OSTIF está auditando OpenVPN para el beneficio de todos.


ExpressVPN habla con Derek Zimmer: Presidente y CEO del Open Source Technology Improvement Fund (OSTIF), sobre su organización, la auditoría de OpenVPN y el futuro de las herramientas de privacidad en Internet..

Las citas (en rojo) publicadas en este blog son fragmentos tomados de la entrevista completa con Derek que puede leer en su totalidad aquí.

ExpressVPN orgullosamente apoyó la auditoría de OSTIF.

Por qué es importante auditar proyectos de código abierto como OpenVPN

Los proyectos relacionados con la privacidad y la seguridad dependen cada vez más del software de código abierto debido a razones ideológicas, problemas de licencia y confianza.

Es la naturaleza abierta del software lo que permite a cualquiera ver cómo funciona y cómo compilarlo, y mantener el control de lo que hace el código.

En realidad, sin embargo, pocas personas pueden revisar y comprender el código por completo, y aunque es obvio un comportamiento nefasto, las vulnerabilidades y los errores a menudo tardan años en detectarse.

Las revisiones de código completo son caras y difíciles de llevar a cabo, y aunque muchas personas y organizaciones pueden confiar en un proyecto, es difícil coordinar una auditoría completa.

OSTIF decidió asumir la desalentadora tarea, independientemente. Derek explica que se necesitaron tres investigadores. 50 días (o alrededor de 1000 horas) para completar la revisión. La versión que auditaron fue OpenVPN 2.4 porque incluye algunos cambios significativos en el código y nuevas características.

"OpenVPN es una pieza única de software, ya que es un código monolítico con muchas características que deben ser compatibles con versiones anteriores".

OSTIF examinó principalmente las implementaciones de Windows y Linux porque son las más familiarizadas con los usuarios y desarrolladores.

"También decidimos centrarnos en cualquier criptografía creada por OpenVPN y la seguridad de la aplicación. Esto significa buscar errores lógicos, errores de asignación de memoria, manejo inadecuado del búfer u otras vulnerabilidades de estado de error incorrecto ".

OpenSSL, en el que OpenVPN (junto con PolarSSL) confía "para potenciar su criptografía" no se incluyó en la auditoría y tendrá su propia revisión por separado. Hay negocios prósperos que confían en OpenSSL o Nginx, y Derek espera recaudar fondos de ellos..

Sin embargo, desafortunadamente, otros proyectos de software de privacidad a gran escala, como OTR, Signal o Tor no tienen usuarios comerciales creados, por lo que la comunidad tendrá que encontrar un medio para financiar las auditorías..

Encontrar financiación para una auditoría de código completo

Anteriormente, OSTIF había probado otros medios, incluido un Kickstarter para recaudar fondos. Ahora, Derek tiene como objetivo reunir donantes para cada proyecto individualmente, con la esperanza de ganar más confianza de la industria tecnológica y la comunidad en el proceso. Se espera que este enfoque otorgue la capacidad de asumir proyectos más grandes.

La auditoría OpenVPN fue la primera auditoría "amplia", como Derek dice, que OSTIF emprendió. A diferencia de su anterior auditoría muy esperada de Veracrypt (el sucesor de Truecrypt), OpenVPN tiene una comunidad próspera de grandes proveedores de VPN que están dispuestos a contribuir financieramente.

“Me sorprendió la respuesta positiva de la comunidad y la gran cantidad de apoyo para el proyecto. Realmente fue notable! Estoy muy contento con el apoyo de la comunidad para el proyecto, pero también me sorprendió la cantidad de organizaciones más grandes que no respondieron a nuestras preguntas o no tenían ningún punto de contacto para su gestión ".

La evolución de la industria de la privacidad y la seguridad.

Si bien Derek parece en gran medida optimista sobre el futuro de la seguridad y la privacidad en línea, está preocupado por las "cajas negras de código" y los millones de sistemas más antiguos, pero activos, sin actualizaciones de seguridad recientes, particularmente en el ecosistema de Android.

Por el contrario, Apple pone enormes recursos en seguridad. Sin embargo, dice, Apple no abre el código de su tecnología. En cambio, confían en la seguridad de su dispositivo para mantener a raya a los investigadores de malware no deseados, lo cual es una configuración poco confiable.

Parece que hay muchas tribulaciones que enfrentar. Sin embargo, en última instancia, Derek y su equipo prestan un excelente servicio a Internet y a la privacidad de sus usuarios. Pero la lucha está lejos de terminar:

"Hemos visto repetidamente a través de varias filtraciones de agencias gubernamentales que si la criptografía en torno a la información es buena, no pueden romperla en masa. Este hecho al menos deshabilita la forma de "escuchar a todos" de la vigilancia masiva que se ha generalizado en los últimos años. A medida que estas herramientas de privacidad continúen mejorando y las criptomonedas se vuelvan más difíciles de romper y más fáciles de usar, veremos un esfuerzo sustancialmente mayor para atacar y comprometer los dispositivos ".

Conozca a OSTIF, los defensores de la privacidad que hacen que Internet sea más seguro auditando su código
admin Author
Sorry! The Author has not filled his profile.