Ein Interview mit OSTIF, dem Team hinter dem OpenVPN-Audit

[ware_item id=33][/ware_item]

OSTIF prüft OpenVPN zum Nutzen aller.


Contents

Sie haben gerade Ihre Sicherheitsüberprüfung von OpenVPN abgeschlossen. Zwei Personen haben fast zwei Monate an diesem Projekt gearbeitet. Wie funktioniert eine solche Prüfung??

Tatsächlich arbeiteten drei Forscher insgesamt 50 Tage (ca. 1000 Stunden) an der Sicherheitsüberprüfung.

Wenn wir planen, eine Software zu prüfen, müssen wir den Zeitpunkt der Prüfung genau festlegen, wer die Arbeit erledigt und welche Bereiche der Software wir abdecken.

Für OpenVPN haben wir bis zur Veröffentlichung von OpenVPN 2.4 gewartet, das einige wichtige Codeänderungen enthielt. Wir konnten dann die neuen Funktionen sowie viele Änderungen unter der Haube bewerten.

Aktualisierungen, die wesentliche Codeänderungen enthalten, sind eine gute Zeit für die Evaluierung von Software, da Codierungsfehler das Testen durchlaufen können oder Regressionen bei Kantenmerkmalen durch die Risse rutschen können.

OpenVPN ist eine einzigartige Software, da es sich um einen monolithischen Code mit vielen Funktionen handelt, die mit älteren Versionen kompatibel sein müssen. Durch Sicherstellen der Kompatibilität mit älteren Versionen wird der Prozess der Sicherheitsüberprüfung verlangsamt. Wir müssen in einem komplexen Funktionsnetzwerk navigieren und nicht in einem modularen Design, in dem die Anwendung in Teilen ausgewertet werden kann. OpenVPN basiert auch auf zwei verschiedenen Bibliotheken (OpenSSL und PolarSSL) für die Kryptografie, was bedeutet, dass es zwei völlig unterschiedliche Kryptoumgebungen gibt, die die Sicherheit gewährleisten.

Darüber hinaus gibt es OpenVPN 3.0, eine einzigartige Version, die nicht vollständig Open Source ist. OpenVPN 3.0 wurde aufgrund von Lizenzproblemen mit dem Apple App Store erstellt, die verhindern, dass freie Software im Store verfügbar ist. OpenVPN 3.0-Code wird für OpenVPN Connect für Android und iOS verwendet. Wenn wir dieses gesamte Ökosystem evaluieren würden, würden viele Forscher viele Monate brauchen, um all diese Variationen von OpenVPN durchzukämmen, und dann müssten sie immer noch die verschiedenen Netzwerk- und Hardwarekonfigurationen berücksichtigen, mit denen diese verschiedenen Apps konfrontiert sind. Die Komplexität und die Kosten wären enorm.

Wir haben Experten konsultiert und mit dem OpenVPN-Team und QuarksLab zusammengearbeitet, um herauszufinden, worauf wir uns konzentrieren sollten. Es wurde entschieden, dass OpenVPN 2.4 für Windows und Linux die meisten Benutzer abdeckt und die meisten Vorteile bringt. Die meisten kommerziellen VPN-Anbieter verwenden aufgrund der Lizenzstruktur OpenVPN 2.4-Code für ihre benutzerdefinierten VPN-Clients.

Wir haben uns auch entschlossen, uns auf die von OpenVPN selbst erstellte Kryptografie und die Sicherheit der Anwendung zu konzentrieren. Dies bedeutet, dass nach Logikfehlern, Speicherzuordnungsfehlern, unsachgemäßer Pufferbehandlung oder anderen Sicherheitslücken in Bezug auf den Fehlerstatus gesucht wird.

Eine separate Prüfung von OpenSSL würde es uns ermöglichen, die OpenVPN-Kryptografie selbst genau zu bewerten, um sicherzustellen, dass sowohl die Kryptografie als auch die Anwendung einwandfrei sind. Es ist wichtig, eine sichere und schwer zu nutzende Anwendung zu erstellen, die die Benutzer genießen können.

Was den eigentlichen Prüfungsprozess angeht, so kann QuarksLab hervorragend die Prozesse und Tools dokumentieren, die bei der Evaluierung von Software verwendet werden. Unsere Arbeit konzentriert sich auf die Planung des Prüfungsumfangs und die Festlegung erreichbarer Ziele. Anschließend setzen wir uns mit den Open Source-, Sicherheits- und Datenschutz-Communities zusammen, um das Geld dafür zu sammeln.

Gibt es überraschende / bemerkenswerte Ergebnisse Ihrer Prüfung, die Sie uns jetzt mitteilen können??

Wir befinden uns im Blackout-Stadium des Audit-Prozesses für OpenVPN, daher kann ich keine Einzelheiten besprechen, die Personen auf die Ergebnisse aufmerksam machen könnten, aber sie werden sehr bald öffentlich verfügbar sein. Wir warten auf OpenVPN 2.4.2.

Was ist der Grund für eine solche Prüfung? Werden Sie auf potenzielle Sicherheitslücken aufmerksam gemacht oder möchten Sie sich einfach Software genauer ansehen, auf die Sie sich regelmäßig verlassen?

Unsere Strategie als Organisation besteht darin, verschiedene Bereiche der Sicherheit und des Datenschutzes abzudecken und weit verbreitete Anwendungen auszuwählen.

VeraCrypt war ein dringend benötigter Nachfolger von TrueCrypt, auf den sich die Community sehr verlassen konnte, aber die Leute, die das Projekt leiteten, waren relativ unbekannt und übernahmen ein großes Projekt mit komplexem Code. Es war logisch, es als unser erstes Audit zu betrachten, da wir die Änderungen am Code in TrueCrypt 7.1a auswerten und mit der aktuellen Version von VeraCrypt vergleichen konnten. Dieser enge Rahmen ermöglichte es uns, die Kosten drastisch zu senken und den Mitarbeitern zu zeigen, dass das Unternehmen effektiv Ergebnisse erzielt.

OpenVPN ist unser erstes "weites" Audit einer Anwendung. Es erforderte ein viel größeres Budget, hatte aber auch eine große Community von VPN-Anbietern (die selbst Datenschutzaktivisten sind). Die VPN-Anbieter sind sowohl an der Privatsphäre ihrer Benutzer als auch direkt an der Sicherheit von OpenVPN interessiert, was es uns ermöglichte, sowohl von kommerziellen OpenVPN-Interessen als auch von privaten Benutzern gleichzeitig zu profitieren.

OpenSSL ist wieder größer, wird jedoch von der Industrie unterstützt, da OpenSSL-Code (und andere davon abgeleitete Bibliotheken) rund 70% der wichtigsten 1.000.000 Websites unterstützt. Dies gibt uns eine Menge geschäftlicher Interessen, die wir für die Evaluierung von OpenSSL 1.1.1, der ersten OpenSSL-Version mit neuem TLS 1.3-Code, um finanzielle Unterstützung bitten können.

Im weiteren Verlauf der Liste der Anträge planen wir die Prüfung. Es wird schwieriger, Spenden zu sammeln. Entweder, weil die sie umgebenden Communities kleiner sind oder weil kein begründetes Geschäftsinteresse am Erfolg der Anwendung besteht.

Wir hoffen, dass wir nach wiederholten Erfolgen größere Unternehmenssponsoren gewinnen können, die es uns ermöglichen, Gelder effizienter auf diese Projekte zu lenken, ohne auf kleine öffentliche Spenden angewiesen zu sein. Dies würde uns auch sehr dabei helfen, unsere anderen Programme zu etablieren. Dazu gehört die Arbeit mit Projekten, um die Verwendung ihrer Anwendungen zu vereinfachen, die Testmethoden und -tools zu verbessern und die Erstellung übersichtlicher Handbücher für Datenschutz- und Sicherheitssoftware, die wir unterstützen.

Kurz gesagt, im Moment ist es Teil einer umfassenderen Strategie, eine Anwendung aus jedem wichtigen Bereich der Privatsphäre und Sicherheit zu unterstützen und von dort aus zu erweitern. Unser Kriterium ist die wahrgenommene Stärke der Software, kombiniert mit einer weit verbreiteten Nutzung.

Für Ihr OpenVPN-Projekt haben Sie vor allem Unterstützung aus der VPN-Branche erhalten. Haben Sie darüber hinaus Unterstützung erwartet? Wie zufrieden sind Sie mit dieser Unterstützung??

Wir haben auch eine große Menge Unterstützung von der Community erhalten, sowohl durch Mundpropaganda als auch durch direkte Spenden.

Unser Ziel wurde überraschend schnell übertroffen, da wir ursprünglich davon ausgegangen waren, dass das für die Mittelbeschaffung vorgesehene 1-Monats-Fenster nicht ausreichen würde. Aber wir haben unser Ziel erreicht und innerhalb von 20 Tagen deutlich mehr als geplant erhöht. Dieses Geld wurde für das Bug-Bounty-Programm bereitgestellt, das im Sommer / Herbst starten soll.

Ich war überrascht von der positiven Resonanz der Community und der Unterstützung für das Projekt. Es war wirklich bemerkenswert! Ich bin sehr zufrieden mit der Unterstützung der Community für das Projekt, war aber auch überrascht über die Anzahl der größeren Organisationen, die auf unsere Anfragen nicht geantwortet haben oder überhaupt keinen Ansprechpartner für deren Management hatten.

Insgesamt überwogen jedoch die Guten bei weitem die Schlechten, und wir freuen uns darauf, mit all unseren Unterstützern an den OpenVPN-Initiativen und darüber hinaus zu arbeiten!

Sie sind von einem Fundraising-Modell mit zusammengefassten Ressourcen zu einem direkten Fundraising-Modell übergegangen, bei dem Sie für jedes Projekt separat Spenden sammeln. Dies schien gut für das OpenVPN-Projekt zu funktionieren, bei dem die VPN-Branche gerne spendet. Erwarten Sie, dass zukünftige Projekte auf ähnliche Weise finanziert werden, und wie wird dies für Softwareprojekte funktionieren, die nicht von einer kommerziellen Branche wie OTR umgeben sind??

Die Änderung des Finanzierungsmodells war auf die Rückmeldungen der Community zum Aufkleberschock zurückzuführen. Während unserer ersten Spendenrunde planten wir ein Jahr voller Aktivitäten und versuchten dann, die Anstrengungen durch KickStarter zu finanzieren. Dies führte zu finanziellen Hürden wie dem Anbieten von Belohnungen für Spenden, KickStarter-Gebühren und Zahlungsdiensten, bei denen das Geld aus Spenden gestrichen wurde. Auch die 8 geplanten Projekte zusammen haben das Ziel in Millionenhöhe gebracht. Als Neuling in der Branche ohne Erfolgsbilanz, mit der enormen Menge an Geld und nach einigen prominenten Ausfällen von KickStarter, war es von Anfang an zum Scheitern verurteilt.

Unser Strategiewechsel hat den Overhead und die Zahlen auf die Erde gebracht und erreichbare Ziele gesetzt, aber es erfordert auch wesentlich mehr Arbeit für jede Spendenaktion. Wir hoffen, dass wir nach dem Aufbau eines Rufs der Verantwortung und Effektivität größere Spender gewinnen können, die es uns ermöglichen, uns mehr darauf zu konzentrieren, Dinge zu erledigen, und weniger direkt um Spenden zu bitten. Größere Spenden haben außerdem den zusätzlichen Vorteil, dass wir weniger interessante Projekte wie OTR, Nginx, Tunnelblick und mehr finanzieren können.

Wie sehen Sie die Entwicklung von Technologien zur Verbesserung des Datenschutzes und der Sicherheit? Besonders in Bezug auf Mobiltelefone und proprietäre Systeme?

Wir haben wiederholt durch verschiedene Lecks von Regierungsbehörden gesehen, dass die Kryptografie der Informationen, wenn sie gut ist, sie nicht massenhaft auflösen kann.

Diese Tatsache verhindert zumindest die in den letzten Jahren allgegenwärtige Form der Massenüberwachung, bei der jeder mitgehört wird. Da sich diese Datenschutz-Tools weiter verbessern und die Verwendung von Krypto immer schwieriger wird, werden wir erhebliche Anstrengungen unternehmen, um Geräte anzugreifen und zu kompromittieren.

Es gibt Beweise dafür durch den massiven Diebstahl von SIM-Kartenschlüsseln mit Gemalto, riesige Listen von gestohlenen RSA-Schlüsseln in NSA-Lecks, in Cisco- und Juniper-Systeme eingeführte Hintertüren und so weiter.

Die Sicherheitsgemeinschaft fordert seit langem einen „vollständigen Stapel“ von Open Source-Code, der die Geräte umgibt, auf denen sich unsere vertraulichsten Informationen befinden. Die größte Hürde im Moment ist die Finanzierung und Organisation der Unterstützung, um dies tatsächlich zu tun.

Einige Unternehmen scheinen auf der proprietären Seite großartige Arbeit zu leisten, aber wir haben wiederholt festgestellt, dass wir einer Black Box mit Code nicht vertrauen können. Der Heap-Überlauf in diesem Monat wird unter iOS angezeigt: https://googleprojectzero.blogspot.com/2017/04/exception-oriented-exploitation-on-ios.html

Android hat eine Menge Probleme mit dem Ökosystem, die sich aus zurückbleibenden Updates ergeben und Millionen anfälliger Geräte hervorbringen. Oder Unternehmen, die Updates für ihre Telefone nach Verkaufsende nachlässig einstellen. Dann gibt es noch tiefere Probleme wie die anfällige Broadcom-Radio-Firmware, die nie behoben werden, wie Project Zero kürzlich demonstriert hat.

Ein wirklich Open-Source-Telefon ist eine große Frage, aber wir können sicherlich versuchen, die Open-Source-Community in die richtige Richtung zu lenken, indem wir Teile des Puzzles unabhängig voneinander entwickeln. Ich hoffe wirklich, dass wir dorthin gelangen können, da die aktuelle Situation ein Chaos ist. Ich bin schockiert, dass es noch kein Smartphone-basiertes Mirai gibt, das weltweit mit Datenfluten Zelltürme ausschlägt.

Apple hat mit seinen proprietären Systemen viele positive Neuigkeiten in Bezug auf Sicherheit und Datenschutz erzielt. Was glauben Sie, wird Open-Source-Projekten dazu beitragen, nutzbare Technologie unter Wahrung der Benutzerrechte der Masse zugänglich zu machen??

Apple hat enorme Ressourcen in den Aufbau eines auf Sicherheit ausgerichteten Telefon-Ökosystems gesteckt. Das Problem ist, dass Apple diese Technologie nicht als Open Source-Version anbietet. Wir haben es also mit demselben Problem zu tun, das auch auf kommerzielle Software wie Windows zutrifft.

Wir haben eine Blackbox mit Millionen von Codezeilen unbekannter Qualität, die alle auf bekannte Weise miteinander interagieren. Apple vertraut auf die Unfähigkeit von Malware-Herstellern und Sicherheitsforschern, ihren Code rückzuentwickeln und Fehler zu finden. Teil dieser Motivation ist es, die Software an die Telefone zu binden, sodass iOS nur auf Apple-Originalhardware installiert werden kann. Eine weitere Motivation besteht darin, die Telefone an die Software zu binden, sodass Sie kein iPhone kaufen und kein alternatives Betriebssystem darauf installieren können, um die Möglichkeit zu bewahren, mit einem gefangenen Publikum über den App Store Geld zu verdienen.

Es ist klar, dass sie ab sofort einen objektiv besseren Job als Google machen, wenn es um allgemeine Sicherheit geht. Das Problem ist, dass dieser Blackbox nicht vertraut werden kann. Es hat Bugs wie jede andere Software - Tausende von Bugs. Da es sich bei dieser Software um eine proprietäre Software handelt und die Quelle nicht verfügbar ist, warten diese Fehler auf die Entdeckung durch ein Apple-Sicherheitsteam oder eine andere Person auf der Welt, die sie zuerst findet.

Open Source-Software kann überprüft werden. Es entfernt die Frage "Vertraue mir einfach", die keine datenschutzinteressierte Person objektiv akzeptieren kann.

Ich hoffe, dass Google in die Richtung von Apple geht, damit Updates für alle Geräte unabhängig vom Hersteller erzwungen werden und die Hardwareanforderungen verschärft werden müssen, um dies zu erreichen. Ich hoffe auch, dass wir die derzeit geschlossenen Teile der Google-Firmware und die zugehörigen Treiber als Open Source-Dateien bereitstellen können, damit wir dem vollständigen Stack vertrauen können, auf den sich das Telefon für die Sicherheit stützt. Dies würde eine offene Lösung in die Lage versetzen, den Markt mit guten Sicherheits- und Datenschutzpraktiken anzuführen.

Sie sehen sich den Code anderer Leute genau an. Welche häufigen Fehler beobachten Sie? Welche Art von Fehlern sind am häufigsten?

Ich mache die Sicherheitsüberprüfungen nicht selbst, das bleibt den beauftragten Prüfern überlassen. Die häufigsten Probleme sind jedoch Probleme mit der Speicherverwaltung und das ordnungsgemäße Löschen sicherheitsrelevanter Daten, wenn diese nicht mehr verwendet werden.

Der andere große Fehler ist der Versuch, eine eigene Kryptographie zu schreiben. Es ist unglaublich kompliziert und es gibt viele, viele Möglichkeiten, die in den letzten Jahrzehnten erfundene Kryptografie zu umgehen. Sie müssen alle sorgfältig prüfen und viele Standards einhalten, um eine starke Kryptografie zu erstellen. Die Verwendung von bereits kompatiblen Bibliotheken vermeidet dieses Sicherheits-Minenfeld vollständig.

Haben Sie einen Rat, den Sie den vielen Codierern, die dies lesen, mitteilen können??

Unterstützen Sie eine Open Source-Sicherheits- oder Datenschutzinitiative. Ihre Zeit und Ihr Wissen als Programmierer freiwillig zur Verfügung zu stellen, ist äußerst wertvoll, auch wenn Sie sich nur einmal pro Monat für ein würdiges Projekt engagieren.

Die Summe der Fähigkeiten und der Zeit der Community ergibt Anwendungen, die das Internet und die Welt zum Besseren verändern können. Wenn Sie keine Sicherheitserfahrung haben, spenden Sie regelmäßig etwas an eine Organisation, die beim Aufbau und der Verbesserung dieser Tools und Bibliotheken hilft. Ich spreche nicht nur über OSTIF, sondern auch über die Free Software Foundation oder über eine der Spendenschaltflächen, die beim Herunterladen einer Open-Source-Software angezeigt werden.

Sie wären schockiert, wie viel ein paar Dollar dazu beitragen, dass kleine Projekte funktionieren und sich verbessern. Kleine Beiträge tragen zu einer besseren digitalen Welt für uns alle bei.

Ein Interview mit OSTIF, dem Team hinter dem OpenVPN-Audit
admin Author
Sorry! The Author has not filled his profile.
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

9 + 1 =

map