Treffen Sie OSTIF, die Befürworter des Datenschutzes, die das Internet durch die Prüfung seines Codes sicherer machen

[ware_item id=33][/ware_item]

OSTIF prüft OpenVPN zum Nutzen aller.


ExpressVPN spricht mit Derek Zimmer, Präsident und CEO des Open Source Technology Improvement Fund (OSTIF), über seine Organisation, die Prüfung von OpenVPN und die Zukunft der Internet-Datenschutz-Tools.

Die in diesem Blog veröffentlichten Zitate (in rot) sind Ausschnitte aus dem vollständigen Interview mit Derek, das Sie hier vollständig lesen können.

ExpressVPN hat die Prüfung des OSTIF mit Stolz unterstützt.

Warum es wichtig ist, Open-Source-Projekte wie OpenVPN zu überwachen

Datenschutzbewusste und sicherheitsrelevante Projekte verlassen sich aus ideologischen Gründen, aufgrund von Lizenzproblemen und aus Gründen des Vertrauens zunehmend auf Open-Source-Software.

Die Offenheit der Software ermöglicht es jedem, zu sehen, wie sie funktioniert und wie sie kompiliert wird - und die Kontrolle darüber zu behalten, was der Code tut.

In der Realität können jedoch nur wenige Menschen Code vollständig überprüfen und verstehen, und obwohl schändliches Verhalten offensichtlich ist, dauert es oft Jahre, bis Schwachstellen und Fehler entdeckt werden.

Vollständige Codeüberprüfungen sind teuer und schwierig durchzuführen. Obwohl sich viele Menschen und Organisationen auf ein Projekt verlassen, ist es schwierig, eine vollständige Prüfung zu koordinieren.

OSTIF beschloss, die gewaltige Aufgabe zu übernehmen. Derek erklärt, dass dafür drei Forscher benötigt wurden 50 Tage (oder ungefähr 1000 Stunden), um die Überprüfung abzuschließen. Die geprüfte Version war OpenVPN 2.4, da es einige wesentliche Codeänderungen und neue Funktionen enthält.

"OpenVPN ist eine einzigartige Software, da es sich um einen monolithischen Code mit vielen Funktionen handelt, die mit älteren Versionen kompatibel sein müssen."

OSTIF befasste sich hauptsächlich mit den Windows- und Linux-Implementierungen, da diese mit Benutzern und Entwicklern am besten vertraut sind.

„Wir haben uns auch entschlossen, uns auf die von OpenVPN selbst erstellte Kryptografie und die Sicherheit der Anwendung zu konzentrieren. Dies bedeutet, nach Logikfehlern, Speicherzuordnungsfehlern, unsachgemäßer Pufferbehandlung oder anderen Sicherheitslücken in Bezug auf den Fehlerstatus zu suchen. “

OpenSSL, auf das sich OpenVPN (zusammen mit PolarSSL) stützt, um seine Kryptografie zu betreiben, wurde nicht in die Prüfung einbezogen und wird eine eigene, separate Prüfung erhalten. Es gibt florierende Unternehmen, die sich auf OpenSSL oder Nginx verlassen, und Derek hofft, von ihnen Geld sammeln zu können.

Leider haben andere große Datenschutz-Softwareprojekte wie OTR, Signal oder Tor keine berechtigten kommerziellen Benutzer, sodass die Community ein Mittel finden muss, um Audits selbst zu finanzieren.

Finanzierung für ein vollständiges Code-Audit finden

Zuvor hatte OSTIF andere Mittel ausprobiert, darunter einen Kickstarter, um Spenden zu sammeln. Jetzt will Derek für jedes Projekt einzeln Spender sammeln und hoffentlich mehr Vertrauen in die Tech-Industrie und die Community gewinnen. Es ist zu hoffen, dass dieser Ansatz die Möglichkeit bietet, größere Projekte zu übernehmen.

Das OpenVPN-Audit war, wie Derek es ausdrückt, das erste „breite“ Audit, das das OSTIF durchgeführt hat. Im Gegensatz zu ihrer früheren, mit Spannung erwarteten Prüfung von Veracrypt (dem Nachfolger von Truecrypt) verfügt OpenVPN über eine florierende Community großer VPN-Anbieter, die bereit sind, finanzielle Beiträge zu leisten.

„Ich war überrascht von der positiven Resonanz der Community und der Unterstützung für das Projekt. Es war wirklich bemerkenswert! Ich bin sehr zufrieden mit der Unterstützung der Community für das Projekt, war aber auch überrascht über die Anzahl der größeren Organisationen, die auf unsere Anfragen nicht geantwortet haben oder überhaupt keinen Ansprechpartner für deren Management hatten. "

Die sich entwickelnde Datenschutz- und Sicherheitsbranche

Während Derek hinsichtlich der Zukunft der Online-Sicherheit und des Datenschutzes größtenteils optimistisch zu sein scheint, ist er besorgt über "Black Boxes of Code" und die Millionen älterer, aber aktiver Systeme ohne aktuelle Sicherheitsupdates - insbesondere im Android-Ökosystem.

Umgekehrt setzt Apple enorme Ressourcen in die Sicherheit ein. Apple habe jedoch keine Open Source-Technologie. Stattdessen verlassen sie sich auf die Sicherheit ihrer Geräte, um unerwünschte Malware-Forscher in Schach zu halten - eine nicht vertrauenswürdige Einrichtung.

Es scheint, dass es viele Schwierigkeiten gibt, denen man sich stellen muss. Letztendlich leisten Derek und sein Team jedoch einen hervorragenden Service für das Internet und die Privatsphäre seiner Benutzer. Aber der Kampf ist noch lange nicht vorbei:

"Wir haben wiederholt durch verschiedene Lecks von Regierungsbehörden gesehen, dass die Kryptografie rund um die Informationen, wenn sie gut ist, sie nicht massenhaft auflösen kann. Diese Tatsache verhindert zumindest die in den letzten Jahren allgegenwärtige Form der Massenüberwachung, bei der jeder mitgehört wird. Da sich diese Datenschutz-Tools weiter verbessern und die Verwendung von Krypto immer schwieriger wird, werden wir erhebliche Anstrengungen unternehmen, um Geräte anzugreifen und zu kompromittieren. “

Treffen Sie OSTIF, die Befürworter des Datenschutzes, die das Internet durch die Prüfung seines Codes sicherer machen
admin Author
Sorry! The Author has not filled his profile.