Интервју са ОСТИФ-ом, тимом који стоји иза ревизије ОпенВПН

ОСТИФ врши ревизију ОпенВПН-а за добробит свих.


Contents

Управо сте завршили сигурносну ревизију ОпенВПН-а. Двоје људи је радило скоро два месеца на овом пројекту. Како функционише таква ревизија?

Заправо су била три истраживача која су укупно радила 50 дана (око 1000 сати) на безбедносном прегледу.

Када планирамо да извршимо ревизију дела софтвера, постоји значајан део посла који иде око планирања времена ревизије, ко ће обављати посао, и које области софтвера ћемо покрити..

За ОпенВПН чекали смо издање ОпенВПН 2.4 који је садржао неке велике промене кода. Тада бисмо могли да проценимо нове функције, као и пуно промена испод хаубе.

Ажурирања која садрже значајне промене кода добро су време за процену софтвера јер би се грешке кодирања могле провести тестирањем или би регресије на рубним карактеристикама могле проћи кроз пукотине.

ОпенВПН је јединствен део софтвера, јер је монолитни код са мноштвом функција које морају бити компатибилне са старијим верзијама. Обезбеђивање компатибилности са старешином успорава процес прегледа безбедности. Морамо се кретати по сложеном вебу функција, а не у модуларном дизајну где се апликација може процењивати у комадима. ОпенВПН се такође ослања на две различите библиотеке (ОпенССЛ и ПоларССЛ) за криптографију, што значи да постоје две потпуно различите крипто-средине које напајају безбедност.

Поред тога, ту је ОпенВПН 3.0 који је јединствена верзија која није у потпуности опен соурце. ОпенВПН 3.0 је креиран због проблема са лиценцирањем Аппле Апп Сторе-а који спречавају бесплатни софтвер на продавници. ОпенВПН 3.0 код користи се за ОпенВПН Цоннецт за Андроид и иОС. Ако бисмо оценили овај цео екосистем, требало би многим истраживачима много месеци да се изборе кроз све ове варијације ОпенВПН-а, а они би и даље морали да размотре различите конфигурације мреже и хардвера са којима се ове различите апликације могу суочити. Сложеност и трошкови били би огромни.

Консултовали смо се са стручњацима и сарађивали са ОпенВПН тимом и КуарксЛабом да бисмо смислили на шта да се фокусирамо. Одлучено је да ОпенВПН 2.4 за Виндовс и Линук покрије највише корисника и да учини највише добра. Већина комерцијалних ВПН провајдера користи ОпенВПН 2.4 код за своје прилагођене ВПН клијенте због структуре лиценци око њега.

Такође смо одлучили да се фокусирамо на сваку криптографију креирану од стране самог ОпенВПН-а и на безбедност апликације. То значи да тражите логичке грешке, грешке у расподјели меморије, неправилно руковање тампонима или друге неправилне рањивости стања грешака.

Одвојена ревизија ОпенССЛ-а омогућила би нам да пажљиво процијенимо саму криптографију ОпенВПН-а како бисмо осигурали да су и криптографија и апликација звучни. Важно је креирати сигурну и тешку експлоатацију апликације за уживање корисника.

Што се тиче стварног поступка ревизије, КуарксЛаб одлично ради на документовању процеса и алата који се користе при оцењивању софтвера. Наш рад је фокусиран на планирање обима ревизије и постављање достижних циљева. Затим објединимо заједнице отвореног кода, безбедности и приватности око разлога да бисмо прикупили новац за његово спровођење.

Постоје ли изненађујући / значајни налази из ваше ревизије које бисте сада могли да поделите са нама?

Тренутно смо у фази замрачивања поступка ревизије за ОпенВПН, тако да нећу бити у могућности да разговарамо о било каквим специфичностима које би људе могле уврстити у резултате, али они ће бити јавно доступни врло брзо. Чекамо ОпенВПН 2.4.2.

Шта је образложење такве ревизије? Да ли вам се стављају напоре у потенцијалне сигурносне рупе или једноставно желите да детаљније погледате софтвер на који се редовно ослоните?

Наша стратегија као организације је да покријемо различита подручја сигурности и приватности и одаберемо широко коришћене апликације.

ВераЦрипт је био пријеко потребан насљедник ТруеЦрипта, на што се заједница увелико ослањала, али људи који су водили пројекат били су релативно непознати и бавили су се огромним пројектом са сложеним кодом. Било је логично да му приступимо као нашој првој ревизији, јер смо могли да процијенимо промене кода које су прешле у ТруеЦрипт 7.1а и упоредиле их са тренутном верзијом ВераЦрипт-а. Овај уски опсег омогућио нам је да драматично смањимо трошкове и покажемо људима да је организација ефикасна у постизању резултата.

ОпенВПН је наша прва “широка” ревизија апликације. Захтевао је много већи буџет, али такође је имао и велику заједницу добављача ВПН-а (који су и сами активисти за приватност). ВПН провајдери су заинтересовани за приватност својих корисника и директно забринути за сигурност ОпенВПН-а што нам је омогућило истовремено прикупљање средстава са комерцијалних интереса ОпенВПН-а и од приватних корисника..

ОпенССЛ је опет већи, али има подршку индустрије око њега, пошто ОпенССЛ код (и друге библиотеке које из њега потичу) покреће око 70% од првих 1.000.000 веб локација. То нам даје мноштво пословних интереса за које можемо тражити средства како бисмо помогли да се процени ОпенССЛ 1.1.1, што ће бити прва ОпенССЛ верзија са новим ТЛС 1.3 кодом.

Како даље спуштамо листу апликација које планирамо да извршимо ревизију; све је теже прикупљати средства. Или зато што су заједнице које их окружују мање или зато што нема успеха у пословном успеху апликације.

Надамо се да ћемо након опетованих успеха успети да осигурамо веће корпоративне спонзоре који ће нам омогућити да ефикасније усмеримо средства ка тим пројектима, а да се у потпуности не ослањамо на мале јавне донације. Ово би нам такође увелике помогло у успостављању осталих наших програма, који укључују рад са пројектима ради њихове употребе, унапређење метода и алата за тестирање и стварање лако пратљивих упутстава за софтвер за приватност и безбедност који подржавамо.

Укратко, сада је све део шире стратегије како подржати једну апликацију из сваког великог подручја приватности и сигурности, а затим је проширити одатле. Наш критеријум је уочена снага софтвера у комбинацији са широком употребом.

За свој ОпенВПН пројекат сте у великој мери добили подршку од ВПН индустрије. Да ли сте очекивали подршку иза тога? Колико сте задовољни овом подршком?

Такође смо добили велику подршку заједнице и усменом и директном донацијом.

Наш циљ је изненађујуће брзо надмашен, јер смо првобитно веровали да ће једномесечни рок који смо издвојили за прикупљање средстава бити недовољан. Али прошли смо циљ и подигли знатно више од планираног у року од 20 дана. Тај новац је издвојен за програм буг-боунти који би требало да почне у лето / јесен.

Изненадила ме позитивна реакција заједнице и изливање подршке за пројекат. Заиста је било изванредно! Веома сам задовољан подршком заједнице за пројекат, али сам био изненађен и бројем већих организација које нису одговориле на наше упите или нису имале никакву додирну тачку за своје руковођење..

Међутим, опћенито је добро далеко надмашило лоше, и ми се радујемо раду са свим нашим присталицама на ОпенВПН иницијативама и шире!

Прешли сте са модела прикупљања средстава са обједињеним ресурсима на директан модел прикупљања средстава у коме прикупљате средства за сваки пројекат засебно. Чини се да је ово добро функционисало на пројекту ОпенВПН, где је ВПН индустрија радо давала донације. Да ли очекујете да се будући пројекти слично финансирају и како ће то функционисати за софтверске пројекте који немају комерцијалну индустрију која их окружује, као што је ОТР?

До промене у моделу финансирања дошло је због повратних информација од стране заједнице у вези са шоком налепница. Током нашег првог круга прикупљања средстава, планирали смо годину активности, а затим покушали прикупити напоре преко КицкСтартера. То је довело до финансијских препрека, попут нудења награда за донације, накнаде за КицкСтартер и платних услуга које су прескакале новац од донација. Такође, 8 планираних пројеката у комбинацији је добро погодило циљ у милионе долара. Као придошлица у индустрији која нема резултата, уложила је огромна количина новца, а након неколико истакнутих пропуста КицкСтартера, била је осуђена од самог почетка.

Наш помак у стратегији је смањио укупне трошкове и бројке и поставио више остваривих циљева, али захтева и знатно више рада за сваки прикупљени фонд. Надамо се да ћемо након изградње репутације одговорности и ефикасности успети да осигурамо веће донаторе који ће нам омогућити да се више фокусирамо на извршавање ствари, а мање на директно тражење донација. Веће донације ће такође имати додатну корист јер ће нам омогућити да финансирамо мање занимљиве пројекте попут ОТР, Нгинк, Туннелблицк и више.

Како видите да се развија приватност и технологија повећања сигурности? Поготово што се тиче мобилних телефона и власничких система?

Више пута смо видели кроз разне пропусте владиних агенција да ако је криптографија око информација добра, они је не могу масовно разбити.

Ова чињеница у најмању руку онемогућава облик масовног надзора „који слушају свакога“ који је постао раширен последњих неколико година. Како се ови алати за приватност и даље побољшавају и криптовалуте постају теже разбити и лакше их је користити, видећемо знатно повећане напоре за напад и компромитовање уређаја.

За то постоје докази кроз масовну крађу кључева СИМ картице уз Гемалто, огромне спискове украшених РСА кључева са пропуштањем НСА, позадине убачене у Цисцо и Јунипер системе, и тако даље.

Сигурносна заједница већ одавно позива на „пуну хрпу“ отвореног кода који окружује уређаје који садрже наше најприватније информације. Највећа препрека тренутно је финансирање и организовање подршке да се то заиста и учини.

Чини се да неке компаније одлично раде на власничкој страни, али ми смо више пута учили да не можемо да верујемо црној кутији кода. Погледајте ове месечне хрпе прелива у иОС-у: хттпс://гооглепројецтзеро.блогспот.цом/2017/04/екцептион-ориентед-екплоитатион-он-иос.хтмл

Андроид има пуно проблема везаних за екосистеме повезане са заостајањем ажурирања, што ствара милионе рањивих уређаја. Или компаније које немарно заустављају ажурирања за своје телефоне након што продаја престане. Затим су још дубља питања попут рањивог софтвера за радио Броадцом који никада неће бити поправљени, као што је недавно показао Пројецт Зеро.

Заиста отворен изворни телефон је велико питање, али сигурно можемо покушати да одгурнемо заједницу отвореног кода у правом смеру, самостално развијајући делове слагалице. Искрено се надам да ћемо тамо моћи доћи, јер је тренутна ситуација у збрци. Шокиран сам што још нема Мираи који је заснован на паметним телефонима и разбијао куле ћелија широм света поплавама података.

Аппле је донео пуно позитивних вести са својим власничким системима који се тичу сигурности и приватности. Шта мислите, који ће пројекти отвореног кода играти у довођењу употребљиве технологије у масу, поштујући корисничка права?

Аппле је уложио огромне ресурсе у изградњу екосистема телефона који је фокусиран на безбедност. Проблем је што Аппле не отвара ову технологију, тако да имамо посла са истим проблемом који погађа комерцијални софтвер, као што је Виндовс.

Имамо црну кутију са милионима линија кода непознатог квалитета, које међусобно делују на познате начине. Аппле се ослања на неспособност произвођача злонамерног софтвера и истраживача безбедности да преусмере свој код и пронађу недостатке. Део ове мотивације је закључавање софтвера на телефонима, тако да иОС може бити инсталиран само на оригиналном Аппле хардверу. Друга мотивација је закључавање телефона на софтвер, тако да не можете да купите иПхоне и ставите алтернативни оперативни систем на њега, очувајући њихову способност да црпе новац путем продавнице апликација са заробљеном публиком.

Да будемо јасни, од сада раде објективно бољи посао него што је Гоогле у питању опште сигурности. Проблем је што се овом црном оквиру не може веровати. Има грешке као и сваки софтвер – хиљаде грешака. Будући да је овај софтвер власнички, а извор није доступан, те грешке чекају да их открије Апплеов безбедносни тим или било ко други у свету који их прво нађе..

Софтвер отвореног кода се може прегледати. Уклања се захтев „само ми веруј“ који ниједна заинтересована особа не може објективно да прихвати.

Надам се да ће Гоогле кренути у правцу Апплеа, тако да ће ажурирања бити приморана на све уређаје без обзира на добављача, а хардверски захтеви ће се морати пооштрити да би се то и догодило. Надам се такође да можемо отворити извор тренутно затворених делова Гоогле фирмваре-а и његових повезаних управљачких програма како бисмо могли да поверујемо пуну хрпу на коју се телефон ослања ради сигурности. То би отворило рјешење у позицији да води на тржишту са добрим сигурносним и приватним праксама.

Много гледате на код других људи. Које уобичајене грешке примећујете? Које врсте грешака су најчешће?

Заправо не радим сигурносне прегледе који су препуштени уговореним ревизорима. Али најчешћи проблеми су проблеми с управљањем меморијом и правилно брисање података повезаних са сигурношћу када се више не користе.

Друга велика грешка је покушај писања сопствене криптографије. То је дивље компликовано и постоји много, много начина да се победи криптографија која је измишљена у последњих неколико деценија. Морате их пажљиво размотрити и придржавати се многих стандарда да бисте створили јаку криптографију. Кориштење већ усклађених библиотека у потпуности избјегава ово сигурносно минско поље.

Имате ли какав савјет да подијелите са многим кодерима који ово читају?

Подржите иницијативу за заштиту или приватност отвореног кода. Волонтирати своје време и знање као кодер је изузетно драгоцено, чак и ако месечно дате само једну обавезу за вредан пројекат.

Зброј способности и времена заједница надовезује се на апликације које могу да промене интернет и свет на боље. Ако немате сигурносну позадину, направите малу понављајућу донацију организацији која помаже у изградњи и побољшању ових алата и библиотека. Не говорим само о ОСТИФ-у, говорим о Фондацији бесплатног софтвера или било ком од оних дугмета за донирање које видите када преузмете део софтвера отвореног кода.

Били би шокирани колико неколико долара помаже малим пројектима да функционишу и побољшају се. Мали доприноси доприносе бољем дигиталном свету за све нас.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map