Упознајте ОСТИФ, заговорнике приватности који Интернет чине сигурнијим ревизијом његовог кода

ОСТИФ врши ревизију ОпенВПН-а за добробит свих.

ЕкпрессВПН разговара са Дереком Зиммером: председником и извршним директором Фонда за унапређење технологије отвореног кода (ОСТИФ), о својој организацији, ревизији ОпенВПН-а и будућности алата о приватности на Интернету.

Цитати (црвени) објављени на овом блогу су исечци узети из целог интервјуа са Дереком који у целости можете прочитати овде.

ЕкпрессВПН с поносом подржао ревизију ОСТИФ-а.

Зашто је важно ревизију пројеката отвореног кода попут ОпенВПН-а

Пројекти који се баве заштитом приватности и безбедношћу све се више ослањају на софтвер отвореног кода због идеолошких разлога, питања лиценцирања и поверења.

То је отворена природа софтвера која омогућава било коме да види како он ради и како да га компајлира – и задржава контролу над оним што код ради.

У стварности, међутим, мало људи може у потпуности прегледати и разумети код, и док је неко опако понашање очигледно, рањивости и грешке често су потребне године да се уоче.

Прегледи пуног кода скупи су и тешко их је извести, а иако се многи људи и организације могу ослонити на пројекат, тешко је координирати потпуну ревизију.

ОСТИФ је одлучио да преузме застрашујући задатак, без обзира. Дерек објашњава да су била потребна три истраживача 50 дана (или око 1000 сати) за завршетак прегледа. Верзија коју су ревидирали била је ОпенВПН 2.4 јер укључује неке значајне промене кода и нове функције.

„ОпенВПН је јединствен део софтвера, јер је монолитни код са мноштвом функција које морају бити компатибилне са старијим верзијама.“

ОСТИФ се превасходно осврнуо на имплементације за Виндовс и Линук, јер су они најпознатији код корисника и програмера.

„Такође смо одлучили да се фокусирамо на сваку криптографију креирану од самог ОпенВПН-а, и на безбедност апликације. То значи да тражите логичке грешке, грешке у расподјели меморије, неправилно руковање међуспремником или друге неправилне рањивости стања грешке. “

ОпенССЛ, на који се ОпенВПН (заједно са ПоларССЛ) ослања „да напаја своју криптографију“, није укључен у ревизију и имаће свој посебан преглед. Постоје успешна предузећа која се ослањају на ОпенССЛ или Нгинк, а Дерек се нада да ће их прикупљати.

Нажалост, други велики пројекти софтвера за приватност, попут ОТР, Сигнал или Тор, немају комерцијалне кориснике, тако да ће заједница морати сама да пронађе средства за финансирање било каквих ревизија..

Проналажење финансирања за потпуну ревизију кода

Раније је ОСТИФ покушао са другим средствима, укључујући Кицкстартер да прикупи средства. Сада, Дерек има за циљ да прикупи донаторе за сваки пројекат појединачно, надајући се да ће стећи више поверења технолошке индустрије и заједнице у тај процес. Нада се да ће овај приступ пружити могућност преузимања већих пројеката.

Ревизија ОпенВПН-а била је прва „широка“ ревизија, како Дерек каже, коју је ОСТИФ предузео. За разлику од претходне дуго очекиване ревизије Верацрипт-а (наследника Труецрипта), ОпенВПН има успешну заједницу великих ВПН провајдера који су спремни да допринесу финансијски.

„Изненадио ме је позитиван одзив заједнице и изливање подршке за пројекат. Заиста је било изванредно! Веома сам задовољан подршком заједнице за пројекат, али сам био изненађен и бројем већих организација које нису одговориле на наше упите или нису имале никакву додирну тачку за своје руковођење. “

Развијајућа индустрија приватности и сигурности

Иако Дерек изгледа углавном оптимистичан у погледу будућности безбедности и приватности на мрежи, он брине због „црних кутија кода“ и милиона старијих, а опет активних система без последњих безбедносних ажурирања – посебно у Андроид екосистему.

Супротно томе, Аппле улаже огромна средства у сигурност. Међутим, каже, Аппле не отвара своју технологију. Уместо тога, они се ослањају на безбедност својих уређаја како би задржали нежељене истраживаче малваре-а – што је непоуздано подешавање.

Изгледа да се треба суочити са многим невољама. На крају, Дерек и његов тим пружају изврсну услугу интернету и приватности својих корисника. Али борба је далеко од краја:

„Више пута смо видели кроз разне пропусте владиних агенција да ако је криптографија око информација добра, они је не могу масовно разбити. Ова чињеница у најмању руку онемогућава облик масовног надзора „који слушају свакога“ који је постао раширен последњих неколико година. Како се ови алати за приватност и даље побољшавају и криптовалуте постају теже разбити и лакше их је користити, видећемо знатно повећане напоре за напад и компромитовање уређаја. “

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me