Poznaj OSTIF, zwolenników prywatności, którzy zwiększają bezpieczeństwo Internetu poprzez kontrolę jego kodu

OSTIF kontroluje OpenVPN z korzyścią dla wszystkich.


ExpressVPN rozmawia z Derekiem Zimmerem: Prezesem i Dyrektorem Generalnym Open Source Technology Improvement Fund (OSTIF), na temat jego organizacji, audytu OpenVPN i przyszłości narzędzi do prywatności w Internecie.

Cytaty (na czerwono) opublikowane na tym blogu są fragmentami zaczerpniętymi z pełnego wywiadu z Derekiem, który możesz przeczytać w całości tutaj.

ExpressVPN z dumą poparł audyt OSTIF.

Dlaczego tak ważna jest kontrola projektów typu open source, takich jak OpenVPN

Projekty związane z prywatnością i bezpieczeństwem w coraz większym stopniu opierają się na oprogramowaniu open source ze względów ideologicznych, problemów licencyjnych i zaufania.

To otwarta natura oprogramowania, która pozwala każdemu zobaczyć, jak działa i jak go skompilować – i zachować kontrolę nad tym, co robi kod.

W rzeczywistości jednak niewiele osób może w pełni przejrzeć i zrozumieć kod, a chociaż pewne nikczemne zachowania są oczywiste, wykrycie luk i błędów często zajmuje lata.

Pełne przeglądy kodu są drogie i trudne do przeprowadzenia, a chociaż wiele osób i organizacji może polegać na projekcie, trudno jest skoordynować pełny audyt.

Niezależnie od tego OSTIF postanowił podjąć trudne zadanie. Derek wyjaśnia, że ​​zajęło to trzech badaczy 50 dni (lub około 1000 godzin) na zakończenie recenzji. Wersja, którą skontrolowali, to OpenVPN 2.4, ponieważ zawiera pewne znaczące zmiany w kodzie i nowe funkcje.

„OpenVPN jest unikalnym oprogramowaniem, ponieważ jest monolitycznym kodem z wieloma funkcjami, które muszą być kompatybilne ze starszymi wersjami”.

OSTIF przyjrzał się przede wszystkim implementacjom systemów Windows i Linux, ponieważ są one najlepiej zaznajomione z użytkownikami i programistami.

„Postanowiliśmy także skupić się na każdej kryptografii stworzonej przez sam OpenVPN i bezpieczeństwie aplikacji. Oznacza to poszukiwanie błędów logicznych, błędów alokacji pamięci, niewłaściwej obsługi bufora lub innych nieprawidłowości w stanie błędu. ”

OpenSSL, na którym OpenVPN (wraz z PolarSSL) polega na „zasilaniu swojej kryptografii”, nie został uwzględniony w audycie i będzie miał swoją własną, osobną recenzję. Istnieją dobrze prosperujące firmy, które polegają na OpenSSL lub Nginx, a Derek ma nadzieję zebrać od nich fundusze.

Niestety, inne projekty oprogramowania do ochrony prywatności na dużą skalę, takie jak OTR, Signal lub Tor, nie mają żadnych komercyjnych użytkowników, więc społeczność będzie musiała znaleźć sposób na sfinansowanie wszelkich audytów.

Znalezienie środków na pełny audyt kodu

Wcześniej OSTIF próbował innych środków, w tym Kickstarter w celu zebrania funduszy. Teraz Derek ma na celu zebranie darczyńców dla każdego projektu indywidualnie, miejmy nadzieję, że zyska więcej zaufania ze strony branży technologicznej i społeczności. Mamy nadzieję, że takie podejście zapewni możliwość podejmowania większych projektów.

Audyt OpenVPN był pierwszym „szerokim” audytem, ​​jak to ujął Derek, przeprowadzonym przez OSTIF. W przeciwieństwie do ich wcześniej oczekiwanego audytu Veracrypt (następcy Truecrypt), OpenVPN ma dobrze prosperującą społeczność dużych dostawców VPN, którzy są gotowi wnieść wkład finansowy.

„Byłem zaskoczony pozytywną reakcją społeczności i wylaniem wsparcia dla projektu. To było naprawdę niezwykłe! Jestem bardzo zadowolony ze wsparcia społeczności dla projektu, ale byłem również zaskoczony liczbą większych organizacji, które nie odpowiedziały na nasze zapytania lub nie miały żadnego kontaktu z ich zarządem ”.

Rozwijający się sektor prywatności i bezpieczeństwa

Podczas gdy Derek wydaje się w dużej mierze optymistyczny co do przyszłości bezpieczeństwa i prywatności w Internecie, martwi się o „czarne skrzynki kodu” i miliony starszych, ale aktywnych systemów bez najnowszych aktualizacji zabezpieczeń – szczególnie w ekosystemie Androida.

I odwrotnie, Apple zapewnia ogromne bezpieczeństwo. Mówi jednak, że Apple nie korzysta z otwartych źródeł technologii. Zamiast tego polegają na bezpieczeństwie swoich urządzeń, aby powstrzymać niechcianych badaczy szkodliwego oprogramowania – co jest niewiarygodną konfiguracją.

Wygląda na to, że czeka nas wiele udręk. Ostatecznie jednak Derek i jego zespół zapewniają doskonałą obsługę Internetu i prywatności użytkowników. Ale walka jeszcze się nie skończyła:

„Wielokrotnie widzieliśmy różne wycieki z agencji rządowych, że jeśli kryptografia wokół informacji jest dobra, nie mogą jej przerwać masowo. Fakt ten przynajmniej uniemożliwia masową inwigilację typu „podsłuchiwanie wszystkich”, która stała się wszechobecna w ciągu ostatnich kilku lat. Ponieważ te narzędzia do ochrony prywatności wciąż się poprawiają, a szyfrowanie staje się coraz trudniejsze do złamania i łatwiejsze w użyciu, zauważymy znaczny wzrost wysiłków w celu atakowania i narażania urządzeń na szwank ”.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map