Iepazīstieties ar OSTIF, privātuma aizstāvjiem, kuri padara internetu drošāku, auditējot tā kodu

OSTIF revidē OpenVPN visu labā.

ExpressVPN sarunājas ar Derek Zimmer: Open Source Technology Improvement Fund (OSTIF) prezidentu un izpilddirektoru, par viņa organizāciju, OpenVPN revīziju un interneta privātuma rīku nākotni.

Šajā emuārā publicētie citāti (sarkanā krāsā) ir fragmenti, kas ņemti no pilnas intervijas ar Dereku, kuru pilnībā varat izlasīt šeit.

ExpressVPN lepni atbalstīja OSTIF revīziju.

Kāpēc ir svarīgi revidēt tādus atvērtā pirmkoda projektus kā OpenVPN

Ar privātumu saistīti un ar drošību saistīti projekti ideoloģisku iemeslu, licencēšanas problēmu un uzticēšanās dēļ arvien vairāk paļaujas uz atvērtā pirmkoda programmatūru.

Tas ir programmatūras atklātais raksturs, kas ļauj ikvienam redzēt, kā tā darbojas un kā to apkopot, kā arī kontrolēt koda darbību.

Tomēr patiesībā tikai daži cilvēki var pilnībā pārskatīt un saprast kodu, un, lai arī acīmredzami ir kāda neganta rīcība, ievainojamības un kļūdas bieži prasa gadus, lai pamanītu.

Pilna koda pārskatīšana ir dārga un grūti izpildāma, un, lai arī daudzi cilvēki un organizācijas var paļauties uz projektu, ir grūti koordinēt pilnīgu auditu..

OSTIF nolēma uzņemties biedējošo uzdevumu neatkarīgi no tā. Dereks skaidro, ka tam vajadzēja trīs pētniekus 50 dienas (vai apmēram 1000 stundas), lai pabeigtu pārskatu. Viņu revidētā versija bija OpenVPN 2.4, jo tajā ir iekļautas dažas būtiskas koda izmaiņas un jaunas funkcijas.

“OpenVPN ir unikāls programmatūras gabals, jo tas ir monolīts kods ar daudzām funkcijām, kurām jābūt savietojamām ar vecākām versijām.”

OSTIF galvenokārt apskatīja operētājsistēmas Windows un Linux ieviešanu, jo tās vislabāk pārzina lietotāji un izstrādātāji.

“Mēs arī nolēmām pievērsties jebkurai kriptogrāfijai, ko izveidojis pats OpenVPN, un lietojumprogrammas drošībai. Tas nozīmē loģisko kļūdu, atmiņas piešķiršanas kļūdu, nepareizas bufera apstrādes vai citu nepareizu kļūdu stāvokļu ievainojamību meklēšanu. ”

OpenSSL, uz kuru OpenVPN (kopā ar PolarSSL) paļaujas, ka “lai aktivizētu savu kriptogrāfiju”, netika iekļauts auditā, un tam būs savs atsevišķs pārskats. Ir plaukstoši uzņēmumi, kas paļaujas uz OpenSSL vai Nginx, un Dereks cer no tiem iegūt līdzekļus.

Diemžēl, lai arī citiem liela mēroga privātuma programmatūras projektiem, piemēram, OTR, Signal vai Tor, nav komerciālu lietotāju, tāpēc sabiedrībai būs jāatrod līdzekļi, lai paši finansētu revīzijas..

Finansējuma atrašana pilna koda revīzijai

Iepriekš OSTIF bija mēģinājis citus līdzekļus, tostarp Kickstarter, lai iegūtu līdzekļus. Tagad Dereka mērķis ir savākt ziedotājus katram projektam atsevišķi, cerams, ka šajā procesā iegūs lielāku uzticību no tehnoloģiju nozares un sabiedrības puses. Cerams, ka šī pieeja dos iespēju uzņemties lielākus projektus.

Kā atklāja Dereks, OpenVPN audits bija pirmais “plašais” audits, kuru veica OSTIF. Atšķirībā no viņu iepriekš gaidītā Veracrypt (Truecrypt pēctecis) audita, OpenVPN ir plaukstoša lielu VPN pakalpojumu sniedzēju kopiena, kas vēlas dot finansiālu ieguldījumu.

“Mani pārsteidza pozitīvā sabiedrības reakcija un atbalsta izliešana projektam. Tas tiešām bija izcils! Es esmu ļoti priecīgs par sabiedrības atbalstu projektam, bet arī biju pārsteigts par to, ka ir daudz lielākas organizācijas, kuras neatbildēja uz mūsu pieprasījumiem vai kurām nebija nekādas kontaktpersonas to vadībai. ”

Attīstās privātuma un drošības nozare

Lai arī Dereks šķiet optimistisks par tiešsaistes drošības un privātuma nākotni, viņu uztrauc “koda melnās kastes” un miljoniem vecāku, tomēr aktīvo sistēmu bez pēdējiem drošības atjauninājumiem, īpaši Android ekosistēmā..

Un otrādi - Apple liek milzīgus resursus drošībai. Tomēr viņš saka, ka Apple neatver viņu tehnoloģiju atvērtā koda. Tā vietā viņi paļaujas uz savu ierīču drošību, lai nevēlamos ļaunprātīgas programmatūras pētniekus netraucētu - tas ir neuzticami.

Liekas, ka ir jāsaskaras ar daudzām ciešanām. Tomēr galu galā Dereks un viņa komanda lieliski apkalpo internetu un tā lietotāju privātumu. Bet cīņa vēl nav galā:

“Izmantojot dažādas valdības aģentūru noplūdes, mēs vairākkārt esam redzējuši, ka, ja kriptogrāfija ap informāciju ir laba, viņi to nevar masveidā izjaukt. Šis fakts vismaz atspējo masveida uzraudzības “ieklausīšanās ikvienā” formu, kas pēdējos gados ir kļuvusi izplatīta. Tā kā šie privātuma rīki turpina uzlaboties, un kriptogrāfijas kļūst grūtāk salauzt un vieglāk lietojamas, mēs redzēsim ievērojami pastiprinātus centienus uzbrukt un kompromitēt ierīces. ”

Iepazīstieties ar OSTIF, privātuma aizstāvjiem, kuri padara internetu drošāku, auditējot tā kodu
admin Author
Sorry! The Author has not filled his profile.