Susipažinkite su OSTIF, privatumo gynėjais, kurie padaro internetą saugesnį tikrindami jo kodą

[ware_item id=33][/ware_item]

OSTIF audituoja „OpenVPN“ visų naudai.


„ExpressVPN“ kalbasi su Dereku Zimmeriu: Atvirojo kodo technologijų tobulinimo fondo (OSTIF) prezidentu ir generaliniu direktoriumi apie jo organizaciją, „OpenVPN“ auditą ir interneto privatumo priemonių ateitį..

Šiame tinklaraštyje paskelbtos citatos (raudona spalva) yra fragmentai, paimti iš viso interviu su Dereku, kurį galite perskaityti čia.

„ExpressVPN“ išdidžiai palaikė OSTIF auditą.

Kodėl svarbu tikrinti atvirojo kodo projektus, tokius kaip „OpenVPN“

Privatumo užtikrinimas ir su saugumu susiję projektai vis labiau remiasi atvirojo kodo programine įranga dėl ideologinių priežasčių, licencijavimo problemų ir pasitikėjimo.

Tai yra programinės įrangos atviras pobūdis, leidžiantis kiekvienam pamatyti, kaip ji veikia ir kaip ją kompiliuoti, ir kontroliuoti, ką daro kodas.

Tačiau iš tikrųjų tik nedaugelis žmonių gali pilnai peržvelgti ir suprasti kodą, ir nors akivaizdus netinkamas elgesys, pažeidžiamumui ir klaidoms dažnai prireikia metų.

Išsamios kodų peržiūros yra brangios ir sunkiai atliekamos, ir nors daug žmonių ir organizacijų gali pasikliauti projektu, sunku koordinuoti išsamų auditą..

Nepaisant to, OSTIF nusprendė imtis bauginančios užduoties. Derekas paaiškina, kad prireikė trijų tyrėjų 50 dienų (arba maždaug 1000 valandų), kad baigtumėte apžvalgą. Jų audituota versija buvo „OpenVPN 2.4“, nes ji apima keletą reikšmingų kodo pakeitimų ir naujų funkcijų.

„„ OpenVPN “yra unikalus programinės įrangos elementas, nes tai yra monolitinis kodas su daugybe funkcijų, kurios turi būti suderinamos su senesnėmis versijomis“.

OSTIF pirmiausia žiūrėjo į „Windows“ ir „Linux“ diegimus, nes jie yra labiausiai pažįstami iš vartotojų ir kūrėjų.

„Mes taip pat nusprendėme sutelkti dėmesį į bet kokią kriptografiją, kurią sukūrė pats„ OpenVPN “, ir programos saugumą. Tai reiškia, kad reikia ieškoti logikos klaidų, atminties paskirstymo klaidų, netinkamo buferio tvarkymo ar kitų netinkamų klaidų būklės pažeidžiamumų. “

„OpenSSL“, kuria remiasi „OpenVPN“ (kartu su „PolarSSL“) „siekdama valdyti savo kriptografiją“, nebuvo įtraukta į auditą ir turės savo, atskirą apžvalgą. Yra klestinčių verslų, kurie pasikliauja „OpenSSL“ ar „Nginx“, o Derekas tikisi iš jų surinkti lėšų.

Deja, tačiau kiti didelio masto privatumo programinės įrangos projektai, tokie kaip OTR, „Signal“ ar „Tor“, neturi komercinių vartotojų, todėl bendruomenė turės rasti priemonių, kad patys galėtų finansuoti bet kokius auditus..

Rasti finansavimą visam kodo auditui

Anksčiau OSTIF bandė kitas priemones, įskaitant „Kickstarter“, kad surinktų lėšų. Dabar „Derek“ siekia surinkti donorus kiekvienam projektui atskirai, tikėdamasi, kad šiame procese daugiau pasitikės technologijų industrija ir bendruomenė. Tikimasi, kad šis požiūris suteiks galimybę imtis didesnių projektų.

Kaip teigė Derekas, „OpenVPN“ auditas buvo pirmasis „platus“ auditas, kurio įsipareigojo OSTIF. Skirtingai nuo jų ankstesnio labai laukto „Veracrypt“ („Truecrypt“ įpėdinio) audito, „OpenVPN“ turi klestinčią didelių VPT teikėjų, norinčių prisidėti finansiškai, bendruomenę..

„Mane nustebino teigiamas bendruomenės atsakas ir paramos parama projektui. Tai tikrai buvo nuostabu! Esu labai patenkintas bendruomenės parama projektui, tačiau taip pat nustebau dėl didesnių organizacijų, kurios neatsakė į mūsų užklausas arba iš viso neturėjo jokios kontaktinės vietos jų vadybai, skaičiaus “.

Besivystanti privatumo ir saugumo pramonė

Nors Derekas iš esmės optimistiškai vertina internetinės saugos ir privatumo ateitį, jis nerimauja dėl „juodųjų kodo dėžučių“ ir milijonų senesnių, tačiau aktyvių, be paskutinių saugos atnaujinimų sistemų, ypač „Android“ ekosistemoje..

Ir atvirkščiai, „Apple“ teikia milžiniškus išteklius saugumui. Tačiau, jo teigimu, „Apple“ neatsidaro jų technologijos. Vietoj to, jie nori savo įrenginio saugumo, kad nepageidaujamų kenkėjiškų programų tyrinėtojai neatsiliktų - tai yra nepatikima sąranka.

Panašu, kad tenka susidurti su daugybe vargų. Vis dėlto galiausiai Derekas ir jo komanda puikiai aptarnauja internetą ir jo vartotojų privatumą. Tačiau kova dar nesibaigė:

„Mes ne kartą matėme per įvairius vyriausybinių agentūrų nutekėjimus, kad jei informacijos kriptografija yra gera, jie negali jos masiškai sulaužyti. Šis faktas bent jau atmeta masinio stebėjimo „įsiklausymas į visus“ formą, kuri per pastaruosius kelerius metus tapo paplitusi. Kadangi šios privatumo priemonės toliau tobulėja, o kriptografiją tampa sunkiau sulaužyti ir lengviau naudoti, pastebėsime žymiai padidėjusias pastangas pulti ir kompromituoti įrenginius “.

Susipažinkite su OSTIF, privatumo gynėjais, kurie padaro internetą saugesnį tikrindami jo kodą
admin Author
Sorry! The Author has not filled his profile.