ExpressVPN беседует с Дереком Циммером, президентом и главным исполнительным директором Фонда усовершенствования технологий с открытым исходным кодом (OSTIF), о его организации, аудите OpenVPN и о будущем средств обеспечения конфиденциальности в Интернете..

Цитаты (красным), опубликованные в этом блоге, являются фрагментами из полного интервью с Дереком, которое вы можете прочитать здесь полностью..

ExpressVPN с гордостью поддержал аудит ОСТИФ.

Почему важно проводить аудит проектов с открытым исходным кодом, таких как OpenVPN

Проекты, ориентированные на конфиденциальность и безопасность, все больше полагаются на программное обеспечение с открытым исходным кодом из-за идеологических причин, проблем с лицензированием и доверия.

Это открытая природа программного обеспечения, которая позволяет любому увидеть, как оно работает и как его скомпилировать, и контролировать то, что делает код..

В действительности, однако, немногие люди могут полностью просмотреть и понять код, и хотя некоторые гнусные действия очевидны, уязвимости и ошибки часто занимают годы, чтобы обнаружить.

Полный анализ кода является дорогостоящим и трудным для выполнения, и, хотя многие люди и организации могут полагаться на проект, сложно согласовать полный аудит.

ОСТИФ решил взять на себя непростую задачу, несмотря ни на что. Дерек объясняет, что потребовалось три исследователя 50 дней (или около 1000 часов) для завершения обзора. Версия, которую они проверяли, была OpenVPN 2.4, потому что она включает в себя некоторые существенные изменения кода и новые функции.

«OpenVPN – это уникальное программное обеспечение, так как это монолитный код с множеством функций, которые должны быть совместимы с более старыми версиями».

OSTIF в первую очередь смотрел на реализации Windows и Linux, потому что они наиболее знакомы с пользователями и разработчиками.

«Мы также решили сосредоточиться на любой криптографии, созданной самим OpenVPN, и безопасности приложения. Это означает поиск логических ошибок, ошибок выделения памяти, неправильной обработки буфера или других неправильных уязвимостей состояния ошибок ».

OpenSSL, на который опирается OpenVPN (вместе с PolarSSL) «для обеспечения своей криптографии», не был включен в аудит и будет иметь свой собственный отдельный обзор. Есть процветающие предприятия, которые полагаются на OpenSSL или Nginx, и Дерек надеется получить от них средства..

К сожалению, другие крупные проекты по обеспечению конфиденциальности, такие как OTR, Signal или Tor, не имеют коммерческих пользователей, поэтому сообществу придется искать средства для финансирования любых аудитов..

Поиск финансирования для полного аудита кода

Ранее OSTIF пытался использовать другие средства, включая Kickstarter для сбора средств. Теперь Дерек стремится собрать доноров для каждого проекта в отдельности, надеясь получить больше доверия со стороны технологической индустрии и сообщества в этом процессе. Хотелось бы надеяться, что этот подход даст возможность взять на себя более крупные проекты.

Аудит OpenVPN был первым «широким» аудитом, как выразился Дерек, который провел OSTIF. В отличие от их предыдущего долгожданного аудита Veracrypt (преемника Truecrypt), OpenVPN имеет процветающее сообщество крупных провайдеров VPN, которые готовы внести финансовый вклад.

«Я был удивлен положительным откликом сообщества и излитием поддержки проекта. Это действительно было замечательно! Я очень доволен поддержкой сообщества для проекта, но также был удивлен количеством более крупных организаций, которые не ответили на наши запросы или вообще не имели возможности связаться с их руководством ».

Развивающаяся индустрия конфиденциальности и безопасности

В то время как Дерек выглядит в значительной степени оптимистично по поводу будущего онлайн-безопасности и конфиденциальности, он обеспокоен «черными ящиками с кодом» и миллионами старых, но активных систем без последних обновлений безопасности, особенно в экосистеме Android..

И наоборот, Apple вкладывает огромные ресурсы в безопасность. Однако, по его словам, Apple не использует технологию с открытым исходным кодом. Вместо этого они полагаются на безопасность своих устройств, чтобы держать в поле зрения нежелательных исследователей вредоносных программ, что является ненадежной установкой..

Кажется, есть много невзгод. В конечном счете, однако, Дерек и его команда оказывают превосходную услугу интернету и конфиденциальности его пользователей. Но борьба далека от завершения

«Мы неоднократно видели, как различные правительственные агентства сообщают, что если криптография вокруг информации хороша, они не смогут ее массово сломать. Этот факт, по крайней мере, отключает форму массового наблюдения «прислушиваясь к каждому», которая стала распространяться в последние несколько лет. Поскольку эти средства обеспечения конфиденциальности продолжают совершенствоваться, а криптографию становится все труднее взломать и использовать проще, мы увидим значительно более активные усилия по атаке и взлому устройств ».