코드를 감사하여 인터넷을 안전하게 만드는 개인 정보 보호 옹호자 인 OSTIF를 만나십시오

OSTIF는 모든 사람의 이익을 위해 OpenVPN을 감사하고 있습니다.

ExpressVPN과 Derek Zimmer : OSTIF (Open Source Technology Improvement Fund) 사장 및 CEO, 조직, OpenVPN 감사 및 인터넷 개인 정보 보호 도구의 미래에 대해 이야기.

이 블로그에 게시 된 따옴표 (빨간색)는 Derek과의 전체 인터뷰에서 가져온 스 니펫입니다..

ExpressVPN OSTIF 감사 감사.

OpenVPN과 같은 오픈 소스 프로젝트를 감사하는 것이 중요한 이유

개인 정보 보호 및 보안 관련 프로젝트는 이념적 이유, 라이센스 문제 및 신뢰로 인해 오픈 소스 소프트웨어에 점점 더 의존하고 있습니다..

누구나 소프트웨어의 작동 방식과 컴파일 방법을 확인하고 코드의 기능을 지속적으로 제어 할 수있는 개방형 소프트웨어입니다..

그러나 실제로는 코드를 완전히 검토하고 이해할 수있는 사람이 거의 없으며 악의적 인 동작이 명백하지만 취약점과 버그를 발견하는 데 몇 년이 걸리는 경우가 있습니다.

전체 코드 검토는 비용이 많이 들고 수행하기가 어렵고 많은 사람과 조직이 프로젝트에 의존 할 수 있지만 전체 감사를 조정하기는 어렵습니다..

OSTIF는 관계없이 어려운 작업을 수행하기로 결정했습니다. 데렉은 세 명의 연구원이 필요하다고 설명했다. 검토를 완료하는 데 50 일 (또는 약 1000 시간). 그들이 감사 한 버전은 OpenVPN 2.4였습니다. 중요한 코드 변경 사항과 새로운 기능이 포함되어 있기 때문입니다.

“OpenVPN은 고유 한 소프트웨어입니다. 이전 버전과 호환되어야하는 많은 기능을 가진 모 놀리 식 코드입니다.”

OSTIF는 사용자와 개발자에게 가장 친숙하기 때문에 주로 Windows 및 Linux 구현을 살펴 보았습니다..

“또한 OpenVPN 자체에서 생성 된 암호화 및 응용 프로그램 보안에 중점을두기로 결정했습니다. 이는 논리 오류, 메모리 할당 오류, 부적절한 버퍼 처리 또는 기타 부적절한 오류 상태 취약점을 찾는 것을 의미합니다.”

OpenVPN (PolarSSL과 함께)이 “암호화를 강화하기 위해”의존하는 OpenSSL은 감사에 포함되지 않았으며 자체적으로 별도의 검토를 받게됩니다. OpenSSL 또는 Nginx를 사용하는 번창하는 비즈니스가 있으며 Derek은 이들로부터 수익을 얻고 자합니다..

불행히도 OTR, Signal 또는 Tor와 같은 다른 대규모 개인 정보 보호 소프트웨어 프로젝트에는 상용 사용자가 없기 때문에 커뮤니티는 자체적으로 감사 자금을 조달 할 수단을 찾아야합니다.

전체 코드 감사를위한 자금 찾기

이전에 OSTIF는 킥 스타터를 포함하여 자금 조달을위한 다른 수단을 시도했습니다. 이제 Derek은 각 프로젝트에 대한 기부자를 개별적으로 모으고 기술 산업과 지역 사회로부터 더 많은 신뢰를 얻고 자합니다. 이 방법으로 더 큰 프로젝트를 수행 할 수 있기를 바랍니다..

OpenVPN 감사는 데렉이 말한 것처럼 OSTIF가 수행 한 최초의 “와이드”감사였습니다. 이전에 예상했던 Veracrypt (Truecrypt의 후속)에 대한 감사와 달리 OpenVPN에는 재정적으로 기여할 의향이있는 대규모 VPN 제공 업체 커뮤니티가 있습니다..

“나는 긍정적 인 지역 사회 반응과 프로젝트에 대한 지원의 부흥에 놀랐습니다. 정말 대단했습니다! 이 프로젝트에 대한 커뮤니티 지원에 매우 만족하지만, 문의에 응답하지 않았거나 경영진과 전혀 연락이 없었던 대기업의 수가 놀랐습니다.”

진화하는 개인 정보 보호 및 보안 산업

데릭은 온라인 보안 및 개인 정보 보호의 미래에 대해 상당히 낙관적 인 것처럼 보이지만, “암호화 블랙 박스”와 최근 보안 업데이트가없는 수백만 개의 오래되었지만 활성화 된 시스템, 특히 Android 생태계에서 걱정하고 있습니다..

반대로 Apple은 엄청난 자원을 보안에 투입합니다. 그러나 애플은 그들의 기술을 오픈 소스로 공개하지 않는다고 말했다. 대신, 그들은 원치 않는 맬웨어 연구자를 막기 위해 장치 보안에 의존합니다. 이는 신뢰할 수없는 설정입니다.

직면 할 많은 환난이있는 것 같습니다. 그러나 궁극적으로 Derek과 그의 팀은 인터넷과 사용자의 개인 정보에 대한 훌륭한 서비스를 제공합니다. 그러나 싸움은 끝나지 않았습니다.

“우리는 여러 정부 기관의 누수를 통해 정보 주변의 암호화가 좋으면 정보를 엉망으로 만들 수 없다는 것을 반복해서 목격했습니다. 이 사실은 적어도 지난 몇 년 동안 널리 퍼져있는“모두에게 귀 기울이기”형태의 대량 감시를 불가능하게합니다. 이러한 개인 정보 보호 도구가 지속적으로 개선되고 암호화가 깨지기 어렵고 사용하기 쉬워 짐에 따라 장치를 공격하고 손상시키기위한 노력이 크게 증가 할 것입니다.”