הכירו את OSTIF, תומכי הפרטיות שהופכים את האינטרנט לבטוח יותר באמצעות ביקורת על קודו

OSTIF מבקרת את OpenVPN לטובת כולם.

ExpressVPN משוחח עם דרק צימר: נשיא ומנכ"ל הקרן לשיפור טכנולוגיות קוד פתוח (OSTIF), על הארגון שלו, ביקורת OpenVPN ועל עתידם של כלי הפרטיות באינטרנט..

הציטוטים (באדום) שפורסמו בבלוג זה הם קטעים שנלקחו מהראיון המלא עם דרק שתוכלו לקרוא במלואו כאן.

ExpressVPN תמך בגאווה בביקורת של OSTIF.

מדוע חשוב לבקר פרויקטים בקוד פתוח כמו OpenVPN

פרויקטים הקשורים למודעות פרטיות ואבטחה מסתמכים יותר ויותר על תוכנת קוד פתוח מסיבות אידיאולוגיות, בעיות רישוי ואמון.

זה הטבע הפתוח של התוכנה המאפשרת לכל אחד לראות איך היא עובדת ואיך להרכיב אותה - ולשמור על שליטת מה שהקוד עושה.

עם זאת, במציאות, מעטים אנשים יכולים לבדוק ולהבין קוד באופן מלא, ובעוד התנהגות מזועזת ברורה מאליה, לעתים קרובות נדרשות שנים לפגיעויות ובאגים..

ביקורות על קוד מלא הן יקרות וקשות לביצוע, ובעוד שאנשים וארגונים רבים עשויים להסתמך על פרויקט, קשה לתאם ביקורת מלאה.

OSTIF החליטה לקחת על עצמה את המשימה המרתיעה, בלי קשר. דר מסביר כי דרשו שלושה חוקרים 50 יום (או בערך 1000 שעות) להשלמת הבדיקה. הגרסה שהם ביקשו הייתה OpenVPN 2.4 מכיוון שהיא כוללת כמה שינויי קוד משמעותיים ותכונות חדשות.

"OpenVPN היא פיסת תוכנה ייחודית בכך שהיא קוד מונוליטי עם הרבה תכונות שחייבות להיות תואמות לגרסאות ישנות יותר."

OSTIF בחן בעיקר את היישומים של חלונות ולינוקס מכיוון שהם הכי מוכרים למשתמשים ומפתחים.

"החלטנו להתמקד בכל קריפטוגרפיה שנוצרה על ידי OpenVPN עצמה, ובאבטחת האפליקציה. פירוש הדבר הוא חיפוש אחר שגיאות לוגיקה, שגיאות בהקצאת זיכרון, טיפול במאגר לא תקין או פגיעויות אחרות במצב תקין.

OpenSSL, שעליו OpenVPN (יחד עם PolarSSL) מסתמך "להפעיל את הקריפטוגרפיה שלה" לא נכלל בביקורת ויהיה לו ביקורת נפרדת משלו. ישנם עסקים משגשגים הנשענים על OpenSSL או Nginx, ודרק מקווה לגייס מהם כספים.

אך למרבה הצער, לפרויקטים אחרים של תוכנות פרטיות רחבות היקף, כמו OTR, Signal או Tor, אין משתמשים מסחריים מוקנים, ולכן הקהילה תצטרך למצוא אמצעי לממן כל ביקורת עצמית.

מציאת מימון לביקורת קוד מלאה

בעבר OSTIF ניסתה אמצעים אחרים, כולל Kickstarter לגיוס כספים. כעת, דרק שואף לאסוף תורמים לכל פרויקט בנפרד, בתקווה לזכות באמון רב יותר מתעשיית הטכנולוגיה ומהקהילה בתהליך. יש לקוות שגישה זו תעניק את היכולת לקחת פרויקטים גדולים יותר.

ביקורת OpenVPN הייתה הביקורת ה"רחבה "הראשונה, כהגדרתו של דרק, ש- OSTIF התחייבה. בניגוד לביקורתם הקודמת ביותר של Veracrypt (ממשיכה של Truecrypt), ל- OpenVPN יש קהילה משגשגת של ספקי VPN גדולים שמוכנים לתרום כלכלית..

"הופתעתי מהתגובה הקהילתית החיובית ומזרימת התמיכה בפרויקט. זה באמת היה מדהים! אני שמח מאוד עם התמיכה הקהילתית בפרויקט, אבל הופתעתי גם מכמות הארגונים הגדולים יותר שלא הגיבו לפניות שלנו או שלא היו להם שום קשר ליצור קשר עם ההנהלה שלהם בכלל. "

ענף הפרטיות והביטחון המתפתח

למרות שדרק נראה אופטימי במידה רבה לגבי עתיד האבטחה והפרטיות המקוונת, הוא דואג מ"קופסאות קוד שחורות "ומיליוני המערכות הישנות ועם זאת הפעילות ללא עדכוני האבטחה האחרונים - במיוחד במערכת האקולוגית של אנדרואיד..

לעומת זאת, אפל מכניסה משאבים אדירים לביטחון. עם זאת, לדבריו, אפל אינה קוד פתוח בטכנולוגיה שלהם. במקום זאת, הם סומכים על אבטחת המכשירים שלהם בכדי להשאיר את חוקרי התוכנות הזדוניות הבלתי רצויות בפעולה - זוהי התקנה לא אמינה.

נראה שיש הרבה תלאות שעומדות בפנין. אולם בסופו של דבר, דרק וצוותו עושים שירות מצוין לאינטרנט ולפרטיות המשתמשים בו. אבל הקרב רחוק מלהסתיים:

"ראינו שוב ושוב דרך הדלפות של סוכנויות ממשלתיות שאם הקריפטוגרפיה סביב המידע טובה, הם לא יכולים לשבור אותו בהמוניהם. עובדה זו לפחות מבטלת את צורת "ההאזנה לכולם" של מעקב המוני שהפך בשנים האחרונות למרחיק. ככל שכלי הפרטיות הללו ממשיכים להשתפר וקריפטו נעשה קשה יותר לשבירה וקל יותר לשימוש, נראה את המאמצים הגדולים משמעותית לתקוף מכשירים ולהתפשר עליהם. "

הכירו את OSTIF, תומכי הפרטיות שהופכים את האינטרנט לבטוח יותר באמצעות ביקורת על קודו
admin Author
Sorry! The Author has not filled his profile.