با OSTIF ، طرفداران حریم خصوصی که اینترنت را با حسابرسی از کد آن امن تر می کنند ملاقات کنید

OSTIF به نفع همه حسابرسی OpenVPN را انجام می دهد.

ExpressVPN با Derek Zimmer گفتگو می کند: رئیس جمهور و مدیر عامل صندوق بهبود فناوری منبع باز (OSTIF) ، درباره سازمان وی ، ممیزی OpenVPN و آینده ابزارهای حریم خصوصی اینترنت.

نقل قول ها (به رنگ قرمز) منتشر شده در این وبلاگ ، قطعه هایی از مصاحبه کامل با Derek است که می توانید در اینجا به طور کامل بخوانید.

ExpressVPN با افتخار از ممیزی OSTIF حمایت کرد.

چرا ممیزی پروژه های منبع باز مانند OpenVPN مهم است

به دلیل دلایل ایدئولوژیکی ، مسائل مربوط به صدور مجوز و اعتماد ، پروژه های مربوط به امنیت و آگاهی درباره حریم شخصی به طور فزاینده به نرم افزار منبع باز متکی هستند.

این طبیعت باز نرم افزار است که به هر کسی امکان می دهد ببیند که چگونه کار می کند و چگونه آن را کامپایل می کند — و کنترل آنچه کد انجام می دهد را کنترل می کند.

در واقعیت ، با این وجود ، تعداد کمی از افراد می توانند کد را به طور کامل بررسی و درک کنند ، و در حالی که برخی رفتارهای ناشایست آشکار است ، آسیب پذیری ها و اشکالات اغلب سال ها طول می کشد تا متوجه شود.

بررسی کامل کد گران قیمت و انجام آن دشوار است ، و گرچه بسیاری از افراد و سازمانها ممکن است به یک پروژه اعتماد کنند ، هماهنگی یک ممیزی کامل کار سختی است.

OSTIF تصمیم گرفت بدون توجه به این کار ، وظیفه هولناک را بر عهده بگیرد. درك توضيح داد كه سه محقق طول كشيد 50 روز (یا حدود 1000 ساعت) برای تکمیل بررسی. نسخه ای که آنها ممیزی کردند OpenVPN 2.4 بود زیرا شامل برخی تغییرات قابل توجه در کد و ویژگی های جدید است.

"OpenVPN یک نرم افزار منحصر به فرد است ، به این دلیل که یک کد یکپارچه با ویژگی های زیادی است که باید با نسخه های قدیمی تر سازگار باشد."

OSTIF در درجه اول به اجرای Windows و Linux نگاه می کرد زیرا آنها با کاربران و توسعه دهندگان بیشترین آشنایی را دارند.

"ما همچنین تصمیم گرفتیم كه روی هر رمزنگاری ایجاد شده توسط خود OpenVPN و امنیت برنامه متمرکز شویم. این به معنای جستجوی خطاهای منطقی ، خطاهای تخصیص حافظه ، استفاده نادرست از بافر یا سایر آسیب پذیری های وضعیت نادرست خطا است. "

OpenSSL ، که OpenVPN (همراه با PolarSSL) به "تکیه بر رمزنگاری آن" تکیه می کند ، در ممیزی لحاظ نشده است و بررسی جداگانه خود را خواهد داشت. مشاغل پر رونق وجود دارد که به OpenSSL یا Nginx اعتماد می کنند و درک امیدوار است که بتواند از آنها سرمایه گذاری کند.

متأسفانه ، با این وجود ، سایر پروژه های نرم افزاری خصوصی در مقیاس بزرگ ، مانند OTR ، سیگنال یا Tor هیچ کاربر تجاری اختصاصی ندارند ، بنابراین جامعه مجبور است وسیله ای برای تأمین اعتبار هر ممیزی خود پیدا کند..

یافتن بودجه برای حسابرسی کامل کد

پیش از این ، OSTIF ابزارهای دیگری از جمله Kickstarter را برای جمع آوری بودجه امتحان کرده بود. در حال حاضر ، Derek قصد دارد تا برای هر پروژه به طور جداگانه اهداکنندگان را جمع کند ، امیدوارم اعتماد بیشتری از صنعت و جامعه فناوری در این فرآیند کسب کند. امید است که این رویکرد امکان پیشبرد پروژه های بزرگتر را فراهم کند.

ممیزی OpenVPN ، همانطور که درک اظهار داشت ، اولین ممیزی "گسترده" بود که OSTIF انجام داد. OpenVPN برخلاف حسابرسی پیش بینی شده قبلی Veracrypt (جانشین Truecrypt) ، دارای جامعه پر رونقی از ارائه دهندگان بزرگ VPN است که مایل به مشارکت مالی هستند.

وی اظهار داشت: من از واکنش مثبت جامعه و بیرون آمدن حمایت از این پروژه غافلگیر شدم. واقعاً قابل توجه بود! من از حمایت جامعه از این پروژه بسیار خوشحالم ، اما از تعداد سازمانهای بزرگتری که به سوالات ما پاسخ ندادند یا به هیچ وجه ارتباطی با مدیریت آنها نداشتند ، بسیار شگفت زده شدم. "

صنعت در حال تحول در حریم خصوصی و امنیتی

در حالی که به نظر می رسد درکه کاملاً نسبت به آینده امنیت و حفظ حریم خصوصی آنلاین خوش بین است ، وی نگران "جعبه های سیاه کد" و میلیون ها سیستم قدیمی تر و در عین حال فعال ، بدون به روزرسانی های امنیتی اخیر - به ویژه در اکوسیستم Android است..

در مقابل ، اپل منابع عظیمی را به امنیت تبدیل می کند. با این حال ، او گفت ، اپل از فناوری منبع باز آنها استفاده نمی کند. در عوض ، آنها به امنیت دستگاه خود تکیه می کنند تا محققان بدافزار ناخواسته را خدشه دار نگه دارند - این یک مجموعه غیرقابل اعتماد است.

به نظر می رسد بسیاری از گرفتاریها با آن روبرو هستند. در نهایت ، هر چند ، درک و تیم وی خدمات بسیار خوبی به اینترنت و حفظ حریم خصوصی کاربران خود انجام می دهند. اما دعوا خیلی دور نیست:

"ما بارها و بارها از طریق نشت آژانس های مختلف دولتی مشاهده کرده ایم که اگر رمزنگاری در اطراف اطلاعات خوب باشد ، آنها نمی توانند آن را به صورت گسترده بشکنند. این واقعیت حداقل شکل "گوش دادن به همه" را از نظر نظارت جمعی که در چند سال گذشته فراگیر شده است غیرفعال می کند. از آنجا که این ابزارهای حفظ حریم خصوصی به پیشرفت خود ادامه می دهند و رمزنگاری شکسته تر و استفاده آسان تر می شود ، شاهد افزایش چشمگیر تلاش ها برای حمله و سازش وسایل خواهیم بود. "

با OSTIF ، طرفداران حریم خصوصی که اینترنت را با حسابرسی از کد آن امن تر می کنند ملاقات کنید
admin Author
Sorry! The Author has not filled his profile.