Запознайте се с OSTIF, защитниците на поверителността, които правят интернет по-безопасен чрез одит на неговия код

OSTIF одитира OpenVPN в полза на всички.

ExpressVPN разговаря с Дерек Цимер: президент и изпълнителен директор на Фонда за подобряване на технологиите с отворен код (OSTIF), относно неговата организация, одита на OpenVPN и бъдещето на инструментите за поверителност на интернет.

Цитатите (в червено), публикувани в този блог, са фрагменти, взети от пълното интервю с Дерек, което можете да прочетете изцяло тук.

ExpressVPN гордо подкрепи одита на OSTIF.

Защо е важно да одитирате проекти с отворен код като OpenVPN

Проектите, свързани с поверителността и сигурността, все повече разчитат на софтуер с отворен код поради идеологически причини, проблеми с лицензирането и доверие.

Отвореният характер на софтуера позволява на всеки да види как работи и как да го компилира – и да контролира какво прави кодът.

В действителност обаче малко хора могат да преразгледат и разберат напълно кода и макар че известно злобно поведение е очевидно, уязвимостите и бъговете често отнемат години, за да бъдат забелязани.

Пълните прегледи на кодове са скъпи и трудни за изпълнение и въпреки че много хора и организации могат да разчитат на проект, е трудно да се координира пълен одит.

OSTIF реши да поеме плашещата задача, независимо. Дерек обяснява, че са били нужни трима изследователи 50 дни (или около 1000 часа), за да завършите прегледа. Одитираната от тях версия беше OpenVPN 2.4, защото включва някои значителни промени в кода и нови функции.

„OpenVPN е уникален софтуер, тъй като това е монолитен код с много функции, които трябва да са съвместими с по-старите версии.“

OSTIF разгледа предимно реализациите на Windows и Linux, защото те са най-запознати с потребителите и разработчиците.

„Освен това решихме да се съсредоточим върху всяка криптография, създадена от самия OpenVPN, и сигурността на приложението. Това означава да търсите логически грешки, грешки в разпределението на паметта, неправилно боравене с буфер или други неправилни уязвимости в състояние на грешка. “

OpenSSL, на който OpenVPN (заедно с PolarSSL) разчита „да захранва криптографията си“ не беше включен в одита и ще има свой отделен преглед. Има процъфтяващи бизнеси, които разчитат на OpenSSL или Nginx, и Дерек се надява да набере средства от тях.

За съжаление обаче, други мащабни софтуерни проекти за поверителност, като OTR, Signal или Tor, нямат търговски потребители, така че общността ще трябва да намери средства за финансиране на всички одити.

Намиране на финансиране за пълен одит на код

Преди това OSTIF беше опитал други средства, включително Kickstarter за набиране на средства. Сега Дерек има за цел да събере донори за всеки проект поотделно, като се надяваме да спечели повече доверие от страна на технологичната индустрия и общността в процеса. Надяваме се, че този подход ще даде възможност за по-големи проекти.

Одитът OpenVPN беше първият „широк“ одит, както казва Дерек, който OSTIF предприе. За разлика от предишния си очакван одит на Veracrypt (наследник на Truecrypt), OpenVPN има процъфтяваща общност от големи VPN доставчици, които са готови да дадат финансов принос.

„Бях изненадан от положителния отговор на общността и изливането на подкрепа за проекта. Наистина беше забележително! Много съм доволен от подкрепата на общността за проекта, но също така бях изненадан от броя на по-големите организации, които не отговориха на нашите запитвания или изобщо нямаха контактна точка за своето управление. “

Развиващата се индустрия за поверителност и сигурност

Въпреки че Дерек изглежда до голяма степен оптимист за бъдещето на онлайн сигурността и поверителността, той се притеснява от „черни кутии код“ и милиони по-стари, но все още активни системи без скорошни актуализации на защитата – особено в екосистемата Android.

Обратно, Apple влага огромни ресурси в сигурността. Въпреки това той казва, че Apple не отварят своите технологии. Вместо това те разчитат на сигурността на устройството си, за да поддържат нежеланите изследователи на злонамерен софтуер встрани – което е ненадеждна настройка.

Изглежда има много премеждия. В крайна сметка обаче Дерек и неговият екип вършат отлична услуга в интернет и поверителността на своите потребители. Но борбата далеч не е приключила:

„Многократно сме виждали чрез различни течове на правителствени агенции, че ако криптографията около информацията е добра, те няма да могат да я разбият масово. Този факт най-малкото деактивира формата на „слушане на всички“ за масово наблюдение, станала все по-разпространена през последните няколко години. Тъй като тези инструменти за поверителност продължават да се подобряват и криптовалутата става по-трудна за разбиване и по-лесно използване, ще видим значително увеличени усилия за атака и компрометиране на устройства. “