Bertemu OSTIF, penyokong privasi yang membuat internet lebih selamat dengan mengaudit kodnya

[ware_item id=33][/ware_item]

OSTIF sedang mengaudit OpenVPN untuk manfaat semua.


Ceramah ExpressVPN kepada Derek Zimmer: Presiden dan Ketua Pegawai Eksekutif Dana Peningkatan Teknologi Terbuka (OSTIF), mengenai organisasinya, audit OpenVPN, dan masa depan alat privasi internet.

Petikan (merah) yang diterbitkan dalam blog ini adalah coretan yang diambil dari wawancara penuh dengan Derek yang anda boleh baca sepenuhnya di sini.

ExpressVPN dengan bangganya menyokong audit OSTIF.

Mengapa penting untuk mengaudit projek sumber terbuka seperti OpenVPN

Projek yang berkaitan dengan keselamatan dan sedar dan keselamatan semakin bergantung kepada perisian sumber terbuka kerana sebab ideologi, isu pelesenan, dan kepercayaan.

Ia adalah sifat terbuka perisian yang membolehkan sesiapa sahaja melihat bagaimana ia berfungsi dan cara mengkompilinya-dan mengawal apa yang kod itu lakukan.

Sebenarnya, sesetengah orang boleh mengkaji semula dan memahami kod sepenuhnya, dan sementara beberapa kelakuan jahat adalah jelas, kelemahan dan pepijat sering mengambil masa bertahun-tahun untuk melihat.

Tinjauan kod penuh mahal dan sukar dilakukan, dan sementara banyak orang dan organisasi mungkin bergantung pada projek, sukar untuk menyelaraskan audit penuh.

OSTIF memutuskan untuk mengambil tugas yang menakutkan, tanpa mengira. Derek menjelaskan bahawa ia mengambil masa tiga penyelidik 50 hari (atau sekitar 1000 jam) untuk menyiapkan ulasan. Versi yang diaudit adalah OpenVPN 2.4 kerana ia termasuk beberapa perubahan kod penting dan ciri-ciri baru.

"OpenVPN adalah perisian unik, kerana ia adalah kod monolitik dengan banyak ciri yang mesti serasi dengan versi yang lebih lama."

OSTIF kelihatan terutamanya pada pelaksanaan Windows dan Linux kerana mereka yang paling biasa dengan pengguna dan pemaju.

"Kami juga memutuskan untuk memberi tumpuan kepada apa-apa kriptografi yang dibuat oleh OpenVPN sendiri, dan keselamatan permohonan itu. Ini bermakna mencari kesalahan logik, kesilapan peruntukan memori, pengendalian penampan yang tidak wajar, atau kelemahan keadaan kesilapan yang lain. "

OpenSSL, di mana OpenVPN (bersama-sama dengan PolarSSL) bergantung kepada "untuk menggerakkan kriptografinya" tidak dimasukkan dalam audit dan akan mempunyai ulasan berasingan sendiri. Terdapat perniagaan yang berkembang maju yang bergantung kepada OpenSSL atau Nginx, dan Derek berharap dapat mengumpul dana daripada mereka.

Malangnya, projek perisian privasi berskala besar lainnya, seperti OTR, Isyarat, atau Tor tidak mempunyai pengguna komersial yang diberi hak, maka masyarakat perlu mencari cara untuk membiayai sendiri audit.

Mencari pembiayaan untuk audit kod penuh

Sebelum ini, OSTIF telah cuba cara lain, termasuk Kickstarter untuk mengumpul dana. Sekarang, Derek berhasrat untuk mengumpul para penderma untuk setiap projek secara individu, dengan harapan dapat memperoleh lebih banyak kepercayaan dari industri teknologi dan masyarakat dalam proses tersebut. Diharap pendekatan ini akan memberi keupayaan untuk mengambil projek yang lebih besar.

Audit OpenVPN adalah audit pertama yang "luas", seperti yang dijelaskan oleh Derek, yang dilakukan oleh OSTIF. Tidak seperti pemeriksaan Veracrypt (pengganti Truecrypt) sebelum ini, OpenVPN mempunyai komuniti yang berkembang pesat dengan penyedia VPN besar yang bersedia menyumbang secara kewangan.

"Saya terkejut dengan sambutan positif masyarakat dan pencapaian sokongan projek. Ia benar-benar luar biasa! Saya sangat gembira dengan sokongan komuniti untuk projek itu, tetapi juga terkejut dengan bilangan organisasi yang lebih besar yang tidak menjawab pertanyaan kami atau tidak mempunyai sebarang hubungan sama sekali untuk pengurusan mereka. "

Industri privasi dan keselamatan yang berkembang

Walaupun Derek nampaknya optimis mengenai masa depan keselamatan dan privasi dalam talian, beliau bimbang tentang "kotak hitam kod" dan berjuta-juta lebih tua, namun aktif, sistem tanpa kemas kini keselamatan baru-baru ini-khususnya dalam ekosistem Android.

Sebaliknya, Apple meletakkan sumber yang luar biasa dalam keselamatan. Bagaimanapun, katanya, Apple tidak membuka sumber teknologi mereka. Sebaliknya, mereka bergantung pada keselamatan peranti mereka untuk menjaga para penyelidik malware yang tidak diingini di mana-mana persediaan yang tidak boleh dipercayai.

Nampaknya ada banyak kesukaran untuk dihadapi. Akhirnya, Derek dan pasukannya melakukan perkhidmatan yang sangat baik ke internet dan privasi para penggunanya. Tetapi perjuangan itu jauh daripada berakhir:

"Kami telah berulang kali melihat melalui pelbagai kebocoran agensi kerajaan bahawa jika kriptografi di sekitar maklumat itu baik, mereka tidak boleh memecahkannya secara beramai-ramai. Fakta ini sekurang-kurangnya melumpuhkan "pengawasan di semua orang" bentuk pengawasan besar-besaran yang telah meluas dalam beberapa tahun kebelakangan ini. Oleh kerana alat-alat privasi ini terus bertambah baik dan crypto menjadi lebih sukar untuk dipecahkan dan lebih mudah digunakan, kami akan melihat usaha meningkat dengan ketara untuk menyerang dan mengompromi peranti. "

Bertemu OSTIF, penyokong privasi yang membuat internet lebih selamat dengan mengaudit kodnya
admin Author
Sorry! The Author has not filled his profile.