Rozhovor s tímom OSTIF, ktorý stojí za auditom OpenVPN

OSTIF vykonáva audit OpenVPN v prospech všetkých.

Contents

Práve ste dokončili bezpečnostný audit OpenVPN. Dvaja ľudia pracovali na tomto projekte takmer dva mesiace. Ako takýto audit funguje?

V skutočnosti skončilo to, že traja vedci pracovali na bezpečnostnej previerke celkom 50 dní (približne 1 000 hodín).

Keď plánujeme vykonať audit softvéru, je potrebné naplánovať časový harmonogram auditu, kto bude vykonávať prácu a ktoré oblasti softvéru pokryjeme..

Pokiaľ ide o OpenVPN, čakali sme na vydanie verzie OpenVPN 2.4, ktorá obsahovala niekoľko významných zmien kódu. Potom by sme mohli vyhodnotiť nové funkcie a veľa zmien pod kapotou.

Aktualizácie, ktoré obsahujú významné zmeny kódu, sú vhodné na vyhodnotenie softvéru, pretože chyby kódovania by mohli spôsobiť testovanie, alebo by cez trhliny mohli preniknúť regresie okrajových prvkov..

OpenVPN je jedinečný softvér, pretože ide o monolitický kód s množstvom funkcií, ktoré musia byť kompatibilné so staršími verziami. Zabezpečenie pôvodnej kompatibility spomaľuje proces kontroly zabezpečenia. Musíme sa orientovať skôr na komplexnú sieť funkcií než na modulárny dizajn, kde je možné aplikáciu hodnotiť v blokoch. OpenVPN sa pri kryptografii spolieha aj na dve rôzne knižnice (OpenSSL a PolarSSL), čo znamená, že existujú dve úplne odlišné krypto prostredia, ktoré zabezpečujú bezpečnosť.

Ešte ďalej je tu OpenVPN 3.0, čo je jedinečná verzia, ktorá nie je úplne otvoreným zdrojom. OpenVPN 3.0 bol vytvorený kvôli problémom s licenciami v obchode Apple App Store, ktorý zabraňuje bezplatnému softvéru v obchode. OpenVPN 3.0 kód sa používa pre OpenVPN Connect pre Android a iOS. Ak by sme mali vyhodnotiť celý tento ekosystém, trvalo by veľa výskumníkov mnoho mesiacov, kým by prešli všetkými týmito variantmi OpenVPN, a potom by museli zvážiť všetky rôzne konfigurácie siete a hardvéru, ktorým tieto rôzne aplikácie môžu čeliť. Zložitosť a náklady by boli obrovské.

Konzultovali sme s odborníkmi a spolupracovali sme s tímom OpenVPN a spoločnosťou QuarksLab, aby sme zistili, na čo sa treba zamerať. Bolo rozhodnuté, že OpenVPN 2.4 pre Windows a Linux pokryli najviac používateľov a urobili by to najlepšie. Väčšina komerčných poskytovateľov VPN používa kód OpenVPN 2.4 pre svojich vlastných klientov VPN kvôli licenčnej štruktúre okolo neho.

Tiež sme sa rozhodli zamerať sa na akúkoľvek kryptografiu vytvorenú samotnou OpenVPN a na bezpečnosť aplikácie. To znamená hľadanie logických chýb, chýb v prideľovaní pamäte, nesprávnom zaobchádzaní s vyrovnávacou pamäťou alebo iných chybných stavoch chybného stavu.

Samostatný audit OpenSSL by nám umožnil dôkladne vyhodnotiť samotnú kryptografiu OpenVPN, aby sa zabezpečilo, že kryptografia aj aplikácia sú spoľahlivé. Je dôležité vytvoriť bezpečnú a ťažko použiteľnú aplikáciu, aby ju mohli používatelia využívať.

Pokiaľ ide o skutočný audítorský proces, QuarksLab robí vynikajúcu prácu pri zdokumentovaní procesov a nástrojov používaných pri hodnotení softvéru. Naša práca sa zameriava na plánovanie rozsahu auditu a stanovenie dosiahnuteľných cieľov. Potom zhromaždíme komunity s otvoreným zdrojom, bezpečnosťou a súkromím v okolí, aby sme získali peniaze, aby sa to stalo.

Existujú nejaké prekvapujúce / pozoruhodné zistenia z vášho auditu, ktoré by ste nám teraz mohli zdieľať?

Sme vo fáze výpadku procesu auditu pre OpenVPN, takže nebudem môcť diskutovať o žiadnych podrobnostiach, ktoré by mohli naznačiť, čo sa týka výsledkov, ale čoskoro budú verejne dostupné. Čakáme na OpenVPN 2.4.2.

Čo je dôvodom takéhoto auditu? Ste upútaní na potenciálne bezpečnostné diery, alebo si len chcete bližšie pozrieť softvér, na ktorý sa pravidelne spoliehate?

Našou stratégiou ako organizácie je pokrývať rôzne oblasti bezpečnosti a súkromia a vyberať široko používané aplikácie.

VeraCrypt bol veľmi potrebným nástupcom TrueCrypt, na ktorý sa komunita veľmi spoliehala, ale ľudia, ktorí projekt realizovali, boli pomerne neznáme a preberali rozsiahly projekt so zložitým kódom. Logicky malo zmysel pristupovať k nemu ako k nášmu prvému auditu, pretože sme mohli vyhodnotiť zmeny v kóde, ktoré prešli do verzie TrueCrypt 7.1a, a porovnať ju so súčasnou verziou VeraCrypt. Tento úzky rozsah nám umožnil dramaticky znížiť náklady a ukázať ľuďom, že organizácia efektívne dosahuje výsledky.

OpenVPN je náš prvý „široký“ audit aplikácie. Vyžadovalo to omnoho väčší rozpočet, ale malo tiež veľkú komunitu poskytovateľov VPN (ktorí sami sú aktivátormi ochrany osobných údajov). Poskytovatelia VPN majú záujem o súkromie svojich používateľov a priamo sa týkajú bezpečnosti OpenVPN, čo nám umožnilo súčasne získavať finančné prostriedky z obchodných záujmov OpenVPN aj súkromných používateľov..

OpenSSL je opäť väčší, ale jeho podpora je všade okolo, pretože kód OpenSSL (a ďalšie knižnice z neho odvodené) oprávňuje okolo 70% z 1 000 000 webových stránok. To nám dáva veľa obchodných záujmov, ktoré môžeme požiadať o financovanie, aby sme pomohli vyhodnotiť OpenSSL 1.1.1, ktorá bude prvou verziou OpenSSL s novým kódom TLS 1.3..

Keď ideme ďalej dole, zoznam aplikácií plánujeme vykonať audit; získavanie finančných prostriedkov je ťažšie. Buď preto, že komunity, ktoré ich obklopujú, sú menšie, alebo preto, že neexistuje žiadny obchodný záujem na úspechu aplikácie.

Dúfame, že po opakovaných úspechoch sa nám podarí zaistiť väčších firemných sponzorov, čo nám umožní efektívnejšie nasmerovať prostriedky na tieto projekty bez spoliehania sa výlučne na malé verejné dary. Pomohlo by nám to tiež pri zriaďovaní našich ďalších programov, ktoré zahŕňajú prácu s projektmi na uľahčenie používania ich aplikácií, zlepšenie metód testovania a nástrojov a vytvorenie ľahko sledovateľných príručiek pre softvér na ochranu súkromia a zabezpečenia, ktoré podporujeme..

Stručne povedané, práve teraz je súčasťou väčšej stratégie podporovať jednu aplikáciu z každej hlavnej oblasti ochrany súkromia a bezpečnosti a potom odtiaľ expandovať. Naším kritériom je vnímaná sila softvéru v kombinácii s rozšíreným používaním.

Pre svoj projekt OpenVPN ste získali podporu prevažne z odvetvia VPN. Očakávali ste podporu aj mimo nej? Ako ste s touto podporou spokojní?

Od komunity sme tiež dostali veľkú podporu, a to formou ústneho aj priameho darcovstva.

Náš cieľ bol prekvapivo rýchlo prekonaný, pretože sme pôvodne verili, že 1-mesačné okno, ktoré sme vyčlenili na získavanie finančných prostriedkov, by bolo nedostatočné. V priebehu 20 dní sme však splnili náš cieľ a zvýšili sme podstatne viac, ako sa plánovalo. Tieto peniaze boli vyčlenené na program odplaty za chyby, ktorý sa má začať v lete / na jeseň.

Bol som prekvapený pozitívnou reakciou komunity a vyliatím podpory projektu. Bolo to skutočne pozoruhodné! Som veľmi spokojný s podporou projektu zo strany komunity, ale tiež som bol prekvapený počtom väčších organizácií, ktoré neodpovedali na naše otázky alebo nemali žiadny kontaktný bod pre ich riadenie..

Celkovo však dobré zisky prevažovali nad zlými a tešíme sa na spoluprácu so všetkými našimi podporovateľmi na iniciatívach OpenVPN aj mimo nej.!

Prešli ste z modelu získavania finančných prostriedkov so spoločnými zdrojmi k modelu priameho získavania finančných prostriedkov, v ktorom získavate finančné prostriedky pre každý projekt osobitne. Zdalo sa, že to fungovalo dobre pre projekt OpenVPN, v ktorom bol priemysel VPN s radosťou darovaný. Očakávate, že budúce projekty budú financované podobne, a ako to bude fungovať pre softvérové ​​projekty, ktoré ich neobsahujú komerčným odvetvím, ako je napríklad OTR?

Zmena vo finančnom modeli bola spôsobená spätnou väzbou od komunity, pokiaľ ide o šok zo samolepiek. Počas nášho prvého kola získavania finančných prostriedkov sme naplánovali rok aktivít a potom sme sa pokúsili financovať úsilie prostredníctvom programu KickStarter. To viedlo k finančným prekážkam, napríklad pri poskytovaní odmien za dary, poplatkoch za KickStarter a platobných službách, ktoré zbierajú peniaze z darov. Osem plánovaných projektov tiež posunulo cieľ dobre do miliónov dolárov. Ako nováčik v priemysle bez rekordných výsledkov, s obrovským množstvom peňazí a po niekoľkých významných zlyhaniach KickStarter bol od začiatku odsúdený na zánik.

Náš posun v stratégii znížil režijné náklady a čísla na zem a stanovil dosiahnuteľnejšie ciele, ale tiež si vyžaduje podstatne viac práce pre každú zbierku. Dúfame, že po vybudovaní dobrého mena zodpovednosti a účinnosti sa nám podarí zaistiť väčších darcov, čo nám umožní viac sa zamerať na to, ako sa deje, a menej na priame získavanie darov. Väčšie dary budú mať aj ďalšiu výhodu, pretože nám umožnia financovať menej komerčne zaujímavé projekty, ako sú OTR, Nginx, Tunnelblick a ďalšie..

Ako vidíte vývoj technológie na zvyšovanie súkromia a bezpečnosti? Najmä v súvislosti s mobilnými telefónmi a patentovanými systémami?

Opakovane sme boli svedkami rôznych únikov vládnych agentúr, že ak je kryptografia okolo informácií dobrá, nemôžu ju hromadne prelomiť..

Táto skutočnosť zakazuje prinajmenšom formu hromadného sledovania „počúvania na všetkých“, ktorá sa v posledných rokoch stala všadeprítomnou. Keďže sa tieto nástroje na ochranu osobných údajov neustále zdokonaľujú a šifrovanie sa stáva ťažšie rozbiť a ľahšie sa používa, vidíme podstatne väčšie úsilie pri útokoch a kompromise zariadení..

Existujú dôkazy o tom prostredníctvom masívneho odcudzenia kľúčov SIM karty s Gemaltom, obrovských zoznamov odcudzených RSA kľúčov v únikoch NSA, zadných vrát vložených do systémov Cisco a Juniper atď..

Komunita v oblasti bezpečnosti už dlho požaduje „plný balík“ kódu s otvoreným zdrojovým kódom obklopujúcim zariadenia, ktoré uchovávajú naše najviac súkromné ​​informácie. Najväčšou prekážkou v súčasnosti je financovanie a organizácia podpory, aby sa to skutočne stalo.

Zdá sa, že niektoré spoločnosti robia skvelú prácu na vlastnej strane, ale opakovane sme sa dozvedeli, že nemôžeme dôverovať čiernej skrinke kódu. Pozrite si tento prepad haldy v mesiacoch iOS: https://googleprojectzero.blogspot.com/2017/04/exception-oriented-exploitation-on-ios.html

Android má veľa problémov súvisiacich s ekosystémami, ktoré sa týkajú zaostávajúcich aktualizácií a vytvárajú milióny zraniteľných zariadení. Alebo spoločnosti z nedbalosti zastavia aktualizácie svojich telefónov po zastavení predaja. Potom sú tu ešte hlbšie problémy, ako napríklad zraniteľný rozhlasový firmvér Broadcom, ktorý nebude nikdy opravený, ako to nedávno preukázala služba Project Zero.

Skutočne otvorený zdrojový telefón je veľká otázka, ale určite sa môžeme pokúsiť posunúť komunitu s otvoreným zdrojom správnym smerom a vyvíjať kúsky skladačky nezávisle. Naozaj dúfam, že sa tam dostaneme, pretože súčasná situácia je neporiadok. Šokuje ma, že už neexistuje telefón Mirai, ktorý vyraďuje z mobilných telefónov po celom svete povodne údajov..

Spoločnosť Apple vydáva so svojimi proprietárnymi systémami veľa pozitívnych správ týkajúcich sa bezpečnosti a ochrany osobných údajov. Čo si myslíte, že projekty s otvoreným zdrojovým kódom budú hrať pri zavádzaní použiteľnej technológie pre masy pri súčasnom rešpektovaní práv používateľov?

Spoločnosť Apple vložila obrovské prostriedky do budovania telefónneho ekosystému, ktorý sa zameriava na bezpečnosť. Problém je v tom, že spoločnosť Apple neotvára zdrojovú technológiu, takže sa zaoberáme rovnakým problémom, ktorý zasahuje komerčný softvér, napríklad Windows.

Máme čiernu skrinku s miliónmi riadkov s kódom neznámej kvality, pričom všetky vzájomne spolupracujú známymi spôsobmi. Spoločnosť Apple sa spolieha na neschopnosť tvorcov škodlivého softvéru a výskumných pracovníkov v oblasti bezpečnosti spätne analyzovať ich kód a nájsť nedostatky. Súčasťou tejto motivácie je uzamknutie softvéru k telefónom, takže iOS je možné nainštalovať iba na originálny hardvér spoločnosti Apple. Ďalšou motiváciou je uzamknutie telefónov pred softvérom, takže si nemôžete kúpiť iPhone a nasadiť naň alternatívny operačný systém, pričom si zachováte svoju schopnosť vyberať peniaze prostredníctvom obchodu s aplikáciami v zajatím publiku..

Aby bolo jasné, odteraz robia objektívne lepšiu prácu ako spoločnosť Google, pokiaľ ide o všeobecnú bezpečnosť. Problém je v tom, že tejto čiernej skrinke nemožno dôverovať. Má chyby rovnako ako všetok softvér - tisíce chýb. Pretože tento softvér je chránený autorským právom a zdroj nie je k dispozícii, tieto chyby čakajú na objavenie bezpečnostným tímom spoločnosti Apple alebo kýmkoľvek iného na svete, ktorý ich nájde ako prvý.

Softvér Open Source je možné skontrolovať. Odstraňuje požiadavku „proste mi verte“, ktorú žiadna osoba, ktorá má záujem o súkromie, nemôže objektívne prijať.

Dúfam, že spoločnosť Google sa bude pohybovať v smere spoločnosti Apple tým, že aktualizácie budú vynútené na všetkých zariadeniach bez ohľadu na dodávateľa. Aby sa tak stalo, bude potrebné sprísniť hardvérové ​​požiadavky. Dúfam tiež, že dokážeme otvoriť zdrojový kód momentálne uzavretých častí firmvéru Google a súvisiacich ovládačov, aby sme mohli dôverovať úplnému zväzku, na ktorý sa telefón spolieha kvôli bezpečnosti. To by otvorilo riešenie, ktoré by mohlo viesť na trhu s dobrými postupmi v oblasti bezpečnosti a ochrany súkromia.

Pozeráte sa veľa na kód iných ľudí. Aké bežné chyby pozorujete? Aké chyby sú najbežnejšie?

Vlastne nevykonávam samotné bezpečnostné kontroly, to je ponechané zmluvným audítorom. Najbežnejšími problémami sú však problémy so správou pamäte a správne odstránenie údajov týkajúcich sa zabezpečenia, keď sa už nepoužívajú.

Ďalšou veľkou chybou je snaha napísať vlastnú kryptografiu. Je to veľmi zložité a existuje mnoho rôznych spôsobov, ako poraziť kryptografiu, ktorá bola vynájdená v posledných niekoľkých desaťročiach. Aby ste vytvorili silnú kryptografiu, musíte ich starostlivo zvážiť a dodržiavať mnoho noriem. Používanie už vyhovujúcich knižníc sa úplne vyhýba tomuto mínovému poľu.

Máte nejaké rady, ktoré by ste mohli zdieľať s mnohými kódovačmi, ktorí si prečítajú tento text??

Podporte iniciatívu týkajúcu sa zabezpečenia alebo ochrany osobných údajov na otvorenom zdroji. Dobrovoľníctvo vášho času a vedomostí ako programátora je nesmierne cenné, aj keď každý mesiac urobíte jeden záväzný projekt pre hodný projekt..

Súčet komunitných schopností a času prispieva k aplikáciám, ktoré môžu zmeniť internet a svet k lepšiemu. Ak nemáte zázemie zabezpečenia, poskytnite malý opakujúci sa dar organizácii, ktorá pomáha vytvárať a zlepšovať tieto nástroje a knižnice. Nehovorím iba o OSTIF, ale aj o Nadácii slobodného softvéru alebo o akýchkoľvek z tých darovacích tlačidiel, ktoré vidíte pri sťahovaní softvéru s otvoreným zdrojom..

Šokovalo by vás, koľko pár dolárov pomáha malým projektom fungovať a zlepšovať sa. Malé príspevky prispievajú k zlepšeniu digitálneho sveta pre nás všetkých.

Rozhovor s tímom OSTIF, ktorý stojí za auditom OpenVPN
admin Author
Sorry! The Author has not filled his profile.