Zoznámte sa s organizáciou OSTIF, ktorá sa zasadzuje o ochranu súkromia a ktorá robí internet bezpečnejším auditom jeho kódu

ExpressVPN hovorí s Derekom Zimmerom: prezidentom a generálnym riaditeľom Fondu pre zlepšovanie technológií otvorených zdrojov (OSTIF), o jeho organizácii, audite OpenVPN a budúcnosti nástrojov na ochranu súkromia na internete..

Citácie (v červenej farbe) uverejnené v tomto blogu sú úryvky z celého rozhovoru s Derekom, ktoré si môžete prečítať v plnom znení tu.

ExpressVPN hrdo podporil audit OSTIF.

Prečo je dôležité auditovať projekty s otvoreným zdrojovým kódom, ako je OpenVPN

Projekty zamerané na ochranu súkromia a súvisiace s bezpečnosťou sa čoraz viac spoliehajú na softvér s otvoreným zdrojom z ideologických dôvodov, problémov s licenciou a dôvery.

Je to otvorená povaha softvéru, ktorá každému umožňuje vidieť, ako to funguje a ako ho zostaviť – a udržať kontrolu nad tým, čo kód robí.

V skutočnosti však málokto dokáže kód úplne skontrolovať a porozumieť mu, a hoci je zjavné určité nebezpečenstvo, zraniteľné miesta a chyby sa často vyskytujú roky.

Úplné kontroly kódu sú nákladné a je ťažké ich vykonať, a hoci sa veľa ľudí a organizácií môže spoliehať na projekt, je ťažké koordinovať úplný audit.

OSTIF sa rozhodol prevziať skľučujúcu úlohu bez ohľadu na to. Derek vysvetľuje, že potrebovali troch vedcov 50 dní (alebo približne 1 000 hodín) na dokončenie kontroly. Verzia, ktorú kontrolovali, bola OpenVPN 2.4, pretože obsahuje niekoľko významných zmien kódu a nové funkcie.

„OpenVPN je jedinečný softvér, pretože ide o monolitický kód s množstvom funkcií, ktoré musia byť kompatibilné so staršími verziami.“

OSTIF sa zaoberal predovšetkým implementáciou Windows a Linuxu, pretože pozná používateľov a vývojárov najviac.

„Rozhodli sme sa tiež zamerať sa na každú kryptografiu vytvorenú samotnou OpenVPN a na bezpečnosť aplikácie. To znamená hľadať logické chyby, chyby pridelenia pamäte, nesprávne zaobchádzanie s vyrovnávacou pamäťou alebo iné nevhodné chyby chybového stavu. “

OpenSSL, na ktorý sa OpenVPN (spolu s PolarSSL) spolieha „na výkon svojej kryptografie“, nebol zahrnutý do auditu a bude mať vlastnú samostatnú kontrolu. Existujú prosperujúce podniky, ktoré sa spoliehajú na OpenSSL alebo Nginx, a Derek dúfa, že z nich získa prostriedky.

Iné veľké softvérové ​​projekty na ochranu súkromia, ako napríklad OTR, Signal alebo Tor, bohužiaľ nemajú oprávnených komerčných používateľov, takže komunita bude musieť nájsť spôsob, ako financovať akékoľvek audity sama..

Nájdenie finančných prostriedkov na audit úplného kódu

Predtým sa OSTIF snažil získať ďalšie prostriedky, vrátane Kickstarter. Teraz sa Derek zameriava na zhromažďovanie darcov pre každý projekt individuálne, dúfajme, že v tomto procese získa väčšiu dôveru zo strany technického priemyslu a komunity. Dúfa sa, že tento prístup umožní realizovať väčšie projekty.

Ako uviedol Derek, audit OpenVPN bol prvým „širokým“ auditom, ktorý sa OSTIF zaviazal. Na rozdiel od predchádzajúceho vysoko očakávaného auditu Veracrypt (nástupca Truecrypt) má OpenVPN prosperujúcu komunitu veľkých poskytovateľov VPN, ktorí sú ochotní finančne prispievať..

„Bol som prekvapený pozitívnou reakciou komunity a vyliatím podpory projektu. Bolo to skutočne pozoruhodné! Som veľmi spokojný s podporou tohto projektu zo strany komunity, ale tiež som bol prekvapený počtom väčších organizácií, ktoré neodpovedali na naše otázky alebo nemali žiadny kontaktný bod pre ich riadenie. “

Rozvíjajúce sa odvetvie súkromia a bezpečnosti

Aj keď sa zdá, že Derek je do značnej miery optimistický, pokiaľ ide o budúcnosť online bezpečnosti a súkromia, obáva sa „čiernych skriniek kódu“ a miliónov starších, ale aktívnych systémov bez nedávnych aktualizácií zabezpečenia – najmä v ekosystéme Android..

Spoločnosť Apple naopak zvyšuje bezpečnosť prostriedkov. Apple však hovorí, že ich technológiu neotvárajú open source. Namiesto toho sa spoliehajú na zabezpečenie svojho zariadenia, aby nechali výskumných pracovníkov v oblasti škodlivého softvéru na dosah – čo je nedôveryhodné nastavenie.

Zdá sa, že čelí mnohým utrpeniam. Nakoniec však Derek a jeho tím poskytujú vynikajúce služby na internete a na ochranu súkromia svojich používateľov. Boj však ešte zďaleka nekončí:

„Opakovane sme videli rôzne úniky vládnych agentúr, že ak je kryptografia okolo informácií dobrá, nemôžu ju hromadne zlomiť. Táto skutočnosť zakazuje prinajmenšom formu hromadného sledovania „počúvania na všetkých“, ktorá sa v posledných rokoch stala všadeprítomnou. Keďže tieto nástroje na ochranu osobných údajov sa neustále zdokonaľujú a šifrovanie sa stáva ťažšie rozbiť a ľahšie sa používa, vidíme podstatne väčšie úsilie pri útokoch a kompromise zariadení. ““