Spoznajte OSTIF, zagovornike zasebnosti, ki z revizijo njegove kode naredijo internet varnejši

OSTIF revidira OpenVPN v korist vseh.

ExpressVPN se pogovarja z Derekom Zimmerjem: predsednikom in izvršnim direktorjem Sklada za izboljšanje odprtokodnih tehnologij (OSTIF) o njegovi organizaciji, reviziji OpenVPN in prihodnosti orodij za zasebnost interneta.

Citati (rdeče), objavljeni na tem blogu, so odlomki iz celotnega intervjuja z Derekom, ki si ga lahko v celoti preberete tukaj.

ExpressVPN ponosno podprl revizijo OSTIF.

Zakaj je pomembno revidirati odprtokodne projekte, kot je OpenVPN

Projekti, ki se zavedajo zasebnosti in varnosti, se zaradi ideoloških razlogov, težav z licencami in zaupanja vedno bolj zanašajo na programsko opremo odprtega koda.

Odprta narava programske opreme omogoča vsakemu, da vidi, kako deluje in kako se sestavi - in nadzira, kaj počne koda.

V resnici pa le malo ljudi lahko v celoti pregleda in razume kodo, in čeprav je nekaj zloglasnega vedenja očitno, so ranljivosti in napake pogosto potrebne leta, da opazijo.

Pregledi celotne kode so dragi in jih je težko izvesti, in čeprav se mnogi ljudje in organizacije lahko zanesejo na projekt, je težko uskladiti celoten pregled.

OSTIF se je odločil, da bo prevzel zastrašujočo nalogo, ne glede na to. Derek pojasnjuje, da so potrebovali tri raziskovalce 50 dni (ali približno 1000 ur) za dokončanje pregleda. Različica, ki so jo revidirali, je bila OpenVPN 2.4, ker vključuje nekatere pomembne spremembe kode in nove funkcije.

"OpenVPN je edinstven del programske opreme, saj je monolitna koda z veliko funkcijami, ki morajo biti združljive s starejšimi različicami."

OSTIF se je osredotočil predvsem na implementacije sistema Windows in Linux, ker jih uporabniki in razvijalci najbolj poznajo.

»Odločili smo se tudi za kriptografijo, ki jo je ustvaril OpenVPN, in varnost aplikacije. To pomeni iskanje logičnih napak, napak pri razporeditvi pomnilnika, nepravilnega ravnanja z medpomnilnikom ali drugih nepravilnih ranljivosti stanja napak. "

OpenSSL, na katerega se OpenVPN (skupaj s PolarSSL) zanaša, da "napaja kriptografijo", ni bil vključen v revizijo in bo imel svoj ločen pregled. Obstajajo uspešna podjetja, ki se zanašajo na OpenSSL ali Nginx, in Derek upa, da bo zbral sredstva za njih.

Na žalost pa drugi obsežni projekti programske opreme za zasebnost, kot so OTR, Signal ali Tor, nimajo komercialnih uporabnikov, zato bo skupnost morala sama najti sredstva za financiranje revizij..

Iskanje financiranja za celotno revizijo kode

Pred tem je OSTIF poskusil z drugimi sredstvi, vključno s Kickstarterjem, da bi zbral sredstva. Zdaj je namen Dereka zbrati donatorje za vsak projekt posebej, upajmo, da bo v tem procesu pridobil več zaupanja tehnološke industrije in skupnosti. Upamo, da bo ta pristop omogočil večjo izvedbo projektov.

Kot je dejal Derek, je bila revizija OpenVPN prva "široka" revizija, ki jo je opravil OSTIF. Za razliko od prejšnje zelo pričakovane revizije Veracrypta (naslednika Truecrypta) ima OpenVPN uspešna skupnost velikih ponudnikov VPN, ki so pripravljeni finančno prispevati.

»Bil sem presenečen nad pozitivnim odzivom skupnosti in izlivom podpore projektu. Resnično je bilo izjemno! Zelo sem vesel podpore skupnosti za projekt, bil pa sem tudi presenečen nad številom večjih organizacij, ki se niso odzvale na naša vprašanja ali niso imele nobene kontaktne točke za svoje vodenje. "

Razvija se industrija zasebnosti in varnosti

Medtem ko se Derek zdi večinoma optimističen glede prihodnosti spletne varnosti in zasebnosti, ga skrbijo »črne škatle kode« in milijoni starejših, a še vedno aktivnih sistemov brez zadnjih varnostnih posodobitev - zlasti v Android ekosistemu.

Apple pa obratno vlaga ogromna sredstva v varnost. Vendar pravi, da Apple ne odpira svoje tehnologije. Namesto tega se zanašajo na varnost svojih naprav, da bodo neželene raziskovalce zlonamerne programske opreme ohranili na razpolago - kar je nezanesljiva nastavitev.

Zdi se, da se je treba spoprijeti z veliko težavami. Navsezadnje pa Derek in njegova ekipa odlično služita internetu in zasebnosti svojih uporabnikov. Toda boj še zdaleč ni končan:

"Že večkrat smo opazili, da različna vladna agencija pušča, da kriptografija okoli informacij je dobra, je ne morejo množično razbiti. To dejstvo vsaj onemogoča obliko množičnega nadzora "poslušanja vseh", ki je v zadnjih nekaj letih postala razširjena. Ker se ta orodja za varovanje zasebnosti še naprej izboljšujejo in se kriptovalute vse težje zlomijo in lažje uporabljajo, bomo opazno povečali prizadevanja za napadanje in ogrožanje naprav. "

Spoznajte OSTIF, zagovornike zasebnosti, ki z revizijo njegove kode naredijo internet varnejši
admin Author
Sorry! The Author has not filled his profile.