Η Proton Technologies, μια εταιρεία που αναπτύσσει μια ασφαλή υπηρεσία email και VPN, σχετικά με το άνοιγμα Προγράμματα-πελάτες ProtonVPN για , , и (προεξέχον (ανοίχτηκε αρχικά). Ο κώδικας είναι ανοιχτός με την άδεια GPLv3. Ταυτόχρονα, δημοσιεύθηκαν αναφορές για έναν ανεξάρτητο έλεγχο των συγκεκριμένων εφαρμογών. Κατά τη διάρκεια του ελέγχου δεν εντοπίστηκαν προβλήματα που θα μπορούσαν να οδηγήσουν σε αποκρυπτογράφηση της κίνησης VPN ή κλιμάκωση δικαιωμάτων.
Ο κώδικας είναι ανοιχτού κώδικα στο πλαίσιο μιας πρωτοβουλίας διαφάνειας έργου, η οποία επιτρέπει σε ανεξάρτητους εμπειρογνώμονες να επαληθεύουν ότι ο κώδικας πληροί τις δηλωμένες προδιαγραφές και ότι οι έλεγχοι ασφαλείας έχουν διεξαχθεί σωστά. Στο πλαίσιο συνεργασίας με την Mozilla, η οποία Επί πληρωμή υπηρεσία VPN, οι μηχανικοί της Mozilla έλαβαν επίσης πρόσβαση σε άλλες τεχνολογίες ProtonVPN για έλεγχο. Σημειώνεται ότι το επόμενο βήμα θα είναι η μεταφορά των υπόλοιπων εφαρμογών ProtonVPN στην ανοιχτή κατηγορία.
Προηγούμενα περιστατικά που αφορούσαν το ProtonVPN περιλαμβάνουν: στην αίτηση για Windows, το οποίο επέτρεπε σε έναν χρήστη να αναβαθμίσει τα δικαιώματα συστήματος σε επίπεδο διαχειριστή (το θέμα ευπάθειας προκλήθηκε από εσφαλμένη αλληλεπίδραση μεταξύ ενός μη προνομιούχου προγράμματος-πελάτη GUI και μιας υπηρεσίας συστήματος).
Ο έλεγχος κώδικα εφαρμογής ολοκληρώθηκε πριν από λίγες ημέρες για Windows αποκάλυψε την παρουσία (δύο μεσαία και δύο δευτερεύοντα): αποθήκευση διακριτικών περιόδου σύνδεσης και διαπιστευτηρίων στη μνήμη διεργασίας, προκαθορισμένα κλειδιά διακομιστή VPN στο αρχείο διαμόρφωσης (δεν χρησιμοποιούνται για έλεγχο ταυτότητας), ενεργοποίηση πληροφοριών εντοπισμού σφαλμάτων και αποδοχή συνδέσεων σε όλες τις διεπαφές δικτύου.
Στην έκδοση για Δεν βρέθηκαν ευπάθειες. Εντοπίστηκαν δύο μικρές ευπάθειες στην έκδοση iOS. (Δεν χρησιμοποιείται σύνδεση πιστοποιητικού SSL και η λειτουργία σε συσκευές με jailbroken δεν αποκλείεται). Στην έκδοση για Android τέσσερα δευτερεύοντα προβλήματα (ενεργοποιημένα μηνύματα εντοπισμού σφαλμάτων, μη κλείδωμα αντιγράφων ασφαλείας μέσω ADB, ρυθμίσεις κρυπτογραφημένες με προκαθορισμένο κλειδί, μη σύνδεση πιστοποιητικού SSL) και μία μέτρια ευπάθεια (ατελής τερματισμός περιόδου σύνδεσης που επιτρέπει την επαναχρησιμοποίηση διακριτικών περιόδου σύνδεσης).
Ας υπενθυμίσουμε ότι η Proton Technologies ιδρύθηκε από διάφορους ερευνητές του CERN (Ευρωπαϊκού Οργανισμού Πυρηνικών Ερευνών) και είναι εγγεγραμμένη στην Ελβετία, η οποία έχει αυστηρούς νόμους περί απορρήτου που δεν επιτρέπουν στις υπηρεσίες πληροφοριών να παρακολουθούν πληροφορίες. Το έργο ProtonVPN παρέχει υψηλό επίπεδο προστασίας καναλιών επικοινωνίας (η ροή κρυπτογραφείται χρησιμοποιώντας AES-256, η ανταλλαγή κλειδιών βασίζεται σε κλειδιά RSA 2048-bit και HMAC, το SHA-256 χρησιμοποιείται για έλεγχο ταυτότητας, υπάρχει προστασία από επιθέσεις που βασίζονται στη συσχέτιση των ροών δεδομένων), αρνείται να διατηρεί αρχεία καταγραφής και επικεντρώνεται όχι στην επίτευξη κέρδους, αλλά στην αύξηση της ασφάλειας και της ιδιωτικότητας στον Ιστό (το έργο χρηματοδοτείται από το ίδρυμα FONGIT, με την υποστήριξη της Ευρωπαϊκής Επιτροπής).
Πηγή: opennet.ru
