Proton Technologies, sing ngembangake layanan email lan VPN sing aman, bab pambuka Program klien ProtonVPN kanggo , , и (kantil mbukak wiwitan). Kode iki mbukak miturut lisensi GPLv3. Ing wektu sing padha, laporan babagan audit independen saka aplikasi kasebut diterbitake. Ora ana masalah sing ditemokake sajrone audit sing bisa nyebabake dekripsi lalu lintas VPN utawa eskalasi hak istimewa.
Kode kasebut mbukak sumber minangka bagean saka inisiatif transparansi proyek supaya para ahli independen bisa verifikasi manawa kode kasebut cocog karo spesifikasi sing wis kasebut lan verifikasi manawa audit keamanan ditindakake kanthi bener. Minangka bagéan saka kerjasama karo Mozilla, kang layanan VPN sing mbayar, insinyur Mozilla uga nduweni akses menyang teknologi ProtonVPN liyane kanggo tujuan audit. Kacathet yen langkah sabanjure yaiku transfer aplikasi ProtonVPN liyane menyang kategori mbukak.
Kedadeyan sadurunge karo ProtonVPN kalebu: ing aplikasi kanggo Windows, sing ngidini pangguna kanggo ngunggahake hak istimewa sistem menyang tingkat administrator (kerentanan kasebut disebabake dening interaksi sing salah antarane klien GUI sing ora duwe hak istimewa lan layanan sistem).
Audit kode aplikasi wis rampung sawetara dina kepungkur kanggo Windows nuduhake anane (loro medium lan loro suntingan): nyimpen token sesi lan Diverifikasi ing memori proses, tombol server VPN wis disetel ing file konfigurasi (ora digunakake kanggo otentikasi), mbisakake informasi debugging lan nrima sambungan ing kabeh antarmuka jaringan.
Ing versi kanggo ora ana kerentanan sing diidentifikasi. Loro masalah cilik sing ditemokake ing versi iOS (Pengikatan sertifikat SSL ora digunakake lan operasi ing piranti sing wis di-jailbreak ora diblokir). Ing versi kanggo Android papat masalah cilik (ngaktifake pesen debug, ora ngalangi serep nggunakake sarana ADB, setelan enkripsi karo tombol sing wis ditemtokake, ora masang sertifikat SSL) lan siji kerentanan moderat (mandheg sesi ora lengkap, ngidini nggunakake maneh token sesi).
Ayo ngelingake sampeyan manawa Proton Technologies didegake dening sawetara peneliti saka CERN (Organisasi Eropa kanggo Riset Nuklir) lan didaftar ing Swiss, sing nduweni hukum privasi sing ketat sing ora ngidini agensi intelijen ngontrol informasi. Proyek ProtonVPN nyedhiyakake tingkat keamanan saluran komunikasi sing dhuwur (stream dienkripsi nggunakake AES-256, ijol-ijolan kunci ditindakake adhedhasar tombol RSA 2048-bit lan HMAC, SHA-256 digunakake kanggo otentikasi, ana perlindungan marang serangan adhedhasar ing korélasi saka lepen data), nolak kanggo tetep log lan fokus ora kanggo nggawe MediaWiki, nanging kanggo nambah keamanan lan privasi ing Web (proyèk iki didanai dening dana FONGIT, didhukung dening Komisi Eropah).
Source: opennet.ru
