Proton Technologies, care dezvoltă un serviciu de e-mail securizat și VPN, despre deschidere Programe client ProtonVPN pentru , , и (în consolă deschis initial). Codul este deschis sub licența GPLv3. În același timp, au fost publicate rapoarte privind un audit independent al acestor aplicații. În timpul auditului, nu au fost găsite probleme care ar putea duce la decriptarea traficului VPN sau la escaladarea privilegiilor.
Codul este open source ca parte a unei inițiative de transparență a proiectului, astfel încât experții independenți să poată verifica dacă codul îndeplinește specificațiile declarate și să verifice dacă auditurile de securitate sunt efectuate corect. Ca parte a cooperării cu Mozilla, care un serviciu VPN plătit, inginerii Mozilla au avut și acces la alte tehnologii ProtonVPN pentru audit. Se observă că următorul pas va fi transferul altor aplicații ProtonVPN la categoria deschisă.
Incidentele anterioare cu ProtonVPN includ: în cererea pentru Windows, care permitea unui utilizator să își ridice privilegiile de sistem la nivel de administrator (vulnerabilitatea era cauzată de interacțiunea incorectă dintre un client GUI neprivilegiat și un serviciu de sistem).
Auditul codului aplicației s-a finalizat acum câteva zile pentru Windows a dezvăluit prezența (două medii și două minore): stocarea jetoanelor de sesiune și a acreditărilor în memoria procesului, chei de server VPN predefinite în fișierul de configurare (nu sunt utilizate pentru autentificare), activarea informațiilor de depanare și acceptarea conexiunilor pe toate interfețele de rețea.
În versiunea pentru nu au fost identificate vulnerabilități. Două probleme minore găsite în versiunea iOS (Nu se utilizează legarea certificatului SSL și nu se blochează funcționarea pe dispozitivele cu jailbreak). În versiunea pentru Android patru probleme minore (activarea mesajelor de depanare, neblocarea backup-urilor folosind utilitarul ADB, criptarea setărilor cu o cheie predefinită, neatașarea unui certificat SSL) și o vulnerabilitate moderată (încheierea incompletă a sesiunii, permițând reutilizarea jetoanelor de sesiune).
Să vă reamintim că Proton Technologies a fost fondată de mai mulți cercetători de la CERN (Organizația Europeană pentru Cercetare Nucleară) și este înregistrată în Elveția, care are legi stricte de confidențialitate care nu permit agențiilor de informații să controleze informațiile. Proiectul ProtonVPN oferă un nivel ridicat de securitate a canalului de comunicație (fluxul este criptat folosind AES-256, schimbul de chei se realizează pe baza cheilor RSA de 2048 de biți și HMAC, SHA-256 este folosit pentru autentificare, există protecție împotriva atacurilor bazate pe privind corelarea fluxurilor de date), refuză să păstreze jurnalele și se concentrează nu pe obținerea de profit, ci pe îmbunătățirea securității și confidențialității pe Web (proiectul este finanțat de fondul FONGIT, susținut de Comisia Europeană).
Sursa: opennet.ru
