Proton Technologies, e cila zhvillon një shërbim të sigurt email dhe VPN, në lidhje me hapjen Programet e klientit ProtonVPN për , , О (me konsol hapet fillimisht). Kodi është i hapur nën licencën GPLv3. Në të njëjtën kohë, u publikuan raporte për një auditim të pavarur të këtyre aplikacioneve. Gjatë auditimit nuk u gjetën probleme që mund të çonin në deshifrimin e trafikut VPN ose në përshkallëzim të privilegjeve.
Kodi është me burim të hapur si pjesë e një nisme për transparencën e projektit në mënyrë që ekspertë të pavarur të mund të verifikojnë nëse kodi plotëson specifikimet e deklaruara dhe të verifikojnë që auditimet e sigurisë janë duke u kryer në mënyrë korrekte. Si pjesë e bashkëpunimit me Mozilla-n, e cila një shërbim me pagesë VPN, inxhinierët e Mozilla-s kishin gjithashtu akses në teknologji të tjera ProtonVPN për qëllime auditimi. Vihet re se hapi tjetër do të jetë transferimi i aplikacioneve të tjera ProtonVPN në kategorinë e hapur.
Incidentet e mëparshme me ProtonVPN përfshijnë: në aplikimin për Windows, i cili i lejonte një përdoruesi të ngrinte privilegjet e sistemit të tij në nivelin e administratorit (vulnerabiliteti u shkaktua nga bashkëveprimi i gabuar midis një klienti GUI pa privilegje dhe një shërbimi sistemi).
Auditimi i kodit të aplikacionit përfundoi disa ditë më parë për Windows zbuloi praninë (dy të mesme dhe dy të vogla): ruajtja e shenjave dhe kredencialeve të sesionit në kujtesën e procesit, çelësat e serverit VPN të paracaktuar në skedarin e konfigurimit (që nuk përdoren për vërtetim), duke mundësuar korrigjimin e informacionit dhe pranimin e lidhjeve në të gjitha ndërfaqet e rrjetit.
Në versionin për nuk janë identifikuar dobësi. Dy probleme të vogla u gjetën në versionin iOS (Lidhja e certifikatës SSL nuk përdoret dhe funksionimi në pajisjet e bllokuara nuk bllokohet). Në versionin për Android katër probleme të vogla (mundësimi i mesazheve të korrigjimit, mos bllokimi i kopjeve rezervë duke përdorur programin ADB, enkriptimi i cilësimeve me një çelës të paracaktuar, mos bashkëngjitja e një certifikate SSL) dhe një cenueshmëri e moderuar (përfundimi jo i plotë i sesionit, duke lejuar ripërdorimin e shenjave të sesionit).
Kujtojmë se Proton Technologies është themeluar nga disa studiues të CERN (Organizata Evropiane për Kërkime Bërthamore) dhe është e regjistruar në Zvicër, e cila ka ligje të rrepta për privatësinë që nuk lejojnë agjencitë e inteligjencës të kontrollojnë informacionin. Projekti ProtonVPN siguron një nivel të lartë të sigurisë së kanalit të komunikimit (transmetimi është i koduar duke përdorur AES-256, shkëmbimi i çelësave kryhet bazuar në çelësat RSA 2048-bit dhe HMAC, SHA-256 përdoret për vërtetim, ka mbrojtje kundër sulmeve të bazuara mbi korrelacionin e rrjedhave të të dhënave), refuzon të mbajë regjistrat dhe është i fokusuar jo në fitimin, por në përmirësimin e sigurisë dhe privatësisë në ueb (projekti financohet nga fondi FONGIT, i mbështetur nga Komisioni Evropian).
Burimi: opennet.ru
