Proton Technologies, na bumubuo ng isang secure na serbisyo sa email at VPN, tungkol sa pagbubukas Mga programa ng kliyente ng ProtonVPN para sa , , и (nakakantilever bukas sa simula). Ang code ay bukas sa ilalim ng lisensya ng GPLv3. Kasabay nito, ang mga ulat sa isang independiyenteng pag-audit ng mga application na ito ay nai-publish. Walang nakitang isyu sa panahon ng pag-audit na maaaring humantong sa pag-decryption ng trapiko ng VPN o pagtaas ng mga pribilehiyo.
Open sourced ang code bilang bahagi ng transparency initiative ng proyekto upang ma-verify ng mga independiyenteng eksperto na natutugunan ng code ang mga nakasaad na detalye at i-verify na ang mga pag-audit sa seguridad ay isinasagawa nang tama. Bilang bahagi ng pakikipagtulungan sa Mozilla, na isang bayad na serbisyo ng VPN, ang mga inhinyero ng Mozilla ay nagkaroon din ng access sa iba pang mga teknolohiya ng ProtonVPN para sa mga layunin ng pag-audit. Nabanggit na ang susunod na hakbang ay ang paglipat ng iba pang mga aplikasyon ng ProtonVPN sa bukas na kategorya.
Ang mga nakaraang insidente sa ProtonVPN ay kinabibilangan ng: sa aplikasyon para sa Windows, na nagpapahintulot sa isang user na itaas ang kanilang mga pribilehiyo sa system sa antas ng administrator (ang kahinaan ay sanhi ng maling interaksyon sa pagitan ng isang walang pribilehiyong GUI client at isang serbisyo ng system).
Natapos ang pag-audit ng application code ilang araw na ang nakalipas para sa Windows nagsiwalat ng presensya (dalawang medium at dalawang minor): pag-iimbak ng mga token at kredensyal ng session sa memorya ng proseso, mga VPN server key na paunang natukoy sa file ng pagsasaayos (hindi ginagamit para sa pagpapatunay), pagpapagana ng impormasyon sa pag-debug at pagtanggap ng mga koneksyon sa lahat ng mga interface ng network.
Sa bersyon para sa walang natukoy na mga kahinaan. Dalawang maliliit na isyu ang natagpuan sa bersyon ng iOS (Hindi ginagamit ang pagbubuklod ng sertipiko ng SSL at hindi hinaharangan ang operasyon sa mga jailbroken na device). Sa bersyon para sa Android apat na maliliit na problema (pagpapagana ng mga mensahe sa pag-debug, hindi pagharang sa mga backup gamit ang ADB utility, pag-encrypt ng mga setting gamit ang paunang natukoy na key, hindi pag-attach ng SSL certificate) at isang katamtamang kahinaan (hindi kumpletong pagwawakas ng session, na nagpapahintulot sa muling paggamit ng mga token ng session).
Ipaalala namin sa iyo na ang Proton Technologies ay itinatag ng ilang mananaliksik mula sa CERN (European Organization for Nuclear Research) at nakarehistro sa Switzerland, na may mahigpit na mga batas sa privacy na hindi nagpapahintulot sa mga ahensya ng paniktik na kontrolin ang impormasyon. Ang proyekto ng ProtonVPN ay nagbibigay ng isang mataas na antas ng seguridad ng channel ng komunikasyon (ang stream ay naka-encrypt gamit ang AES-256, ang pagpapalit ng susi ay isinasagawa batay sa 2048-bit na RSA key at HMAC, SHA-256 ay ginagamit para sa pagpapatunay, mayroong proteksyon laban sa mga pag-atake batay sa ugnayan ng mga stream ng data), tumangging panatilihin ang mga log at nakatuon hindi sa paggawa ng kita, ngunit sa pagpapabuti ng seguridad at privacy sa Web (ang proyekto ay pinondohan ng pondo ng FONGIT, suportado ng European Commission).
Pinagmulan: opennet.ru
