Наскоро компанията Протонни технологии обяви откриването на изходния код за клиентски програми ProtonVPN за Windows, macOS, Android и iOS (първоначално беше отворен клиент на Linux конзола). Кодът е отворен под лиценза GPLv3. По същото време бяха публикувани доклади за независимия одит от тези приложения, в които не са открити проблеми, които биха могли да доведат до дешифриране на VPN трафик или увеличени привилегии по време на одита.
За тези, които не знаят ProtonVPN те трябва да знаят това е доставчик на услуги за виртуална частна мрежа (VPN), управлявана от швейцарската компания Proton Technologies AG, компанията, която стои зад услугата за електронна поща ProtonMail.
ProtonVPN използва OpenVPN (UDP / TCP) и протокола IKEv2, с AES-256 криптиране. Компанията има строга политика за не-регистриране на данни за потребителски връзки и също така предотвратява изтичането на DNS и Web-RTC от излагане на истинските IP адреси на потребителите.
ProtonVPN включва и поддръжка за достъп до Tor и ключ за убиване, за да затворите достъпа до Интернет в случай на загуба на VPN връзка.
Proton Technologies е основана от няколко изследователи от ЦЕРН (Европейска организация за ядрени изследвания) и е регистрирана в Швейцария, която има строго законодателство в областта на защитата на неприкосновеността на личния живот, което не позволява на разузнавателните агенции да контролират информацията.
Проектът ProtonVPN осигурява високо ниво на защита на комуникационния канал използвайки AES-256, обменът на ключове се основава на RSA 2048-битови ключове и HMAC, SHA-256 се използва за удостоверяване, има защита срещу атаки, базирани на корелация на потока от данни), отказва да води записи и се фокусира не върху печалбата, а за повишаване на безопасността и поверителност в мрежата (Проектът се финансира от фонда FONGIT, подкрепен от Европейската комисия).
ProtonVPN отива с отворен код
Отключване на кода от ProtonVPN е отворен като част от инициатива за осигуряване на прозрачност на проекта така че независимите експерти да могат да проверят дали кодът отговаря на установените спецификации и да проверят коректността на одита за сигурност.
Щастливи сме, че сме първият доставчик на VPN, който отваря приложения с изходен код на всички платформи (Windows, macOS, Android и iOS) и преминава независим одит за сигурност. Прозрачността, етиката и сигурността са в основата на интернет, който искаме да изградим, и причината, поради която създадохме ProtonVPN на първо място.
Като част от сътрудничество с Mozilla, която разработва платена VPN услуга, Инженерите на Mozilla имат достъп и до други технологии ProtonVPN за одит. Трябва да се отбележи, че следващата стъпка ще бъде преминаването към категорията отворени приложения и други приложения на ProtonVPN.
Сред предишните инциденти с ProtonVPN, Възможно е да се идентифицира уязвимост в приложението на Windows, която позволява на потребителя да издигне своите системни привилегии до администратора (уязвимостта е причинена от неправилно взаимодействие между непривилегированния GUI клиент и системната услуга).
Одит на кода на приложението на Windows който приключи преди няколко дни разкри 4 уязвимости (две със средна степен на сериозност и две малки): съхранение на сесийни маркери и идентификационни данни в паметта на процеса, предварително дефинирани ключове на VPN сървъра в конфигурационния файл (не се използват за удостоверяване), включване на отстраняване на грешки на информация и получаване на връзки във всички мрежови интерфейси.
Във версията на macOS няма уязвимости. Във версията за iOS бяха открити две малки уязвимости (Обвързването на SSL сертификат не се използва и работи на устройства, след като джейлбрейкът не е блокиран).
Във версията за Android бяха открити четири незначителни проблема (разрешаване на съобщения за отстраняване на грешки, неуспех при заключване на резервни копия с помощта на помощната програма ADB, криптиране на настройки с предварително дефиниран ключ, липса на свързване на SSL сертификат) и уязвимост със средна степен на сериозност (непълно излизане, позволяваща повторна сесия на маркера).
Fuente: https://protonvpn.com