Recentment la companyia Tecnologies de protons anunciar l'obertura d'el codi font per els programes de client ProtonVPN per a Windows, macOS, Android i iOS (el client de consola Linux es va obrir inicialment). El codi està obert sota la llicència GPLv3. A el mateix temps, es van publicar informes sobre l'auditoria independent d'aquestes aplicacions, en els quals no es van trobar problemes que poguessin conduir a l'desxifrat de l'trànsit VPN o a l'augment de privilegis durant l'auditoria.
Per als qui desconeixen de ProtonVPN han de saber que és un proveïdor de serveis de xarxa privada virtual (VPN) Operat per la companyia suïssa Proton Technologies AG, la companyia darrere de el servei de correu electrònic ProtonMail.
ProtonVPN utilitza OpenVPN (UDP / TCP) i el protocol IKEv2, amb xifrat AES-256. La companyia té una política estricta de no registre per a les dades de connexió de l'usuari i també evita que les fuites de DNS i Web-RTC exposin les veritables adreces IP dels usuaris.
ProtonVPN també inclou suport d'accés Tor i un interruptor de apagat per tancar l'accés a Internet en cas de pèrdua de la connexió VPN.
Proton Technologies va ser fundada per diversos investigadors de l'CERN (Organització Europea per a la Investigació Nuclear) i està registrada a Suïssa, que té una legislació estricta en el camp de la protecció de la privacitat, que no permet que les agències d'intel·ligència controlin la informació.
El Projecte ProtonVPN proporciona un alt nivell de protecció per al canal de comunicació utilitzant AES-256, l'intercanvi de claus es basa en claus RSA de 2048 bits i HMAC, SHA-256 s'utilitza per a l'autenticació, hi ha protecció contra atacs basats en la correlació de fluxos de dades), es nega a mantenir registres i se centra no en obtenir guanys, sinó en augmentar la seguretat i la privacitat a la web (El projecte està finançat pel fons FONGIT, recolzat per la Comissió Europea).
ProtonVPN es torna codi obert
L'alliberament de el codi de ProtonVPN està obert com a part d'una iniciativa per garantir la transparència de el projecte perquè experts independents puguin verificar que el codi compleix amb les especificacions establertes i verificar la correcció de l'auditoria de seguretat.
Estem feliços de ser el primer proveïdor de VPN a obrir aplicacions de codi font en totes les plataformes (Windows, macOS, Android i iOS) i sotmetre'ns a una auditoria de seguretat independent. La transparència, l'ètica i la seguretat són el nucli d'Internet que volem construir i la raó per la qual vam crear ProtonVPN en primer lloc.
Com a part d'una col·laboració amb Mozilla, Que està desenvolupant un servei VPN de pagament, els enginyers de Mozilla també tenen accés a altres tecnologies ProtonVPN per auditoria. Cal assenyalar que el següent pas serà la transferència a la categoria d'aplicacions obertes i altres aplicacions ProtonVPN.
Entre els incidents anteriors amb ProtonVPN, és possible identificar una vulnerabilitat en l'aplicació de Windows que va permetre a l'usuari elevar els seus privilegis en el sistema a l'administrador (la vulnerabilitat va ser causada per una interacció incorrecta entre el client GUI no privilegiat i el servei de sistema).
Una auditoria de el codi de l'aplicació per a Windows que va finalitzar fa uns dies revelar abril vulnerabilitats (Dues de gravetat mitjana i dos menors): emmagatzematge en tokens de sessió i credencials en la memòria de l'procés, claus de servidor VPN predefinides a l'arxiu de configuració (no utilitzat per a l'autenticació), inclusió depuració d'informació i recepció de connexions en totes les interfícies de xarxa.
No hi ha vulnerabilitats en la versió de macOS. En la versió de iOS, es van trobar dues vulnerabilitats menors (L'enllaç de l'certificat SSL no s'usa i funciona en dispositius després que no es bloqueja el jailbreak).
Es van trobar quatre problemes menors en la versió d'Android (Habilitar missatges de depuració, manca de bloqueig de còpies de seguretat utilitzant la utilitat ADB, xifrat de configuracions amb una clau per omissió, falta d'enllaç de certificat SSL) i una vulnerabilitat de gravetat mitjana (finalització de sessió incompleta que permet la reutilització de tokens de sessió).
font: https://protonvpn.com