For nylig virksomheden Proton teknologier annoncerede åbningen af kildekoden til klientprogrammer ProtonVPN til Windows, macOS, Android og iOS (Linux-konsolklienten blev oprindeligt åbnet). Koden er åben under GPLv3-licensen. Samtidig blev rapporter om den uafhængige revision offentliggjort af disse applikationer, hvor der ikke blev fundet problemer, der kunne føre til dekryptering af VPN-trafik eller øgede privilegier under revisionen.
For dem der ikke er opmærksomme på ProtonVPN de burde vide det er en udbyder af virtuelt privat netværk (VPN) drives af det schweiziske firma Proton Technologies AG, firmaet bag e-mailtjenesten ProtonMail.
ProtonVPN bruger OpenVPN (UDP / TCP) og IKEv2-protokollen med AES-256-kryptering. Virksomheden har en streng politik for ikke-logning for brugerforbindelsesdata og forhindrer også DNS- og Web-RTC-lækager i at udsætte brugernes sande IP-adresser.
ProtonVPN inkluderer også Tor access support og en kill switch for at lukke internetadgang i tilfælde af et VPN-forbindelsestab.
Proton Technologies blev grundlagt af flere CERN-forskere (European Organization for Nuclear Research) og er registreret i Schweiz, som har streng lovgivning inden for beskyttelse af privatlivets fred, som ikke tillader efterretningsbureauer at kontrollere information.
Projektet ProtonVPN giver et højt beskyttelsesniveau for kommunikationskanalen ved hjælp af AES-256 er nøgleudveksling baseret på RSA 2048-bit nøgler og HMAC, SHA-256 bruges til godkendelse, der er beskyttelse mod angreb baseret på datastrømskorrelation), nægter at føre poster og er ikke fokuseret på at tjene penge, men på at øge sikkerheden og privatlivets fred på nettet (Projektet finansieres af FONGIT-fonden, støttet af Europa-Kommissionen).
ProtonVPN går open source
Låser op for koden af ProtonVPN er åben som en del af et initiativ for at sikre gennemsigtighed i projektet så uafhængige eksperter kan kontrollere, at koden er i overensstemmelse med de fastlagte specifikationer og kontrollere rigtigheden af sikkerhedsrevisionen.
Vi er glade for at være den første VPN-udbyder, der åbner kildekode-apps på alle platforme (Windows, macOS, Android og iOS) og gennemgår en uafhængig sikkerhedsrevision. Gennemsigtighed, etik og sikkerhed er kernen i det internet, vi ønsker at opbygge, og grunden til, at vi oprettede ProtonVPN i første omgang.
Som en del af et samarbejde med Mozilla, der udvikler en betalt VPN-tjeneste, Mozilla-ingeniører har også adgang til andre ProtonVPN-teknologier til revision. Det skal bemærkes, at det næste trin er overførslen til kategorien åbne applikationer og andre ProtonVPN-applikationer.
Blandt de tidligere hændelser med ProtonVPN, Det er muligt at identificere en sårbarhed i Windows-applikationen, der gjorde det muligt for brugeren at hæve sine systemrettigheder til administratoren (sårbarheden skyldtes en forkert interaktion mellem den ikke-privilegerede GUI-klient og systemtjenesten).
En revision af Windows-applikationskoden det sluttede for et par dage siden afslørede 4 sårbarheder (to af middel sværhedsgrad og to mindre): lagring i sessionstokener og legitimationsoplysninger i proceshukommelsen, foruddefinerede VPN-servernøgler i konfigurationsfilen (bruges ikke til godkendelse), inkludering af fejlretning af information og modtagelse af forbindelser i alle netværksgrænseflader.
Der er ingen sårbarheder i macOS-versionen. I iOS-versionen blev der fundet to mindre sårbarheder (SSL-certifikatbinding bruges ikke og fungerer på enheder efter jailbreak er ikke blokeret).
Fire mindre problemer blev fundet i Android-versionen (aktiver fejlretningsmeddelelser, manglende låsning af sikkerhedskopier ved hjælp af ADB-hjælpeprogrammet, kryptering af indstillinger med en foruddefineret nøgle, manglende SSL-certifikatbinding) og en sårbarhed med middel sværhedsgrad (ufuldstændig logout, der tillader togen-genbrugssession).
kilde: https://protonvpn.com