Hiljuti firma Prootonitehnoloogiad teatas lähtekoodi avamisest kliendiprogrammid ProtonVPN Windowsi, macOSi, Androidi ja iOS-i jaoks (algselt avati Linuxi konsooli klient). Kood on avatud GPLv3 litsentsi all. Samal ajal avaldati aruanded sõltumatu auditi kohta neist rakendustest, milles ei leitud ühtegi probleemi, mis võiks auditi käigus põhjustada VPN-liikluse dekrüpteerimist või privileegide suurenemist.
Neile, kes seda ei tea ProtonVPN nad peaksid seda teadma on virtuaalse eravõrgu teenuse pakkuja (VPN) haldab Šveitsi ettevõte Proton Technologies AG, mis on ProtonMaili e-posti teenuse taga.
ProtonVPN kasutab OpenVPN-i (UDP / TCP) ja IKEv2-protokolli AES-256 krüptimisega. Ettevõttel on kasutajaühenduse andmete suhtes range sisselogimispoliitika ning see takistab ka DNS-i ja Web-RTC lekkeid kasutajate tegelike IP-aadresside paljastamisel.
ProtonVPN sisaldab ka Tori juurdepääsu tuge ja tapmislüliti Interneti-ühenduse sulgemiseks VPN-ühenduse katkemise korral.
Proton Technologies asutasid mitmed CERNi teadlased (Euroopa Tuumauuringute Organisatsioon) ja on registreeritud Šveitsis, kus on eraelu puutumatuse kaitse valdkonnas ranged õigusaktid, mis ei võimalda luureagentuuridel teavet kontrollida.
El proyecto ProtonVPN pakub sidekanalile kõrgetasemelist kaitset AES-256 kasutades põhineb võtmevahetus RSA 2048-bitistel võtmetel ja HMAC, autentimiseks kasutatakse SHA-256, andmevoo korrelatsioonil on kaitse rünnakute eest), keeldub arvestust pidamast ja keskendub mitte kasumi teenimisele, vaid ohutuse suurendamisele ja privaatsus veebis (Projekti rahastab FONGIT fond, toetab Euroopa Komisjon).
ProtonVPN läheb avatud lähtekoodiga
Koodi avamine autor ProtonVPN on avatud projekti läbipaistvuse tagamise algatuse osana et sõltumatud eksperdid saaksid kontrollida, kas kood vastab kehtestatud spetsifikatsioonidele, ja kontrollida turvaauditi õigsust.
Meil on hea meel olla esimene VPN-teenuse pakkuja, kes avas lähtekoodirakendused kõigil platvormidel (Windows, MacOS, Android ja iOS) ning läbis sõltumatu turbeauditi. Läbipaistvus, eetika ja turvalisus on Interneti keskmes, mida me tahame ehitada, ja põhjus, miks me ProtonVPN-i lõime.
Koostöös Mozillaga, mis arendab tasulist VPN-teenust, Mozilla inseneridel on auditeerimiseks juurdepääs ka teistele ProtonVPN-i tehnoloogiatele. Tuleb märkida, et järgmine samm on üleminek avatud rakenduste ja teiste ProtonVPN-i rakenduste kategooriasse.
Varasemate ProtonVPN-i juhtumite hulgas Windowsi rakenduses on võimalik tuvastada haavatavus, mis võimaldas kasutajal oma süsteemiõigused administraatorile tõsta (haavatavuse põhjustas privileegita GUI-kliendi ja süsteemiteenuse vale interaktsioon).
Windowsi rakenduskoodi audit mis lõppes mõni päev tagasi paljastas 4 haavatavust (kaks keskmise raskusastmega ja kaks alaealist): seansimärkide ja mandaatide salvestamine protsesside mällu, eelmääratud VPN-serveri võtmed konfiguratsioonifaili (ei kasutata autentimiseks), teabe silumise lisamine ja ühenduste vastuvõtt kõikidesse võrguliidestesse.
MacOS-i versioonis pole haavatavusi. IOS-i versioonis leiti kaks väiksemat haavatavust (SSL-sertifikaadi sidumist ei kasutata ja see töötab seadmetes pärast seda, kui jailbreak pole blokeeritud).
Androidi versioonist leiti neli väiksemat probleemi (lubage silumissõnumid, varukoopiate lukustamise ebaõnnestumine ADB utiliidi abil, seadete krüptimine etteantud võtmega, SSL-sertifikaadi sidumise puudumine) ja keskmise raskusastmega haavatavus (mittetäielik välja logimine, mis võimaldab märkide taaskasutamise seanssi).
allikas: https://protonvpn.com