Recientemente la compañía Proton Technologies anunció la apertura del código fuente para los programas de cliente ProtonVPN para Windows, macOS, Android e iOS (el cliente de consola Linux se abrió inicialmente). El código está abierto bajo la licencia GPLv3. Al mismo tiempo, se publicaron informes sobre la auditoría independiente de estas aplicaciones, en los cuales no se encontraron problemas que pudieran conducir al descifrado del tráfico VPN o al aumento de privilegios durante la auditoría.
Para quienes desconocen de ProtonVPN deben saber que es un proveedor de servicios de red privada virtual (VPN) operado por la compañía suiza Proton Technologies AG, la compañía detrás del servicio de correo electrónico ProtonMail.
ProtonVPN utiliza OpenVPN (UDP/TCP) y el protocolo IKEv2, con cifrado AES-256. La compañía tiene una política estricta de no registro para los datos de conexión del usuario y también evita que las fugas de DNS y Web-RTC expongan las verdaderas direcciones IP de los usuarios.
ProtonVPN también incluye soporte de acceso Tor y un interruptor de apagado para cerrar el acceso a Internet en caso de pérdida de la conexión VPN.
Proton Technologies fue fundada por varios investigadores del CERN (Organización Europea para la Investigación Nuclear) y está registrada en Suiza, que tiene una legislación estricta en el campo de la protección de la privacidad, que no permite que las agencias de inteligencia controlen la información.
El proyecto ProtonVPN proporciona un alto nivel de protección para el canal de comunicación utilizando AES-256, el intercambio de claves se basa en claves RSA de 2048 bits y HMAC, SHA-256 se utiliza para la autenticación, existe protección contra ataques basados en la correlación de flujos de datos), se niega a mantener registros y se centra no en obtener ganancias, sino en aumentar la seguridad y la privacidad en la Web (el proyecto está financiado por el fondo FONGIT, respaldado por la Comisión Europea).
ProtonVPN se vuelve open source
La liberación del código de ProtonVPN está abierto como parte de una iniciativa para garantizar la transparencia del proyecto para que expertos independientes puedan verificar que el código cumple con las especificaciones establecidas y verificar la corrección de la auditoría de seguridad.
Estamos felices de ser el primer proveedor de VPN en abrir aplicaciones de código fuente en todas las plataformas (Windows, macOS, Android e iOS) y someternos a una auditoría de seguridad independiente. La transparencia, la ética y la seguridad son el núcleo de Internet que queremos construir y la razón por la cual creamos ProtonVPN en primer lugar.
Como parte de una colaboración con Mozilla, que está desarrollando un servicio VPN de pago, los ingenieros de Mozilla también tienen acceso a otras tecnologías ProtonVPN para auditoría. Cabe señalar que el siguiente paso será la transferencia a la categoría de aplicaciones abiertas y otras aplicaciones ProtonVPN.
Entre los incidentes anteriores con ProtonVPN, es posible identificar una vulnerabilidad en la aplicación de Windows que permitió al usuario elevar sus privilegios en el sistema al administrador (la vulnerabilidad fue causada por una interacción incorrecta entre el cliente GUI no privilegiado y el servicio del sistema).
Una auditoría del código de la aplicación para Windows que finalizó hace unos días reveló 4 vulnerabilidades (dos de gravedad media y dos menores): almacenamiento en tokens de sesión y credenciales en la memoria del proceso, claves del servidor VPN predefinidas en el archivo de configuración (no utilizado para la autenticación), inclusión depuración de información y recepción de conexiones en todas las interfaces de red.
No hay vulnerabilidades en la versión de macOS. En la versión de iOS, se encontraron dos vulnerabilidades menores (el enlace del certificado SSL no se usa y funciona en dispositivos después de que no se bloquea el jailbreak).
Se encontraron cuatro problemas menores en la versión de Android (habilitar mensajes de depuración, falta de bloqueo de copias de seguridad utilizando la utilidad ADB, cifrado de configuraciones con una clave predefinida, falta de enlace de certificado SSL) y una vulnerabilidad de gravedad media (finalización de sesión incompleta que permite la reutilización de tokens de sesión).
Fuente: https://protonvpn.com