21 Ocak 2020'de VPN sağlayıcı ProtonVPN, güvenlik danışmanlığı firması SEC Consult tarafından üstlenilen bağımsız bir güvenlik denetimi başlattığını açıkladı.

Ana şirket olan Proton Technologies AG'ye ait olan ProtonVPN, bu denetimin kısaltılmış bir versiyonunu (tüm potansiyel güvenlik açıklarını içeren) halka açık hale getirdi. Herkes web sitesinde Android, iOS, MacOS ve Windows sonuçlarını görüntüleyebilir.

Her denetim raporu, SEC Consult’un araştırmasından önce ve sonra bir uygulamanın olası güvenlik açıklarını inceler.

Tüm platformlarda, danışma yalnızca düşük ve orta riskli güvenlik açıkları buldu. SEC Consult raporunda, tüm bu güvenlik açıklarının Proton Technologies tarafından giderildiğini veya kabul edildiğini doğruladı.

Düzeltmeler yerine güvenlik açıklarının kabul edildiği durumlarda, Proton Technologies raporda bu kararı açıklayan bir yorum yaptı.

Denetim bir “zaman kutusu” esasına göre yapılmıştır. Bu, SEC Consult'un belirli bir süre için uygulamadaki güvenlik açıklarını aradığı anlamına gelir - bu durumda her uygulama için altı günlük bir süre.

Bu yaklaşım, güvenlik denetiminin kapsamlı olarak değerlendirilemeyeceği anlamına gelse de, ProtonVPN ayrıca dört uygulamanın da açık kaynaklı olmasını sağlayarak tüm güvenlik profesyonellerinin veya kullanıcıların kodu güvenlik açıklarına karşı denetlemesine olanak tanır.

ProtonVPN “kaynak kodunu tüm platformlarda yayınlayan ve bağımsız bir güvenlik denetimi yapan ilk VPN sağlayıcısı” olduğunu iddia ediyor.

NordVPN, ExpressVPN, Surfshark ve Tunnelbear, uygulamalarının bir kısmının veya tamamının güvenlik denetimlerini üstlenmek için diğer VPN sağlayıcıları arasındadır.

Tamamen açık kaynaklı uygulamalar geliştiren AirVPN ve Mullvad gibi başka VPN'ler de var.

Mullvad ayrıca, bir uygulaması olmayan iOS'ta olmasa da bir güvenlik denetimi gerçekleştirdi..

ProtonVPN, bağımsız denetimlerden geçen ve tüm uygulamalarını açık kaynak yapan tek VPN olmayabilir, ancak şimdi sahaya öncülük ediyor.

Duyuru hakkında konuşan Top10VPN.com Editörü Callum Tennent, “ProtonVPN'in attığı adımları görmekten memnuniyet duyuyoruz. Bir VPN için şeffaflık ve güven çok önemlidir ve bağımsız bir dış denetim ile açık kaynaklı bir ürün kombinasyonu büyük bir güvence.

“İçtenlikle daha fazla VPN'in benzer bir yol izlemesini umuyoruz. Denetimler gittikçe daha yaygın hale geldi ve 2020'de bunlara maruz kalan VPN sağlayıcılarının sayısının artacağı kesin - ancak açık kaynak programlaması hala garip bir şekilde nadir.

“Dünyanın bilgisayar korsanlarının gözleri ve gizlilik meraklıları artık ProtonVPN’in kaynak koduna tam olarak sabitlendiğinden, hiç olmadığı kadar güvenli ve daha güvenli bir ürün olacağından şüphemiz yok.”

Açık kaynaklı yazılım kullanmak ve güvenilir üçüncü tarafların hem yazılımlarını hem de süreçlerini denetlemelerine izin vermek, VPN sağlayıcılarının kullanıcılarına güven oluşturmak için kullanmaya çalıştığı iki yöntemdir.

Denetim ile ilgili bir açıklamada, ProtonVPN CEO'su Andy Yen şunları söyledi: “VPN hizmetleri çok hassas bazı kullanıcı verilerine teknik olarak erişebilir, bu nedenle kullanıcılar şeffaflık ve güvenlik için geçmiş performansa sahip hizmetleri seçmelidir.

ProtonVPN Kurucu Ortağı ve CEO'su Andy Yen'in fotoğrafı

ProtonVPN Kurucu Ortak ve CEO, Andy Yen

“Bu güven kazanılmalıdır ve kodumuzu yayınlayarak, güvenlik söz konusu olduğunda ve kullanıcıları ilk sıraya koyarken her zaman yukarıda ve öteye gitme taahhüdümüzü göstermeyi umuyoruz.”

ProtonVPN, uygulamalarının güvenliğini denetleyerek, kullanıcıların hizmetinin güvenli olduğundan emin olmalarına yardımcı oldu. Ancak, bu denetim ProtonVPN’in günlüğe kaydetme uygulamalarından değil istemcilerden oluştuğu için, VPN sağlayıcının gizlilik politikasında söylediklerini tam olarak yaptığını garanti edemez..

Kullanıcıların, belirli uygulamaları veya politikaları içermeyen, önceden tanımlanmış bir kapsamda sık sık araştırma yaptıklarından, denetimin içeriğini araştırmaları her zaman önerilir..

ProtonVPN'in günlük tutma politikasına uygun olduğunu kanıtlamak için başka bir sunucu tarafı denetimi gerekli olacaktır.

Android ve Windows uygulama denetimleri 2019'un ilk çeyreğinde gerçekleştirildi ve her ikisi de denetçiden ortamın ilk risk sınıflandırmasını döndürdü.

SEC Consult, Android uygulamasında dört düşük riskli güvenlik açığı ve bir yüksek riskli güvenlik açığı ile masaüstü uygulamasında iki düşük riskli güvenlik açığı ve iki orta riskli güvenlik açığı belirledi.

Android uygulamasında, "Hata Ayıklama İletileri Etkinleştirildi" ve "Sabit Kodlu Kimlik Bilgileri / Kusurlu Veri Şifrelemesi" başlıklı iki düşük riskli güvenlik açığı hariç tümü düzeltildi.

Proton Technologies tarafından kabul edilen ilk Android güvenlik açığı, potansiyel olarak hassas veriler içeren hata ayıklama mesajlarının varlığıydı - özellikle OpenVPN ve IKEv2 protokolü kimlik bilgileri.

Proton Technologies bu bilgilerin düşük riskli olduğunu düşünmektedir, çünkü “bir kullanıcının hesap kimlik bilgilerinden ayrı olacak şekilde tasarlanmıştır”. Ayrıca, bu hata ayıklama günlüğünün uygulamanın kontrolünün ötesinde olduğunu belirtir..

Proton Technologies tarafından Android'de kabul edilen diğer güvenlik açığı, uygulamanın ikili dosyasında, benzersiz bir cihaz kimliğiyle birlikte uygulamadaki verilerin şifresini çözmek için kullanılabilecek kimlik bilgilerinin varlığıdır. Proton teknolojileri AG, bu kimlik bilgilerinin günlük sistemine istisna raporları göndermek için kullanıldığını söyleyerek yanıt verdi ve “raporlama için API uç noktasının nadir sınırlı [sic]” olduğunu ekledi.

Windows'ta, hem düşük riskli güvenlik açıkları giderildi hem de orta riskli güvenlik açıkları kabul edildi.

Proton Technologies tarafından kabul edilen ancak düzeltilmeyen bir güvenlik açığı, düz metin oturum belirteçlerinin ve VPN kimlik bilgilerinin kalıcı olarak saklanmasıydı. VPN sağlayıcı, “.NET ve GO çöp toplayıcıları bizim kontrolümüz dışında olduğunu ve kullanılmayan belleği temizlemeye kararlı bir şekilde zorlamanın bir yolu olmadığını” belirtti.

Bu senaryoda depolanan oturum belirteçleri ve VPN kimlik bilgileri oturum kapatıldıktan hemen sonra geçersiz kılınır.

SEC Consult ayrıca kimlik bilgilerinin uygulamaya kodlanmasında potansiyel bir güvenlik açığı tespit etti. Proton Technologies, kimlik bilgilerinin zaten yapılandırma dosyalarında zaten açık olarak dağıtılmış OpenVPN TLS-auth anahtarları olduğunu belirten bu güvenlik açığını kabul etti, ancak çözmedi..

Proton Technologies açıkladı: “Sunucunun istemciye doğrulanması veya tam tersi için kullanılmaz - bu işlevleri yerine getirmek için ayrı sistemler vardır. Bu nedenle, bu bilgilere sahip olmak, bir saldırgana bir sunucuyu / kullanıcıyı veya MITM'i [Orta Saldırıdaki Adam] bir bağlantıyı taklit etme yetkisi vermez. ”

Ağustos 2019'da, bu sefer iOS ve MacOS uygulamaları için ikinci bir denetim seti yapıldı.

MacOS denetimi hiçbir güvenlik açığı bulamadı ve iOS denetimi yalnızca iki düşük riskli güvenlik açığı buldu. Bu güvenlik açıklarından biri düzeltildi ve diğeri “Jailbroken veya Köklü Aygıtta Mobil Uygulama Çalışıyor” kabul edildi.

Bu düşük riskli güvenlik açığını gidermeme kararıyla ilgili bir notta Proton Technologies şunları söyledi: “Bir iOS cihazının hapse atıldığını veya kök saldığını güvenilir bir şekilde tespit etmek için tek bir çözüm olmadığından düzelmeyeceğiz. Ayrıca, kullanıcıların bir kez hapse attığında veya rootlandığında cihazlarının güvenliğinden sorumlu olmasını bekliyoruz. ”

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me