VPN sniedzējs ProtonVPN 2020. gada 21. janvārī paziņoja, ka ir pasūtījis neatkarīgu drošības auditu, ko veica drošības konsultāciju firma SEC Consult..

ProtonVPN, kas pieder mātesuzņēmumam Proton Technologies AG, ir publiskojusi saīsinātu šī audita versiju (kurā ir visas iespējamās ievainojamības). Ikviens savā vietnē var skatīt Android, iOS, MacOS un Windows rezultātus.

Katrā revīzijas ziņojumā tiek apskatīta iespējamā lietotnes drošības ievainojamība gan pirms, gan pēc SEC Consult izmeklēšanas.

Visās platformās konsultācijās tika atklātas tikai zema un vidēja riska ievainojamības. Ziņojumā SEC Consult apstiprina, ka visas šīs ievainojamības ir vai nu novērstas, vai arī tās ir pieņēmusi Proton Technologies.

Gadījumos, kad ievainojamības ir pieņemtas, nevis novērstas, Proton Technologies ziņojumā ir sniedzis komentārus, izskaidrojot šo lēmumu.

Revīzija tika veikta, izmantojot laika grafiku. Tas nozīmē, ka SEC Consult noteiktā laika posmā meklēja lietotnes ievainojamības - šajā gadījumā sešu dienu periodu katrai lietotnei.

Lai arī šī pieeja nozīmē, ka drošības auditu nevar uzskatīt par visaptverošu, ProtonVPN ir arī padarījis visas četras lietotnes atvērtu, ļaujot visiem drošības speciālistiem vai lietotājiem pārbaudīt koda ievainojamības..

ProtonVPN apgalvo, ka ir “pirmais VPN nodrošinātājs, kurš izlaiž savu avota kodu visās platformās un veic neatkarīgu drošības auditu”.

Starp citiem VPN pakalpojumu sniedzējiem NordVPN, ExpressVPN, Surfshark un Tunnelbear veic dažu vai visu lietotņu drošības auditu..


Ir arī citi VPN, piemēram, AirVPN un Mullvad, kuri izstrādā pilnīgi atvērtā koda lietotnes.

Mullvad ir arī veicis drošības auditu - lai arī tas nav paredzēts iOS, kurai tam nav lietotnes.

Iespējams, ka ProtonVPN nebija vienīgais VPN, kurā ir veikts neatkarīgs audits un visas lietotnes padarītas par atvērtā pirmkoda, taču tagad tas vada šo jomu.

Runājot par paziņojumu, Top10VPN.com redaktors Callum Tennent sacīja: “Mēs esam priecīgi redzēt ProtonVPN veiktos pasākumus. Pārredzamība un uzticēšanās ir tik svarīga VPN, un neatkarīga ārējā audita un atvērtā koda produkta apvienojums ir milzīgs apliecinājums.

“Mēs patiesi ceram, ka vairāk VPN rīkosies līdzīgi. Revīzijas ir kļuvušas aizvien izplatītākas, un ir pārliecība, ka 2020. gadā palielināsies to VPN sniedzēju skaits, kuriem tiek veiktas pārbaudes, taču atklātā pirmkoda programmēšana joprojām ir savādi..

"Ņemot vērā pasaules hakeru un privātuma cienītāju acis, kas tagad ir precīzi fiksētas ProtonVPN avota kodā, mēs nešaubāmies, ka tas būs drošāks un drošāks produkts nekā jebkad agrāk."

Atklāta pirmkoda programmatūras izmantošana un uzticamu trešo personu atļaušana revidēt gan savu programmatūru, gan procesus ir divas metodes, kuras VPN pakalpojumu sniedzēji ir mēģinājuši izmantot, lai izveidotu uzticēšanos saviem lietotājiem.

Paziņojumā par revīziju ProtonVPN izpilddirektors Andijs Jens sacīja: “VPN pakalpojumi tehniski var piekļūt dažiem ļoti sensitīviem lietotāju datiem, tāpēc lietotājiem jāizvēlas pakalpojumi ar pārredzamības un drošības rādītājiem..

ProtonVPN līdzdibinātāja un izpilddirektora Andija Jena foto

ProtonVPN līdzdibinātājs un izpilddirektors Andijs Jens

"Šī uzticība ir jānopelna, un, publicējot mūsu kodu, mēs ceram parādīt apņemšanos vienmēr pārsniegt un pārsniegt, kad runa ir par drošību un lietotāju izvirzīšanu pirmajā vietā."

Pārbaudot savu lietotņu drošību, ProtonVPN ir palīdzējis lietotājiem pārliecināt, ka tā pakalpojums ir drošs. Bet, tā kā šī revīzija attiecas uz klientiem, nevis uz ProtonVPN reģistrēšanas praksi, tā nevar garantēt, ka VPN sniedzējs rīkojas tieši tā, kā teikts savā privātuma politikā.

Lietotājiem vienmēr ir ieteicams izpētīt audita saturu, jo viņi bieži izmeklē iepriekš noteiktā apjomā, kurā, iespējams, nav ietvertas noteiktas lietotnes vai politikas.

Būtu nepieciešama papildu servera puses revīzija, lai pierādītu, ka ProtonVPN atbilst tās reģistrēšanas politikai.

Android un Windows lietotņu audits tika veikts 2019. gada 1. ceturksnī, un abi atgriezās pie sākotnējā vidēja riska klasifikācijas no revidenta.

SEC Consult identificēja četras neliela riska ievainojamības un vienu augsta riska ievainojamību Android lietotnē, kā arī divas zema riska ievainojamības un divas vidēja riska ievainojamības darbvirsmas lietotnē..

Android lietotnē tika novērstas visas nelielas ievainojamības, izņemot divas, ar zemu nosaukumu “Debug Messages Enabled” un “Hardcoded Credentials / Imperfect Data Encryption.”

Pirmā Android ievainojamība, kuru Proton Technologies pieņēma, bija atkļūdošanas ziņojumu klātbūtne, kas satur potenciāli sensitīvus datus - īpaši OpenVPN un IKEv2 protokola akreditācijas dati.

Proton Technologies uzskata, ka šī informācija ir zema, jo tā ir “paredzēta atsevišķi no lietotāja konta akreditācijas datiem”. Turklāt tajā teikts, ka šo atkļūdošanas žurnālu pati lietotne nevar kontrolēt..

Otra ievainojamība, ko Proton Technologies ir pieņēmusi operētājsistēmā Android, ir akreditācijas datu klātbūtne lietotnes binārajā versijā, kuru kopā ar unikālu ierīces ID varētu izmantot, lai atšifrētu datus no lietotnes. Proton technologies AG uz to atbildēja, sakot, ka šie akreditācijas dati tiek izmantoti, lai nosūtītu izņēmumu ziņojumus uz tās reģistrēšanas sistēmu, piebilstot, ka “API beigu punkts ziņošanai ir reti ierobežots [sic]”.

Operētājsistēmā Windows tika fiksētas abas zema riska ievainojamības, un tika pieņemtas abas vidēja riska ievainojamības.

Viena no ievainojamībām, kuras Proton Technologies neapstiprināja, bija vienkāršā teksta sesijas pilnvaru un VPN akreditācijas saglabāšana. VPN sniedzējs atbildēja, norādot, ka “.NET un GO atkritumu savācēji ir ārpus mūsu kontroles un nekādā veidā nevar likt viņiem deterministiski notīrīt neizmantoto atmiņu.”

Šajā scenārijā saglabātie sesijas marķieri un VPN akreditācijas dati tūlīt pēc atteikšanās tiek nederīgi.

SEC Consult arī identificēja iespējamu ievainojamību akreditācijas datu kodēšanā lietotnē. Proton Technologies pieņēma, bet neatrisināja šo ievainojamību, norādot, ka akreditācijas dati ir OpenVPN TLS-auth atslēgas, kuras jau ir atklāti izplatītas konfigurācijas failos.

Proton Technologies paskaidroja: “To neizmanto ne servera, ne klienta autentificēšanai vai otrādi - šo funkciju pārvaldībai ir atsevišķas sistēmas. Tādējādi šīs informācijas iegūšana uzbrucējam nedod tiesības uzdoties par servera / lietotāja vai MITM (cilvēks vidējā uzbrukumā) savienojumu. ”

Otrais auditu komplekts tika veikts 2019. gada augustā, šoreiz iOS un MacOS lietotnēm.

MacOS auditā netika atklātas ievainojamības, un iOS auditā tika atklātas tikai divas zema riska ievainojamības. Viena no šīm ievainojamībām tika novērsta, bet otra - mobilā lietotne darbojas Jailbroken vai sakņotā ierīcē..

Piezīmē par lēmumu nepievērsties šai zema riska ievainojamībai Proton Technologies sacīja: “Mēs nefiksēsimies, jo nav viena risinājuma, kā droši noteikt, vai iOS ierīce ir iesprostota vai iesakņojusies. Turklāt mēs sagaidām, ka lietotāji būs atbildīgi par savas ierīces drošību pēc tam, kad tā tiks iznīcināta vai sakņojusies. ”

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me