Poskytovateľ VPN ProtonVPN 21. januára 2020 oznámil, že zadal vykonanie nezávislého bezpečnostného auditu, ktorý vykonala bezpečnostná poradenská spoločnosť SEC Consult..

ProtonVPN, ktorý vlastní materská spoločnosť Proton Technologies AG, zverejnil skrátenú verziu tohto auditu (obsahujúcu všetky potenciálne zraniteľné miesta). Výsledky pre Android, iOS, MacOS a Windows si môže zobraziť každý na svojej webovej stránke.

Každá audítorská správa skúma potenciálne bezpečnostné chyby aplikácie pred aj po prešetrení spoločnosťou SEC Consult.

Konzultácie na všetkých platformách zistili iba zraniteľné miesta s nízkym a stredným rizikom. V správe SEC Consult potvrdzuje, že všetky tieto zraniteľné miesta boli spoločnosťou Proton Technologies opravené alebo akceptované.

V prípadoch, keď boli zraniteľné miesta akceptované a nie opravené, spoločnosť Proton Technologies v správe vysvetlila toto rozhodnutie.

Audit sa uskutočnil na základe „časového rámca“. To znamená, že SEC Consult hľadal zraniteľné miesta v aplikácii na stanovenú dobu - v tomto prípade šesť dní pre každú aplikáciu.

Aj keď tento prístup znamená, že bezpečnostný audit nemožno považovať za komplexný, ProtonVPN dodatočne urobil všetky štyri aplikácie otvoreným zdrojom, čo všetkým bezpečnostným profesionálom alebo používateľom umožňuje skontrolovať zraniteľné miesta kódu..

ProtonVPN tvrdí, že je „prvým poskytovateľom VPN, ktorý vydal zdrojový kód na všetkých platformách a vykonal nezávislý bezpečnostný audit.“

NordVPN, ExpressVPN, Surfshark a Tunnelbear patria medzi ďalších poskytovateľov VPN, ktorí vykonávajú bezpečnostné audity niektorých alebo všetkých svojich aplikácií..

Existujú aj ďalšie VPN, napríklad AirVPN a Mullvad, ktoré vyvíjajú úplne otvorené aplikácie.

Mullvad tiež vykonal bezpečnostný audit - aj keď nie na systéme iOS, na ktorý nemá aplikáciu.

ProtonVPN nemusí byť jediný VPN, ktorý prešiel nezávislými auditmi a urobil všetky svoje aplikácie otvoreným zdrojom, ale teraz je v tejto oblasti na špičke.

Vo svojom vyhlásení redaktorka časopisu Top10VPN.com Callum Tennent povedal: „Sme radi, že vidíme kroky, ktoré podnikol ProtonVPN. Transparentnosť a dôvera sú pre VPN také dôležité a kombinácia nezávislého externého auditu a produktu s otvoreným zdrojom je obrovským ubezpečením..

„Úprimne dúfame, že podobné VPN bude mať viac sietí VPN. Audity sú čoraz bežnejšie a je isté, že v roku 2020 sa počet poskytovateľov VPN, ktorí ich podstúpia, zvýši - programovanie s otvoreným zdrojovým kódom je však stále neobvyklé.

„S očami hackerov a súkromných nadšencov sveta, ktorí sú teraz priamo zameraní na zdrojový kód ProtonVPN, nepochybujeme, že to bude bezpečnejší a bezpečnejší produkt ako kedykoľvek predtým.“

Používanie softvéru s otvoreným zdrojovým kódom a povolenie dôveryhodných tretích strán na audit softvéru a procesov sú dve metódy, ktoré sa poskytovatelia VPN pokúsili použiť na vybudovanie dôvery so svojimi používateľmi..

Vo vyhlásení o audite generálny riaditeľ ProtonVPN Andy Yen uviedol: „Služby VPN môžu mať technicky prístup k veľmi citlivým údajom používateľa, a preto by si používatelia mali vybrať služby so záznamom o transparentnosti a bezpečnosti..

Fotografia spoluzakladateľa a generálneho riaditeľa ProtonVPN, Andy Yen

Spoluzakladateľ a generálny riaditeľ ProtonVPN, Andy Yen

„Túto dôveru je potrebné získať a zverejnením nášho kódexu dúfame, že preukážeme náš záväzok k neustálej snahe ísť nad rámec toho, čo sa týka bezpečnosti a uprednostňovania používateľov.“

Auditovaním bezpečnosti svojich aplikácií ProtonVPN pomohol uistiť používateľov, že jeho služba je bezpečná. Keďže však tento audit patrí klientom a nie protokolovým postupom spoločnosti ProtonVPN, nemôže zaručiť, že poskytovateľ VPN urobí presne to, čo hovorí vo svojej politike ochrany osobných údajov..

Pre používateľov je vždy vhodné preskúmať obsah auditu, pretože sa často vyšetruje v rámci preddefinovaného rozsahu, ktorý nemusí obsahovať určité aplikácie alebo zásady.

Na preukázanie toho, že ProtonVPN je v súlade s jeho politikou protokolovania, by bol potrebný ďalší audit na strane servera.

Audity aplikácií pre Android a Windows sa vykonali v Q1 2019 a oba vrátili audítorovi počiatočnú klasifikáciu rizika média.

SEC Consult identifikoval štyri nízkorizikové zraniteľné miesta a jednu vysokorizikovú zraniteľnosť v aplikácii pre Android, ako aj dve nízkorizikové zraniteľné miesta a dve stredne rizikové zraniteľné miesta v počítačovej aplikácii.

V aplikácii pre Android boli odstránené všetky zraniteľné miesta s nízkym rizikom okrem dvoch s názvom „Debug Messages Enabled“ a „Hardcoded Credentials / Imperfect Data Encryption“.

Prvou zraniteľnosťou systému Android, ktorú spoločnosť Proton Technologies akceptovala, bola prítomnosť ladiacich správ obsahujúcich potenciálne citlivé údaje - konkrétne poverenia protokolu OpenVPN a IKEv2..

Proton Technologies považuje tieto informácie za nízke riziko, pretože „sú navrhnuté tak, aby boli oddelené od poverení používateľského účtu.“ Ďalej uvádza, že tento protokol ladenia je mimo kontroly samotnej aplikácie..

Ďalšou zraniteľnosťou akceptovanou spoločnosťou Proton Technologies v systéme Android je prítomnosť poverovacích údajov v binárnom zobrazení aplikácie, ktoré spolu s jedinečným identifikátorom zariadenia možno použiť na dešifrovanie údajov z aplikácie. Spoločnosť Proton Technologies AG na to reagovala vyhlásením, že tieto poverenia sa používajú na odosielanie správ o výnimkách do jej systému protokolovania a dodáva, že „koncový bod API pre vykazovanie je zriedkavo obmedzený [sic].“

V systéme Windows boli opravené obidve zraniteľné miesta s nízkym rizikom a boli akceptované obe stredne rizikové zraniteľné miesta.

Jednou zo zraniteľností, ktorú Proton Technologies akceptovala, ale neopravila, bolo pretrvávajúce ukladanie tokenov relácie prostého textu a poverení VPN. Poskytovateľ VPN odpovedal vyhlásením, že „zberatelia odpadu .NET a GO sú mimo našu kontrolu a neexistuje spôsob, ako ich deterministicky prinútiť, aby vyčistili nevyužitú pamäť.“

Tokeny relácií a poverenia VPN uložené v tomto scenári sa okamžite zrušia po odhlásení.

SEC Consult tiež identifikoval potenciálnu zraniteľnosť v tvrdom kódovaní poverení do aplikácie. Proton Technologies túto chybu zabezpečenia akceptovala, ale nevyriešila túto chybu zabezpečenia, pričom uviedla, že poverenia sú kľúče OpenVPN TLS-auth, ktoré sú už otvorene distribuované v konfiguračných súboroch..

Spoločnosť Proton Technologies objasnila: „Nepoužíva sa na autentifikáciu servera na klienta ani naopak - na vykonávanie týchto funkcií existujú samostatné systémy. Získanie týchto informácií teda neoprávňuje útočníka na zosobnenie spojenia server / užívateľ alebo MITM [Man in the Middle]]. “

Druhá sada auditov sa vykonala v auguste 2019, tentoraz pre aplikácie pre iOS a MacOS.

Audit MacOS nezistil žiadne zraniteľné miesta a audit iOS zistil iba dve zraniteľné miesta s nízkym rizikom. Jedna z týchto zraniteľností bola opravená a druhá bola schválená „Mobilné aplikácie bežiace na zariadení Jailbroken alebo Rooting Device“.

V poznámke k rozhodnutiu neriešiť túto nízkorizikovú zraniteľnosť spoločnosť Proton Technologies uviedla: „Neopravíme to, pretože neexistuje žiadne riešenie, ktoré by spoľahlivo detegovalo, či bolo zariadenie iOS uväznené alebo zakorenené. Okrem toho očakávame, že používatelia budú zodpovední za bezpečnosť svojho zariadenia, akonáhle budú väznení alebo zakorenení. “

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me