Дана 21. јануара 2020. ВПН провајдер ПротонВПН објавио је да је наручио независну безбедносну ревизију коју је предузела безбедносна консултантска фирма СЕЦ Цонсулт.

ПротонВПН, у власништву матичне компаније Протон Тецхнологиес АГ, учинио је скраћену верзију ове ревизије (која садржи све потенцијалне рањивости) за јавност. Сви могу да прегледају резултате за Андроид, иОС, МацОС и Виндовс на својој веб локацији.

Сваки ревизорски извештај прегледава потенцијалне безбедносне рањивости апликације и пре и након истраге СЕЦ Цонсулта.

На свим платформама, консултације су откриле само рањивости ниског и средњег ризика. У извештају СЕЦ Цонсулт потврђује да су све ове рањивости исправљене или прихваћене од стране компаније Протон Тецхнологиес.

У случајевима када су рањивости прихваћене а не фиксне, Протон Тецхнологиес је у извештај изнео коментар који објашњава ову одлуку.

Ревизија је извршена на бази „временског оквира“. То значи да је СЕЦ Цонсулт тражио рањивости у апликацији одређено време - у овом случају период од шест дана за сваку апликацију.

Иако овај приступ значи да се провера безбедности не може сматрати свеобухватном, ПротонВПН је такође направио све четири апликације отвореног кода, омогућавајући свим безбедносним професионалцима или корисницима да провере шифру о рањивости.

ПротонВПН тврди да је „први ВПН провајдер који је објавио свој изворни код на свим платформама и извршио независну ревизију безбедности“.

НордВПН, ЕкпрессВПН, Сурфсхарк и Туннелбеар су међу осталим ВПН провајдерима који подузимају ревизије сигурности неких или свих својих апликација.

Постоје и други ВПН-ови, попут АирВПН-а и Муллвад-а, који развијају потпуно опен-соурце апликације.

Муллвад је такође преузео сигурносну ревизију - иако не на иОС-у за који нема апликацију.

ПротонВПН можда није једини ВПН који је прошао независне ревизије и учинио све своје апликације отвореним кодом, али сада он води на пољу.

Говорећи о најави, уредник Топ10ВПН.цом Цаллум Теннент је рекао: „Одушевљени смо што видимо кораке које је предузео ПротонВПН. Транспарентност и поверење су тако важни за ВПН, а комбинација независне екстерне ревизије и производа отвореног кода је велико уверење.

„Искрено се надамо да ће и више ВПН-а прихватити сличан поступак. Ревизије постају све учесталије и извјесно је да ће се број пружатеља ВПН-а који их пролазе повећати до 2020. године - али отворени изворни програми су још увијек необично неуобичајени.

„С очима хакера и заљубљеника у приватност који су сада усредсређени на изворни код ПротонВПН-а, не сумњамо да ће бити сигурнији и сигурнији производ него икад раније“.

Кориштење софтвера отвореног кода и омогућавање поузданим трећим лицима да врше ревизију свог софтвера и процеса су две методе које су ВПН провајдери покушали да искористе за изградњу поверења са својим корисницима.

У изјави о ревизији, генерални директор ПротонВПН-а Анди Иен рекао је: „ВПН услуге могу технички приступити неким врло осетљивим корисничким подацима, због чега би корисници требало да бирају услуге са евиденцијом о транспарентности и сигурности..

Фотографија оснивача и генералног директора ПротонВПН-а, Андија Иена

Суоснивач ПротонВПН-а и извршни директор, Анди Иен

„То поверење морамо заслужити и објављивањем нашег кода надамо се да ћемо показати своју посвећеност да увек идемо изнад и даље када је реч о безбедности и стављању корисника на прво место.“

Ревизијом сигурности својих апликација, ПротонВПН је помогао да се увери да су његове услуге безбедне. Али, пошто је ова ревизија од клијената, а не од праксе ПротонВПН-а, не може гарантовати да ВПН провајдер ради управо оно што пише у својој политици приватности.

Корисницима је увек препоручљиво истражити садржај ревизије, јер често истражују у унапред дефинисаном обиму, који можда не укључује одређене апликације или смернице.

Даљња ревизија на страни сервера била би потребна да би се доказало да је ПротонВПН у складу са својом политиком евидентирања.

Ревизије апликација за Андроид и Виндовс проведене су у К1 2019. и обје су од ревизора вратиле почетну класификацију ризика.

СЕЦ Цонсулт је идентификовао четири рањивости ниског ризика и једну рањивост високог ризика у Андроид апликацији, као и две рањивости ниског ризика и две рањивости средњег ризика у десктоп апликацији.

У Андроид апликацији поправљене су све рањивости, осим две ниске опасности, под називом „Дебуг Мессагес Енаблед“ и „Хардцодед Цредентиалс / Имперфецт Енцриптион Дата“.

Прва Андроид рањивост коју је Протон Тецхнологиес прихватио било је присуство грешака које садрже потенцијално осетљиве податке - посебно ОпенВПН и ИКЕв2 акредитиве протокола.

Протон Тецхнологиес сматра да су ове информације ниским ризиком, јер су „дизајниране да буду одвојене од корисничких рачуна корисника.“ Штавише, наводи се да је овај дневник грешака изван контроле саме апликације..

Друга рањивост коју је Протон Тецхнологиес прихватио на Андроиду је присуство акредитива у бинарној апликацији апликације, који би заједно са јединственим ИД-ом уређаја могли да се користе за дешифровање података из апликације. Протон тецхнологи АГ је на то одговорио рекавши да се ови акредитиви користе за слање извештаја о изузетцима у његов систем записивања и додају да је „крајња тачка АПИ-ја за извештавање ретко ограничена [сиц]“.

У Виндовс-у су обе рањивости ниског ризика фиксиране и обје рањивости средњег ризика су прихваћене.

Једна рањивост коју је Протон Тецхнологиес прихватио, али је није поправио било је дуготрајно складиштење обичних текстуалних токена сесија и ВПН акредитива. ВПН провајдер је одговорио тврдњом да су ".НЕТ и ГО сакупљачи смећа ван наше контроле и не постоји начин да их детерминирано присилимо да очисте неискоришћену меморију."

Токени сесије и ВПН акредитиви похрањени у овом сценарију неважећи су одмах по одјави.

СЕЦ Цонсулт је такође идентификовао потенцијалну рањивост у тврдој шифри вјеродајница у апликацији. Протон Тецхнологиес је прихватио, али није решио ову рањивост, наводећи да су акредитиве ОпенВПН ТЛС-аутх кључеви, који се већ отворено дистрибуирају у конфигурацијским датотекама.

Протон Тецхнологиес је појаснио: „Не користи се за проверу идентитета било ког сервера или клијента или обрнуто - постоје посебни системи који управљају тим функцијама. Стога, посједовање ових информација не омогућава нападачу да представља лажно представљање сервера / корисника или МИТМ [Човјек у средњем нападу]. "

Други скуп ревизија извршен је у августу 2019. године, овај пут за иОС и МацОС апликације.

МацОС ревизија није нашла рањивости, а иОС ревизија пронашла само две рањивости ниског ризика. Једна од тих рањивости је исправљена, а друга, „Мобилна апликација ради на Јаилброкен или укоријењеном уређају“, прихваћена је.

У напомени о одлуци да се не реши ова рањивост са малим ризиком, Протон Тецхнологиес је рекао: „Нећемо поправити јер не постоји ниједно решење за поуздано откривање да ли је иОС уређај покварен или је укорењен. Надаље, очекујемо да ће корисници бити одговорни за сигурност свог уређаја након што се поквари или постану закопчани. "

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me