Proton Technologies liberou o código fonte do ProtonVPN

A Proton Technologies liberou o código fonte do ProtonVPN sob a licença GPLv3. Confira os detalhes dessa importante mudança.

ProtonVPN é um provedor de serviços de rede virtual privada (VPN) operado pela empresa suíça Proton Technologies AG, a empresa por trás do serviço de email ProtonMail.

Proton Technologies liberou o código fonte do ProtonVPN
Proton Technologies liberou o código fonte do ProtonVPN

A Proton Technologies foi fundada por vários pesquisadores do CERN (Organização Européia de Pesquisa Nuclear) e está registrada na Suíça, que possui legislação rigorosa no campo da proteção da privacidade, o que não permite que agências de inteligência controlem informações.

Proton Technologies liberou o código fonte do ProtonVPN

Recentemente, a empresa Proton Technologies anunciou a abertura do código fonte dos programas clientes do ProtonVPN para Windows, macOS, Android e iOS (o cliente do console Linux foi aberto inicialmente). O código é coberto pela licença GPLv3.

Ao mesmo tempo, foram publicados relatórios sobre a auditoria independente desses aplicativos, nos quais não foram encontrados problemas que pudessem levar à descriptografia do tráfego VPN ou ao aumento de privilégios durante a auditoria.

O ProtonVPN usa OpenVPN (UDP/TCP) e o protocolo IKEv2, com criptografia AES-256. A empresa possui uma política rígida de não registro para dados de conexão do usuário e também evita que vazamentos de DNS e Web-RTC exponham os verdadeiros endereços IP dos usuários.

O ProtonVPN também inclui suporte para acesso ao Tor e um interruptor para desligar o acesso à Internet em caso de perda da conexão VPN.

O projeto ProtonVPN fornece um alto nível de proteção para o canal de comunicação usando AES-256, a troca de chaves é baseada em chaves RSA e HMAC de 2048 bits, o SHA-256 é usado para autenticação, há proteção contra ataques com base em na correlação dos fluxos de dados), ele se recusa a manter registros e se concentra não em obter lucros, mas em aumentar a segurança e a privacidade na Web (o projeto é financiado pelo fundo FONGIT, apoiado pela Comissão Europeia).

O lançamento do código ProtonVPN foi aberto como parte de uma iniciativa para garantir a transparência do projeto, para que especialistas independentes possam verificar se o código atende às especificações estabelecidas e verificar a exatidão da auditoria de segurança.

Estamos felizes em ser o primeiro provedor de VPN a abrir aplicativos de código-fonte em todas as plataformas (Windows, macOS, Android e iOS) e passar por uma auditoria de segurança independente. Transparência, ética e segurança são o núcleo da Internet que queremos construir e a razão pela qual criamos o ProtonVPN em primeiro lugar.


Como parte de uma colaboração com a Mozilla, que está desenvolvendo um serviço de VPN pago, os engenheiros da Mozilla também têm acesso a outras tecnologias ProtonVPN para auditoria.

Note-se que o próximo passo será a transferência para a categoria de aplicativos abertos e outros aplicativos ProtonVPN.

Entre os incidentes anteriores com o ProtonVPN, é possível identificar uma vulnerabilidade no aplicativo Windows que permitiu ao usuário aumentar seus privilégios no sistema para o administrador (a vulnerabilidade foi causada por uma interação incorreta entre o cliente gráfico não privilegiado e o serviço do sistema)

Uma auditoria do código do aplicativo para Windows, que terminou alguns dias atrás, revelou 4 vulnerabilidades (duas de gravidade média e duas secundárias): armazenamento em tokens de sessão e credenciais na memória do processo, chaves de servidor VPN predefinidas no arquivo de configuração (não usado para autenticação), incluindo informações de depuração e recebimento de conexões em todas as interfaces de rede.

Não há vulnerabilidades na versão do macOS. Na versão iOS, foram encontradas duas pequenas vulnerabilidades (o link do certificado SSL não é usado e funciona em dispositivos após o jailbreak não ser bloqueado).

Foram encontrados quatro problemas menores na versão Android (habilitar mensagens de depuração, falta de bloqueio de backups usando o utilitário ADB, criptografia de configurações com uma chave predefinida, falta de link de certificado SSL) e uma vulnerabilidade de gravidade média ( Encerramento de sessão incompleto que permite a reutilização de tokens de sessão).

O que está sendo falado no blog

PinLinkedIn

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Ads Blocker Image Powered by Code Help Pro

Bloqueador de anúncios detectado!!!

Nosso site precisa de publicidade para existir. Por favor, insira-o na lista de permissões/lista branca para liberar a exibição de anúncios e apoiar nosso site. Nosso conteúdo é GRATUITO, e tudo o que pedimos é isso!
Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock