A Proton Technologies liberou o código fonte do ProtonVPN sob a licença GPLv3. Confira os detalhes dessa importante mudança.
ProtonVPN é um provedor de serviços de rede virtual privada (VPN) operado pela empresa suíça Proton Technologies AG, a empresa por trás do serviço de email ProtonMail.
A Proton Technologies foi fundada por vários pesquisadores do CERN (Organização Européia de Pesquisa Nuclear) e está registrada na Suíça, que possui legislação rigorosa no campo da proteção da privacidade, o que não permite que agências de inteligência controlem informações.
Proton Technologies liberou o código fonte do ProtonVPN
Recentemente, a empresa Proton Technologies anunciou a abertura do código fonte dos programas clientes do ProtonVPN para Windows, macOS, Android e iOS (o cliente do console Linux foi aberto inicialmente). O código é coberto pela licença GPLv3.
Ao mesmo tempo, foram publicados relatórios sobre a auditoria independente desses aplicativos, nos quais não foram encontrados problemas que pudessem levar à descriptografia do tráfego VPN ou ao aumento de privilégios durante a auditoria.
O ProtonVPN usa OpenVPN (UDP/TCP) e o protocolo IKEv2, com criptografia AES-256. A empresa possui uma política rígida de não registro para dados de conexão do usuário e também evita que vazamentos de DNS e Web-RTC exponham os verdadeiros endereços IP dos usuários.
O ProtonVPN também inclui suporte para acesso ao Tor e um interruptor para desligar o acesso à Internet em caso de perda da conexão VPN.
O projeto ProtonVPN fornece um alto nível de proteção para o canal de comunicação usando AES-256, a troca de chaves é baseada em chaves RSA e HMAC de 2048 bits, o SHA-256 é usado para autenticação, há proteção contra ataques com base em na correlação dos fluxos de dados), ele se recusa a manter registros e se concentra não em obter lucros, mas em aumentar a segurança e a privacidade na Web (o projeto é financiado pelo fundo FONGIT, apoiado pela Comissão Europeia).
O lançamento do código ProtonVPN foi aberto como parte de uma iniciativa para garantir a transparência do projeto, para que especialistas independentes possam verificar se o código atende às especificações estabelecidas e verificar a exatidão da auditoria de segurança.
Estamos felizes em ser o primeiro provedor de VPN a abrir aplicativos de código-fonte em todas as plataformas (Windows, macOS, Android e iOS) e passar por uma auditoria de segurança independente. Transparência, ética e segurança são o núcleo da Internet que queremos construir e a razão pela qual criamos o ProtonVPN em primeiro lugar.
- Como instalar o jogo Sonic 3: Angel Island Revisited no Linux via Flatpak
- Como instalar o jogo The Gates no Linux via Flatpak
- Como instalar o aplicativo educacional TuxMath no Linux
- Como instalar o relógio de xadrez Chess Clock no Linux via Flatpak
Como parte de uma colaboração com a Mozilla, que está desenvolvendo um serviço de VPN pago, os engenheiros da Mozilla também têm acesso a outras tecnologias ProtonVPN para auditoria.
Note-se que o próximo passo será a transferência para a categoria de aplicativos abertos e outros aplicativos ProtonVPN.
Entre os incidentes anteriores com o ProtonVPN, é possível identificar uma vulnerabilidade no aplicativo Windows que permitiu ao usuário aumentar seus privilégios no sistema para o administrador (a vulnerabilidade foi causada por uma interação incorreta entre o cliente gráfico não privilegiado e o serviço do sistema)
Uma auditoria do código do aplicativo para Windows, que terminou alguns dias atrás, revelou 4 vulnerabilidades (duas de gravidade média e duas secundárias): armazenamento em tokens de sessão e credenciais na memória do processo, chaves de servidor VPN predefinidas no arquivo de configuração (não usado para autenticação), incluindo informações de depuração e recebimento de conexões em todas as interfaces de rede.
Não há vulnerabilidades na versão do macOS. Na versão iOS, foram encontradas duas pequenas vulnerabilidades (o link do certificado SSL não é usado e funciona em dispositivos após o jailbreak não ser bloqueado).
Foram encontrados quatro problemas menores na versão Android (habilitar mensagens de depuração, falta de bloqueio de backups usando o utilitário ADB, criptografia de configurações com uma chave predefinida, falta de link de certificado SSL) e uma vulnerabilidade de gravidade média ( Encerramento de sessão incompleto que permite a reutilização de tokens de sessão).