Auditorias de segurança da rede e dos aplicativos da Nym 2023–2024

O objetivo era garantir que a tecnologia, a criptografia e a rede da Nym estivessem em sua melhor forma para quando a NymVPN chegasse às mãos dos clientes.

Tornando a rede à prova de balas por trás da primeira Mixnet geradora de ruído do mundo

Os resultados levaram a melhorias significativas na segurança e no desempenho nos bastidores. Assim como o código-fonte aberto da Nym, essas auditorias são tornadas públicas, bem como as respostas da equipe da Nym, explicando as medidas tomadas para resolver os problemas relevantes.

O que é uma auditoria de segurança?

Uma auditoria de segurança ocorre quando uma empresa procura testar os parâmetros de segurança e as vulnerabilidades de uma tecnologia, sistema ou rede. Como no caso da Nym, essas podem ser medidas proativas para garantir que um produto beta seja rigorosamente testado antes do lançamento.

As auditorias de segurança podem ser feitas internamente pelo pessoal de segurança ou por uma equipe de desenvolvimento, mas o ideal é que sejam realizadas por uma empresa de auditoria independente que não tenha interesse na empresa ou na tecnologia. Isso garante imparcialidade e testes cientificamente rigorosos.

Além disso, as auditorias de segurança podem ser realizadas em escalas diferentes, dependendo do fato de o código de uma empresa ser total ou parcialmente proprietário (ou seja, não acessível ao público) ou de código aberto.

Em ambos os casos, as auditorias de segurança realizadas na rede e nos aplicativos da Nym de 2023 a 2024 foram feitas por empresas de segurança independentes com acesso total ao software de código aberto da Nym. Todos os relatórios e respostas também estão disponíveis para consulta do público e da comunidade.

Auditoria Cure53 (julho de 2024)

A auditoria mais recente e mais extensa foi realizada em julho de 2024 pela empresa Cure53, sediada em Berlim. A Cure53 é bem conhecida no espaço da Web3 e realizou auditorias para outras empresas de VPN, como ExpressVPN, Mullvad, TunnelBear e NordVPN.

Escopo da auditoria

A Cure53 empregou uma estratégia de caixa de cristal com acesso total ao código-fonte, compilações, documentação, ambientes de teste e documentos científicos de apoio. Sua extensa auditoria abrangeu a infraestrutura da Nym, incluindo aplicativos móveis e de desktop, infraestrutura de VPN, criptografia e arquitetura de sistema. Isso foi feito por meio de testes de penetração, auditorias de código-fonte e revisões de código.

Results of the audit

Muitos aspectos centrais do sistema Nym foram considerados em bom estado e seguros, especialmente seus aplicativos móveis e de desktop e compilações Rust.

“O Cure53 […] confirmou que nem os aplicativos para Android nem para iOS continham informações confidenciais ou segredos codificados, o que é uma consideração importante de segurança.”

A auditoria do Cure53 foi capaz de sinalizar uma série de importantes riscos potenciais de segurança em todo o sistema Nym, especialmente em relação aos riscos potenciais em sua implementação criptográfica, por exemplo, em relação a um possível vazamento de texto simples no handshake criptografado entre o cliente e os gateways. Riscos críticos como esses foram rapidamente resolvidos pela equipe da Nym.

Vários outros riscos em potencial foram identificados pelo Cure53 como “altos” ou “críticos”, embora, conforme esclarece a resposta da Nym, eles se referiam a aspectos da infraestrutura da Nym que, por exemplo, não estavam mais em operação, ou a possíveis ataques que não teriam êxito devido ao projeto atual, por exemplo, da implementação do e-cash da Nym.

Você pode ler a resposta da Nym à auditoria do Cure53 com explicações para todas as alterações feitas ou não pelos chefes de pesquisa e tecnologia da Nym. Um link para o relatório original do Cure53 também pode ser encontrado lá.

Auditoria Oak (2023)

Os pesquisadores da Nym também publicaram uma resposta a duas auditorias de segurança de 2023 realizadas pela Oak Security, uma empresa de segurança com sede na Alemanha especializada em contratos inteligentes. A Oak tem ampla experiência em ecossistemas como Cosmos, Terra, Polkadot e Flow.

Escopo das auditorias

A primeira auditoria se concentrou na mixnet da Nym e nos contratos de aquisição de direitos, enquanto a segunda se concentrou especificamente no aplicativo Nym Wallet.

Com acesso total à base de código-fonte aberto da Nym, a auditoria de Oak cobriu os contratos/mixnet, contratos/repositórios de aquisição, importações relevantes por esses contratos para os contratos de mixnet e aquisição da Nym e o aplicativo Nym Wallet.

Resultados das auditorias

Oak mixnet and vesting contract audit

Com relação à auditoria do contrato de mixnet e vesting, Ania Piotrowska, chefe de pesquisa da Nym, resume as descobertas e as medidas tomadas:

“Os contratos de mixnet e de aquisição de direitos da Nym foram caracterizados pela alta legibilidade e clareza, com uma cobertura de teste robusta que apoia sua confiabilidade. Em sua avaliação, os auditores identificaram 19 constatações, incluindo 9 vulnerabilidades de segurança — incluindo questões críticas e de grande gravidade — e 10 deficiências gerais categorizadas como menores ou informativas. A equipe da Nym tratou rapidamente de todos os problemas críticos e importantes. A equipe da Oak Security verificou e aprovou nossas correções.”

Auditoria da carteira Oak Nym

Com relação à auditoria da Nym Wallet, Ania resume os resultados:

“Descobriu-se que a Nym Wallet tem uma base de código bem estruturada com legibilidade média a alta. Os auditores recomendaram melhorar a cobertura de testes e a documentação para aumentar a confiabilidade e a capacidade de manutenção. Um total de 17 constatações foi relatado para a Nym Wallet. Nenhuma delas foi classificada como crítica; quatro foram classificadas como principais, enquanto as 13 restantes foram classificadas como menores ou informativas, apresentando oportunidades para refinar ainda mais a implementação da carteira. A equipe da Nym tratou prontamente de todas as principais descobertas, e a Oak Security analisou e aprovou as correções.”

Conclusão

A segurança da rede e dos aplicativos é a maior preocupação da Nym. Sem ela, as pessoas que recorrerem à Nym não terão o que precisam e o que lhes foi prometido: as mais avançadas proteções de privacidade e segurança disponíveis atualmente. Assim, a equipe da Nym está entrando em 2025 com melhorias significativas na segurança, graças ao trabalho de consultoria da Cure53 e da Oak Security.

A Nym continuará o processo regular de auditorias independentes de sua base de código-fonte aberto, desenvolvendo aplicativos e rede, bem como um programa de recompensa por bugs para garantir os mais altos padrões de segurança para as pessoas que usam o NymVPN e a rede.