Что такое аудит безопасности?
Аудит безопасности проводится, когда компания стремится проверить параметры безопасности и уязвимости технологии, системы или сети. Как в случае с Nym, это могут быть превентивные меры, чтобы убедиться, что бета-продукт прошёл тщательное тестирование перед запуском.
Аудиты безопасности могут проводиться внутренними специалистами по безопасности или командой разработчиков, но в идеале их выполняет независимая аудиторская фирма, не имеющая заинтересованности в компании или технологии. Это обеспечивает беспристрастность и научно строгое тестирование.
Более того, аудиты безопасности могут проводиться в разных масштабах в зависимости от того, является ли код компании полностью или частично проприетарным (т. е. недоступным публично) или открытым исходным кодом.
В обоих случаях аудиты безопасности, проведённые для сети и приложений Nym в 2023–2024 годах, выполнялись независимыми компаниями по безопасности с полным доступом к открытому исходному коду Nym. Все отчёты и ответы также доступны для ознакомления публике и сообществу.
Аудит Cure53 (июль 2024)
Последний и самый обширный аудит был проведен в июле 2024 года берлинской фирмой Cure53. Cure53 хорошо известна в сфере Web3 и проводила аудиты для других VPN-компаний, таких как ExpressVPN, Mullvad, TunnelBear и NordVPN.
Объём аудита
Cure53 использовала стратегию «кристальной коробки» с полным доступом к исходному коду, сборкам, документации, тестовым окружениям и сопроводительным научным материалам. Их масштабный аудит охватил инфраструктуру Nym, включая мобильные и десктопные приложения, VPN-инфраструктуру, криптографию и архитектуру системы. Это было выполнено с помощью тестирования на проникновение, аудита исходного кода и его ревью.
Результаты проверки
Многие ключевые элементы системы Nym были признаны в хорошем и безопасном состоянии, особенно её мобильные и десктопные приложения, а также сборки на Rust.
“Cure53 [...] подтвердили, что ни в одном из приложений для Android или iOS не содержится встроенной конфиденциальной информации или секретов, что является ключевым аспектом безопасности.”
Аудит Cure53 выявил ряд важных потенциальных рисков безопасности в системе Nym, особенно в части криптографической реализации, например, возможную утечку открытого текста при зашифрованном рукопожатии между клиентом и шлюзами. Критические риски такого рода были оперативно устранены командой Nym.
Ряд других потенциальных рисков, идентифицированных Cure53 как «высокие» или «критические», касался, как уточняет команда Nym, аспектов инфраструктуры Nym, которые, например, уже не использовались, либо возможных атак, которые не были бы успешны при текущем дизайне, например, реализации электронной наличности (e‑cash) Nym.
Вы можете прочитать ответ Nym на аудит Cure53 с объяснениями всех изменений, внесённых или не внесённых, руководителями Nym по исследованиям и технологиям. Ссылка на оригинальный отчёт Cure53 также доступна там.
Аудит Oak (2023)
Исследователи Nym также опубликовали ответ на два аудита безопасности 2023 года, проведённых компанией Oak Security из Германии, специализирующейся на смарт-контрактах. Компания Oak имеет большой опыт работы с экосистемами, такими как Cosmos, Terra, Polkadot и Flow.
Объём аудита
Первый аудит был сосредоточен на микснете Nym и контрактах вестинга, а второй — конкретно на приложении Nym Wallet.
Имея полный доступ к открытой кодовой базе Nym, аудит Oak охватывал репозитории contracts/mixnet и contracts/vesting, соответствующие импорты этих контрактов для микснета и контрактов вестинга, а также приложение Nym Wallet.
Результаты проверки
Аудит Oak микснета и контрактов вестинга
Что касается аудита микснета и контрактов вестинга, Анья Пётровска, руководитель исследований Nym, подводит итоги и рассказывает о предпринятых действиях:
«Микснет Nym и контракты на вестинг отличались высокой читаемостью и прозрачностью, с надёжным покрытием тестами, что обеспечивало их надёжность. В ходе аудита эксперты выявили 19 замечаний, включая 9 уязвимостей безопасности — критических и высокой значимости — и 10 общих слабых мест, классифицированных как незначительные или информативные. Команда Nym оперативно устранила все критические и высоко значимые проблемы. Команда Oak Security проверила и одобрила наши исправления.»
Аудит Oak кошелька Nym
Что касается аудита Nym Wallet, Анья подводит такие итоги:
«В ходе аудита Nym Wallet было установлено, что кодовая база хорошо структурирована и имеет среднюю или высокую читаемость. Аудиторы рекомендовали расширить покрытие тестами и улучшить документацию для повышения надежности и удобства сопровождения. Всего по Nym Wallet было выявлено 17 замечаний. Ни одно не классифицировано как критическое, четыре получили оценку «major», а оставшиеся 13 отнесены к категории «minor» или «informative», представляя возможности для дальнейшего совершенствования реализации кошелька. Команда Nym оперативно устранила все основные замечания, и Oak Security проверила и одобрила исправления».
Заключение
Безопасность сети и приложений является главным приоритетом для Nym. Без нее пользователи, обращающиеся к Nym, не получат то, что им нужно и что им обещано: самые передовые средства защиты конфиденциальности и безопасности на сегодняшний день. Поэтому команда Nym вступает в 2025 год с серьёзными улучшениями безопасности, достигнутыми благодаря консультативной работе Cure53 и Oak Security.
Nym продолжит регулярные независимые аудиты своей открытой кодовой базы, развитие приложений и сети, а также программу поощрения за нахождение уязвимостей (bug bounty), чтобы гарантировать пользователям NymVPN и сети высочайшие стандарты безопасности.
