Har den amerikanske regering infiltreret Debian-projektet? (Ingen)

Reklame

Debian er en af ​​de mest populære Linux-distributioner. Det er solidt, pålideligt og sammenlignet med Arch og Gentoo, relativt let for nytilkomne at forstå. Ubuntu er bygget på det Debian vs Ubuntu: Hvor langt er Ubuntu kommet i 10 år?Ubuntu er nu 10 år gammel! Kongen af ​​Linux-distributioner er nået langt siden starten i 2004, så lad os se på, hvordan den har udviklet sig anderledes end Debian, fordelingen ved ... Læs mere , og det er ofte vant til kraft Raspberry Pi Sådan installeres et operativsystem på en Raspberry PiHer er, hvordan du installerer et operativsystem på din Raspberry Pi, og hvordan du kloner din perfekte opsætning til hurtig gendannelse af katastrofer. Læs mere .

Det påstås også, at det er under grebet af Amerikas efterretningsapparat, ifølge Wikileaks-grundlægger Julian Assange.

Eller er det?

Taler på 2014's World Hosting Days-konference beskrev Julian Assange, hvordan bestemte nationstater (navngivne ingen navne, hoste Amerika hoste) har med vilje gjort visse Linux-distributioner usikre for at bringe dem under kontrol af deres overvågnings-dragnet. Du kan se det fulde tilbud efter 20 minutters markering her:

Men har Assange ret?

Et kig på Debian og sikkerhed

I Assanges tale nævner han, hvordan utallige fordelinger med vilje er blevet saboteret. Men han nævner Debian ved navn, så vi kan lige så godt fokusere på den.

I de sidste 10 år er der identificeret et antal sårbarheder i Debian. Nogle af disse har været alvorlige, nul-dages stil sårbarheder Hvad er en sårbarhed ved nul dage? [MakeUseOf Explains] Læs mere der påvirkede systemet generelt. Andre har påvirket dens evne til sikkert at kommunikere med fjernsystemer.

Den eneste sårbarhed, som Assange nævner eksplicit, er en fejl i Debians OpenSSL-tilfældige nummergenerator, der var opdaget i 2008.

Tilfældige tal (eller i det mindste pseudorandom; Det er ekstremt vanskeligt at få sand tilfældighed på en computer) er en væsentlig del af RSA-kryptering. Når en tilfældig talgenerator bliver forudsigelig, falder krypteringens effektivitet, og det bliver muligt at dekryptere trafikken.

Ganske vist har NSA med vilje svækket styrken ved kommerciel kvalitetskryptering ved at reducere entropien af ​​de tilfældigt genererede tal. Det var en lang tid siden, da stærk kryptering blev betragtet som mistanke fra den amerikanske regering og endda underlagt våbeneksportlovgivning. Simon Singh's Kodebogen beskriver denne æra temmelig godt med fokus på de tidlige dage af Philip Zimmermans Pretty Good Privacy og den legale kamp, ​​han kæmpede med den amerikanske regering.

Men det var for længe siden, og det ser ud til, at 2008's bug var mindre et resultat af ondskab, men snarere fantastisk teknologisk inkompetence.

To kodelinjer blev fjernet fra Debians OpenSSL-pakke, fordi de producerede advarselsmeddelelser i Valgrind og Purify build-værktøjerne. Linjerne blev fjernet, og advarslerne forsvandt. Men integriteten i Debians implementering af OpenSSL var grundlæggende lam.

Som Hanlon's Razor dikterer, må aldrig tilskrives ondskab, hvad der lige så let kan forklares som inkompetence. I øvrigt var netop denne fejl satiriseret af webkomikeren XKCD.

Skrivning om emnet, IgnorantGuru blog også spekulerer den nylige Heartbleed bug (som vi dækket sidste år Heartbleed - Hvad kan du gøre for at være sikker? Læs mere ) måske også have været et produkt af sikkerhedstjenesterne med vilje forsøger at underminere kryptografi på Linux.

Heartbleed var en sikkerhedssårbarhed i OpenSSL-biblioteket, der potentielt kunne se en ondsindet bruger stjæle oplysninger beskyttet af SSL / TLS, ved at læse hukommelsen på de sårbare servere og få de hemmelige nøgler, der bruges til at kryptere trafik. På det tidspunkt truede det integriteten af ​​vores online bank- og handelssystemer. Hundrede tusinder af systemer var sårbare, og det påvirkede næsten hver Linux- og BSD-distro.

Jeg er ikke sikker på, hvor sandsynligt det er, at sikkerhedstjenesterne stod bag det.

At skrive en solid krypteringsalgoritme er ekstremt vanskeligt. Det er på samme måde vanskeligt at implementere det. Det er uundgåeligt, at der til sidst opdages en sårbarhed eller en fejl (de findes ofte i OpenSSL Massiv fejl i OpenSSL lægger meget af Internet i fareHvis du er en af ​​de mennesker, der altid har troet, at open source-kryptografi er den mest sikre måde at kommunikere online på, er du i en overraskelse. Læs mere ) det er så alvorligt, at en ny algoritme skal oprettes, eller en implementering omskrives.

Det er derfor, krypteringsalgoritmer har taget en evolutionær vej, og nye er opbygget, når der opdages mangler i rækkefølge.

Tidligere påstande om statlig indblanding i open source

Selvfølgelig er det ikke uhørt for regeringer at interessere sig for open source-projekter. Det er heller ikke uhørt for regeringer at blive beskyldt for at have påvirket retningen eller funktionalitet af et softwareprojekt, enten gennem tvang, infiltration eller ved at understøtte det økonomisk.

Yasha Levine er en af ​​de undersøgende journalister, jeg beundrer mest. Han skriver nu for Pando.com, men før det skar han tænderne til at skrive for den legendariske muskovite hver uge, Exil som blev lukket ned i 2008 af Putins regering. I sin elleveårs levetid blev det kendt for sit grove, skandaløse indhold, lige så meget som det gjorde for Levines (og medstifter) Mark Ames, der også skriver for Pando.com) hård efterforskningsrapportering.

Denne flair for efterforskningsjournalistik har fulgt ham til Pando.com. I løbet af det sidste år har Levine offentliggjort en række stykker, der fremhæver båndet mellem Tor-projektet, og hvad han kalder det amerikanske militærovervågningskompleks, men er virkelig Office of Naval Research (ONR) og Defense Advanced Research Projects Agency (DARPA).

Tor (eller, Onion Router) Virkelig privat browsing: En uofficiel brugervejledning til TorTor giver virkelig anonym og ikke-sporbar browsing og beskeder samt adgang til den såkaldte “Deep Web”. Tor kan ikke sandsynligvis brydes af nogen organisation på planeten. Læs mere , for dem, der ikke er helt op til hastigheden, er et stykke software, der anonymiserer trafik ved at sprænge den gennem flere krypterede slutpunkter. Fordelen med dette er, at du kan bruge Internettet uden at afsløre din identitet eller være underlagt lokal censur, hvilket er praktisk, hvis du lever i et undertrykkende regime, som Kina, Cuba eller Eritrea. En af de nemmeste måder at få det på er med den Firefox-baserede Tor Browser, som Jeg talte om for et par måneder siden Sådan gennemses Facebook over Tor i 5 trinVil du være sikker, når du bruger Facebook? Det sociale netværk har lanceret en .onion-adresse! Sådan bruges Facebook på Tor. Læs mere .

I øvrigt er det medium, hvor du finder dig selv at læse denne artikel, i sig selv et produkt af DARPA-investering. Uden ARPANET, ville der ikke være noget internet.

For at opsummere Levines punkter: da TOR får størstedelen af ​​sin finansiering fra den amerikanske regering, er det derfor ubønnhørligt knyttet til dem og kan ikke længere operere uafhængigt. Der er også en række TOR-bidragydere, der tidligere har arbejdet med den amerikanske regering i en eller anden form.

For at læse Levines point fuldt ud, skal du læse den ”Næsten alle involverede i udviklingen af ​​Tor blev (eller er) finansieret af den amerikanske regering”, der blev offentliggjort den 16. juli 2014.

Derefter læse dette modsagnaf Micah Lee, der skriver for The Intercept. For at opsummere modargumenterne: DOD er ​​lige så afhængig af TOR for at beskytte deres operative, har TOR-projektet altid været åbent om, hvor deres økonomi er kommet fra.

Levine er en stor journalist, en tilfældigvis har jeg en masse beundring og respekt for. Men jeg er nogle gange bekymret for, at han falder i fælden ved at tro, at regeringer - enhver regering - er monolitiske enheder. Det er de ikke. Det er snarere en kompleks maskine med forskellige uafhængige tandhjul, hver med deres egne interesser og motiveringer, der arbejder autonomt.

Det er helt plausibel at en afdeling af regeringen ville være villig til at investere i et værktøj til at frigøre, mens en anden ville engagere sig i adfærd, der er anti-frihed og anti-privacy.

Og ligesom Julian Assange har demonstreret, er det bemærkelsesværdigt enkelt at antage, at der er en sammensværgelse, når den logiske forklaring er meget mere uskyldig.

Konspirationsteoretikere er dem, der hævder coverups, når der ikke er tilstrækkelige data til at understøtte, hvad de er sikre på, er sandt.

- Neil deGrasse Tyson (@neiltyson) 7. april 2011

Har vi ramt Peak WikiLeaks?

Er det bare mig, eller er WikiLeaks bedste dage gået forbi?

Det var ikke længe siden, at Assange talte til TED-arrangementer i Oxford og hacker-konferencer i New York. WikiLeaks-mærket var stærkt, og de afslørede virkelig vigtige ting, som hvidvaskning af penge i det schweiziske banksystem og voldsom korruption i Kenya.

Nu er WikiLeaks blevet overskygget af karakteren af ​​Assange - en mand, der lever i en selvpålagt eksil i Londons ecuadorianske ambassade, efter at have flygtet fra nogle temmelig alvorlige kriminelle beskyldninger i Sverige.

Assange selv har tilsyneladende ikke været i stand til at toppe sin tidligere berygtethed, og har nu taget skridt til at fremsætte outlandske påstande til alle, der vil lytte. Det er næsten trist. Især når du overvejer, at WikiLeaks har udført noget temmelig vigtigt arbejde, der siden er blevet afsporet af Julian Assange-sideshowet.

Men uanset hvad du synes om Assange, er der en ting, der er næsten sikker. Der er absolut ingen bevis for, at USA har infiltreret Debian. Eller enhver anden Linux-distro for den sags skyld.

Fotokreditter: 424 (XKCD), Kode (Michael Himbeault)