Har den amerikanske regjeringen infiltrert Debian-prosjektet? (Nei)

Annonse

Debian er en av de mest populære Linux-distribusjonene. Det er solid, pålitelig og sammenlignet med Arch og Gentoo, relativt enkelt for nykommere å forstå. Ubuntu er bygget på det Debian vs Ubuntu: Hvor langt har Ubuntu kommet på ti år?Ubuntu er nå 10 år gammel! Kongen av Linux-distribusjoner har kommet langt siden oppstarten i 2004, så la oss se på hvordan den har utviklet seg annerledes enn Debian, distribusjonen etter ... Les mer , og det er ofte brukt til kraft Raspberry Pi Slik installerer du et operativsystem på en Raspberry PiSlik installerer du et OS på Raspberry Pi og hvordan du kloner det perfekte oppsettet for rask gjenoppretting av katastrofer. Les mer .

Det påstås også å være under grepet av USAs etterretningsapparat, ifølge Wikileaks-grunnlegger Julian Assange.

Eller er det?

I en tale på 2014's World Hosting Days-konferanse, beskrev Julian Assange hvordan visse nasjonalstater (navngir ingen navn, hoste Amerika hoste) har med vilje gjort visse Linux-distribusjoner usikre, for å bringe dem under kontroll av deres overvåknings-dragnet. Du kan se hele tilbudet etter 20-minuttersmerket her:

Men har Assange rett?

En titt på Debian og sikkerhet

I Assanges tale nevner han hvordan utallige distribusjoner med vilje er blitt sabotert. Men han nevner Debian ved navn, så vi kan like gjerne fokusere på den.

I løpet av de siste 10 årene er det identifisert en rekke sårbarheter i Debian. Noen av disse har vært alvorlige, sårbarheter i stil med null dager Hva er en sårbarhet med null dager? [MakeUseOf Explains] Les mer som påvirket systemet generelt. Andre har påvirket dens evne til å kommunisere sikkert med eksterne systemer.

Den eneste sårbarheten Assange nevner eksplisitt er en feil i Debians OpenSSL tilfeldige nummergenerator som var oppdaget i 2008.

Tilfeldige tall (eller i det minste pseudorandom; Det er ekstremt vanskelig å få ekte tilfeldighet på en datamaskin) er en viktig del av RSA-kryptering. Når en tilfeldig tallgenerator blir forutsigbar, vil effektiviteten til krypteringen synke, og det blir mulig å dekryptere trafikken.

Riktignok har NSA i det siste med vilje svekket styrken ved kommersiell kvalitetskryptering ved å redusere entropien til de tilfeldig genererte tallene. Det var en lenge siden, da sterk kryptering ble ansett med mistanke fra den amerikanske regjeringen, og til og med underlagt våpeneksportlovgivning. Simon Singh's Kodeboken beskriver denne tidsepoken ganske godt, med fokus på de tidlige dagene av Philip Zimmermans Pretty Good Privacy, og den voldsomme juridiske kampen han kjempet med den amerikanske regjeringen.

Men det var for lenge siden, og det virker som om feilen i 2008 var mindre et resultat av ondskap, men heller fantastisk teknologisk inkompetanse.

To kodelinjer ble fjernet fra Debians OpenSSL-pakke fordi de produserte advarsler i Valgrind og Purify build-verktøyene. Linjene ble fjernet, og advarslene forsvant. Men integriteten til Debians implementering av OpenSSL var grunnleggende forkrøplet.

Som Hanlon's Razor dikterer, tilskriv aldri ondskap det som like lett kan forklares som inkompetanse. Forresten, akkurat denne feilen var satirisert av webkomikeren XKCD.

Skrive om emnet, the IgnorantGuru blog spekulerer også den siste Heartbleed-bug (som vi dekket i fjor Heartbleed - Hva kan du gjøre for å holde deg trygg? Les mer ) kan ha vært et produkt av sikkerhetstjenestene med hensikt prøver å undergrave kryptografi på Linux.

Heartbleed var et sikkerhetsproblem i OpenSSL-biblioteket som potensielt kan se en ondsinnet bruker stjele informasjon beskyttet av SSL / TLS, ved å lese minnet til de sårbare serverne, og få tak i de hemmelige nøklene som brukes til å kryptere trafikk. På det tidspunktet truet det integriteten til våre nettbank- og handelssystemer. Hundretusenvis av systemer var sårbare, og det påvirket nesten hver Linux- og BSD-distro.

Jeg er ikke sikker på hvor sannsynlig det er at sikkerhetstjenestene sto bak det.

Å skrive en solid krypteringsalgoritme er ekstremt vanskelig. Å implementere det er på samme måte vanskelig. Det er uunngåelig at det til slutt blir oppdaget en sårbarhet eller feil (de er ofte i OpenSSL Massive Bug i OpenSSL setter mye av internett i fareHvis du er en av de menneskene som alltid har trodd at åpen kildekodekryptografi er den sikreste måten å kommunisere på nettet, er du litt overraskende. Les mer ) som er så alvorlig, en ny algoritme må opprettes, eller en implementering skrives om.

Det er grunnen til at krypteringsalgoritmer har tatt en evolusjonær vei, og nye bygges når mangler oppdages i rekkefølge.

Tidligere påstander om statlig innblanding i åpen kildekode

Selvfølgelig er det ikke uhørt for regjeringer å interessere seg for open source-prosjekter. Det er heller ikke uhørt for regjeringer å bli beskyldt for å ha påvirket retningen påtakelig eller funksjonaliteten til et programvareprosjekt, enten gjennom tvang, infiltrasjon eller ved å støtte det økonomisk.

Yasha Levine er en av de etterforskende journalistene jeg mest beundrer. Han skriver nå for Pando.com, men før det klippet han tennene sine for å skrive for den legendariske muskovitten annenhver uke, Eksil som ble lagt ned i 2008 av Putins regjering. I løpet av den elleve år lange levetiden ble den kjent for sitt grove, skandaløse innhold, like mye som det gjorde for Levines (og medgründer) Mark Ames, som også skriver for Pando.com) hard undersøkelsesrapportering.

Denne teftet for undersøkende journalistikk har fulgt ham til Pando.com. I løpet av det siste året eller så har Levine publisert en rekke stykker som belyser båndene mellom Tor-prosjektet, og det han kaller det amerikanske militærovervåkningskomplekset, men er egentlig Office of Naval Research (ONR) og Defense Advanced Research Projects Agency (DARPA).

Tor (eller, Onion Router) Virkelig privat surfing: En uoffisiell brukerveiledning til TorTor gir virkelig anonym og ikke-sporbar surfing og meldinger, samt tilgang til den såkalte “Deep Web”. Tor kan ikke sannsynligvis brytes av noen organisasjon på planeten. Les mer , for de som ikke er oppdatert, er en programvare som anonymiserer trafikk ved å sprette den gjennom flere krypterte sluttpunkter. Fordelen med dette er at du kan bruke Internett uten å røpe identiteten din eller være underlagt lokal sensur, noe som er nyttig hvis du lever i et undertrykkende regime, som Kina, Cuba eller Eritrea. En av de enkleste måtene å få det til er med den Firefox-baserte Tor Browser, som Jeg snakket om for noen måneder siden Hvordan bla gjennom Facebook over Tor i 5 trinnVil du være sikker når du bruker Facebook? Det sosiale nettverket har lansert en .onion-adresse! Slik bruker du Facebook på Tor. Les mer .

For øvrig er mediet du kommer til å finne deg selv å lese denne artikkelen i seg selv et produkt av DARPA-investeringer. Uten ARPANET, ville det ikke være noe Internett.

For å oppsummere Levines poeng: siden TOR får mesteparten av finansieringen fra den amerikanske regjeringen, er den derfor ubønnhørlig knyttet til dem, og kan ikke lenger operere selvstendig. Det er også en rekke TOR-bidragsytere som tidligere har jobbet med den amerikanske regjeringen i en eller annen form.

For å lese Levines poeng fullt ut, må du lese "Nesten alle som var involvert i å utvikle Tor ble (eller er) finansiert av den amerikanske regjeringen", utgitt 16. juli 2014.

Deretter les dette motforestillingen, av Micah Lee, som skriver for The Intercept. For å oppsummere motargumentene: DOD er ​​like avhengig av TOR for å beskytte sine operative, har TOR-prosjektet alltid vært åpent om hvor deres økonomi har kommet fra.

Levine er en flott journalist, jeg tilfeldigvis har mye beundring og respekt for. Men jeg bekymrer meg noen ganger for at han faller i fellen med å tenke at regjeringer - enhver regjering - er monolitiske enheter. Det er de ikke. Snarere er det en kompleks maskin med forskjellige uavhengige tannhjul, hver med sine egne interesser og motivasjoner, og jobber autonomt.

Det er helt plausibel at en av myndighetene ville være villige til å investere i et verktøy for å frigjøre, mens en annen ville engasjere seg i atferd som er anti-frihet og anti-privacy.

Og akkurat som Julian Assange har demonstrert, er det bemerkelsesverdig enkelt å anta at det er en konspirasjon, når den logiske forklaringen er mye mer uskyldig.

Konspirasjonsteoretikere er de som hevder coverups når det ikke er tilstrekkelig med data til å støtte det de er sikre på at er sant.

- Neil deGrasse Tyson (@neiltyson) 7. april 2011

Har vi truffet topp WikiLeaks?

Er det bare meg, eller har WikiLeaks beste dager gått?

Det var ikke lenge siden Assange holdt tale på TED-arrangementer i Oxford og hacker-konferanser i New York. WikiLeaks-merket var sterkt, og de avdekket veldig viktige ting, som hvitvasking av penger i det sveitsiske banksystemet, og frodig korrupsjon i Kenya.

Nå har WikiLeaks blitt overskygget av karakteren til Assange - en mann som lever i en selvpålagt eksil i Londons ecuadorianske ambassade, etter å ha flyktet fra noen ganske alvorlige kriminelle anklager i Sverige.

Assange har tilsynelatende ikke vært i stand til å toppe sin tidligere beryktethet, og har nå tatt for å komme med utlandlige påstander til alle som vil lytte. Det er nesten trist. Spesielt når du tenker på at WikiLeaks har utført et ganske viktig arbeid som siden har blitt avsporet av Julian Assange-sideshowet.

Men uansett hva du synes om Assange, er det en ting som er nesten sikker. Det er absolutt ingen bevis på at USA har infiltrert Debian. Eller hvilken som helst annen Linux-distro, for den saks skyld.

Fotokreditter: 424 (XKCD), Kode (Michael Himbeault)