Har den amerikanske regjeringen infiltrert Debian-prosjektet? (Nei)
Debian er en av de mest populære Linux-distribusjonene. Den er solid, pålitelig, og sammenlignet med Arch og Gentoo, relativt lett for nybegynnere å forstå. Ubuntu er bygget på det Debian vs Ubuntu: Hvor langt har Ubuntu kommet i 10 år? Debian vs Ubuntu: Hvor langt har Ubuntu kommet i 10 år? Ubuntu er nå 10 år gammel! Kongen av Linux-distribusjoner har kommet langt siden starten 2004, så la oss se på hvordan den har utviklet seg annerledes til Debian, distribusjonen på ... Les mer, og det brukes ofte til å drive Raspberry Pi Slik installerer du et operativsystem Til din Raspberry Pi Slik installerer du et operativsystem til din Raspberry Pi Her er hvordan du får et nytt OS installert og kjører på din Pi - og hvordan du kloner ditt perfekte oppsett for rask katastrofeoppretting. Les mer .
Det er også påstått å være i forståelse av Amerikas intelligensapparat, ifølge Wikileaks grunnlegger Julian Assange.
Eller er det?
Julian Assange snakket på 2014s World Hosting Days-konferanse om hvordan enkelte nasjonale stater (navngi ingen navn, hoste Amerika hoste) har forsettlig gjort visse Linux-distribusjoner usikre, for å bringe dem under kontroll av deres overvåkingsnet. Du kan se hele sitatet etter 20 minutters mark her:
Men er Assange riktig?
En titt på Debian og sikkerhet
I Assange's tale nevner han hvordan utallige distribusjoner har blitt forsettlig sabotert. Men han nevner Debian ved navn, så vi kan like godt fokusere på den ene.
I løpet av de siste 10 årene har en rekke sikkerhetsproblemer blitt identifisert i Debian. Noen av disse har vært alvorlige, null-dagers stilproblemer Hva er et sikkerhetsproblem i null dag? [MakeUseOf Forklarer] Hva er et sikkerhetsproblem i null dag? [MakeUseOf Forklarer] Les mer som påvirket systemet generelt. Andre har påvirket sin evne til å kommunisere med fjernsystemer.
Den eneste sårbarheten Assange nevner eksplisitt, er en feil i Debians OpenSSL random number generator som ble oppdaget i 2008.
Tilfeldige tall (eller, i hvert fall pseudorandom, det er ekstremt vanskelig å få sann tilfeldighet på en datamaskin) er en viktig del av RSA-kryptering. Når en tilfeldig talgenerator blir forutsigbar, krympes effektiviteten av krypteringen, og det blir mulig å dekryptere trafikken.
Admittedly, tidligere har NSA forsettlig svekket styrken av kommersiell klasse kryptering ved å redusere entropi av tilfeldig genererte tall. Det var en lenge siden, da sterk kryptering ble vurdert med mistanke av den amerikanske regjeringen, og selv underlagt våpeneksportlovgivning. Simon Singhs Kodebok beskriver denne epoken ganske bra, med fokus på de tidlige dagene av Philip Zimmerman's Pretty Good Privacy, og den hevede juridiske kampen han kjempet med den amerikanske regjeringen.
Men det var for lenge siden, og det virker som 2008s feil var mindre et resultat av ondskap, men ganske imponerende teknologisk inkompetanse.
To kodelinjer ble fjernet fra Debians OpenSSL-pakke fordi de produserte advarselsmeldinger i verktøylinjene Valgrind og Purify. Linjene ble fjernet, og advarslene forsvant. Men integriteten til Debians implementering av OpenSSL var fundamentalt krøllet.
Som Hanlon's Razor dikterer, tilskriver aldri til ondskap hva som like lett kan forklares som inkompetanse. Forresten ble denne spesielle feilen satirisert av web-komisk XKCD.
IgnorantGuru-bloggen spekulerer også på den siste Heartbleed-buggen (som vi dekket i fjor Heartbleed - hva kan du gjøre for å være trygt? Heartbleed - hva kan du gjøre for å være trygg? Les mer) kan også ha vært et produkt av sikkerhetstjenestene med vilje prøver å undergrave kryptering på Linux.
Heartbleed var et sikkerhetsproblem i OpenSSL-biblioteket som potensielt kan se en ondsinnet bruker stjele informasjon beskyttet av SSL / TLS, ved å lese minnet til de sårbare serverne, og hente de hemmelige nøklene som brukes til å kryptere trafikk. På den tiden truet det integriteten til våre nettbank og handelssystemer. Hundretusener av systemer var sårbare, og det ramte nesten alle Linux og BSD distro.
Jeg er ikke sikker på hvor sannsynlig det er at sikkerhetstjenestene var bak den.
Skrive en solid krypteringsalgoritme er ekstremt vanskelig. Det er også vanskelig å implementere det. Det er uunngåelig at en sårbarhet eller feil vil bli oppdaget (de er ofte i OpenSSL Massive Bug i OpenSSL, legger mye av Internett i fare Massiv feil i OpenSSL legger mye av Internett i fare Hvis du er en av de menneskene som alltid har trodd at åpen kildekryptografi er den sikreste måten å kommunisere på nettet, du er litt overrasket. Les mer) Det er så alvorlig, en ny algoritme må opprettes, eller en gjennomføring omskrives..
Det er derfor krypteringsalgoritmer har tatt en evolusjonær sti, og nye er bygget når mangler oppdages i rekkefølge.
Tidligere påstander om offentlig forstyrrelse i åpen kildekode
Selvfølgelig er det ikke uvanlig for regjeringer å være interessert i open source-prosjekter. Det er heller ikke uvanlig at regjeringer blir anklaget for å påvirke retningen eller funksjonaliteten til et programvareprosjekt, enten gjennom tvang, infiltrering eller ved å støtte det økonomisk.
Yasha Levine er en av de undersøkende journalistene jeg mest beundrer. Han skriver nå for Pando.com, men før det kuttet han tennene for å skrive for den legendariske Muscovite hver uke, The Exile som ble stengt i 2008 av Putins regjering. I sin elleve års levetid ble det kjent for sitt grove, opprørende innhold, så mye som det gjorde for Levines (og medgrunnlegger Mark Ames, som også skriver for Pando.com), voldsom etterforskningsrapportering.
Denne stilen for undersøkende journalistikk har fulgt ham til Pando.com. I løpet av det siste året har Levine publisert en rekke stykker som fremhever båndene mellom Tor-prosjektet, og hva han kaller det amerikanske militærovervåkningskomplekset, men er egentlig Navnelandsforskning (ONR) og forsvarsforskningsforskningsprosjektene Byrå (DARPA).
Tor (eller, løkrouteren) Egentlig privat surfing: En uoffisiell brukerhåndbok til Tor virkelig privat surfing: En uoffisiell brukerhåndbok til Tor Tor gir virkelig anonym og uoppnåelig nettlesing og meldinger, samt tilgang til den såkalte “Deep Web”. Tor kan ikke trolig bli ødelagt av noen organisasjon på planeten. Les mer, for de som ikke er helt opp til hastighet, er et program som anonymiserer trafikk ved å hoppe gjennom flere krypterte endepunkter. Fordelen med dette er at du kan bruke Internett uten å avsløre identiteten din eller være underlagt lokal censur, noe som er nyttig hvis du bor i et repressivt regime, som Kina, Cuba eller Eritrea. En av de enkleste måtene å få det på, er med Firefox-baserte Tor Browser, som jeg snakket om for noen måneder siden. Hvordan kan du offisielt bla gjennom Facebook over Tor. Slik kan du offisielt bla gjennom Facebook Over Tor. Merkelig har Facebook lansert aa .onion-adresse for Tor-brukere å få tilgang til det populære sosiale nettverket. Vi viser deg hvordan du får tilgang til den i Tor-Browser. Les mer .
I mellomtiden er mediet der du kommer til å finne deg selv å lese denne artikkelen, et produkt av DARPA-investering. Uten ARPANET ville det ikke være noe Internett.
For å oppsummere Levins poeng: siden TOR får størstedelen av sin finansiering fra den amerikanske regjeringen, er den derfor uforgjengelig knyttet til dem, og kan ikke lenger operere selvstendig. Det er også en rekke TOR-bidragsytere som tidligere har jobbet med den amerikanske regjeringen i en eller annen form.
For å lese Levins poeng i sin helhet, les av “Nesten alle involvert i å utvikle Tor var (eller er) finansiert av den amerikanske regjeringen”, publisert 16. juli 2014.
Les deretter denne påstanden, av Micah Lee, som skriver for The Intercept. For å oppsummere motargumentene: DOD er like avhengig av TOR for å beskytte sine operatører, har TOR-prosjektet alltid vært åpent om hvor deres økonomi er kommet fra.
Levine er en flott journalist, en jeg tilfeldigvis har mye beundring og respekt for. Men jeg bekymrer meg noen ganger om at han faller i fellen for å tro at regjeringer - noen regjering - er monolitiske enheter. De er det ikke. Snarere er det en kompleks maskin med forskjellige uavhengige tannhjul, hver med sine egne interesser og motivasjoner, som arbeider autonomt.
Det er helt plausibel den ene avdelingen av regjeringen ville være villig til å investere i et verktøy for å frigjøre, mens en annen ville engasjere seg i atferd som er anti-frihet og anti-personvern.
Og akkurat som Julian Assange har demonstrert, er det utrolig enkelt å anta at det er en konspirasjon, når den logiske forklaringen er mye mer uskyldig.
Konspirasjonsteoretikere er de som hevder coverups når det ikke finnes nok data for å støtte det de er sikre på, er sant.
- Neil deGrasse Tyson (@neiltyson) 7. april 2011
Har vi rammet Peak WikiLeaks?
Er det bare meg, eller har WikiLeaks beste dager gått forbi?
Det var ikke lenge siden at Assange snakket på TED-hendelser i Oxford og hacker-konferanser i New York. WikiLeaks-merkevaren var sterk, og de avdekket virkelig viktige ting, som hvitvasking av penger i det sveitsiske banksystemet og voldsom korrupsjon i Kenya.
Nå har WikiLeaks blitt overskygget av Assange karakter - en mann som bor i en selvpålagt eksil i Londons ekvadorske ambassade, etter å ha flyktet fra noen ganske alvorlige kriminelle påstander i Sverige.
Assange selv har tilsynelatende ikke vært i stand til å øke sin tidligere berømmelse, og har nå tatt for å gjøre outlandish krav til alle som vil høre. Det er nesten trist. Spesielt når du vurderer at WikiLeaks har gjort noe ganske viktig arbeid som siden har blitt spisset av Julian Assange sideshow.
Men uansett hva du synes om Assange, er det en ting som er nesten sikkert. Det er absolutt ingen bevis at USA har infiltrert Debian. Eller noen annen Linux distro, for den saks skyld.
Fotokrav: 424 (XKCD), Kode (Michael Himbeault)
Utforsk mer om: Debian, Linux, Online Privacy, Surveillance.