Czy rząd USA zinfiltrował projekt Debian? (Nie)

Reklama

Debian jest jedną z najpopularniejszych dystrybucji Linuksa. Jest solidny, niezawodny, w porównaniu z Arch i Gentoo, stosunkowo łatwy do zrozumienia dla początkujących. Ubuntu jest zbudowany na nim Debian vs Ubuntu: Jak daleko doszło do Ubuntu za 10 lat?Ubuntu ma teraz 10 lat! Król dystrybucji Linuksa przeszedł długą drogę od swojego powstania w 2004 roku, więc spójrzmy, jak rozwijał się inaczej niż Debian, dystrybucja po ... Czytaj więcej i często się przyzwyczaja zasil Raspberry Pi Jak zainstalować system operacyjny na Raspberry PiOto jak zainstalować system operacyjny na Raspberry Pi i jak sklonować idealną konfigurację do szybkiego odzyskiwania po awarii. Czytaj więcej .

Według założyciela Wikileaks, Juliana Assange'a, jest rzekomo w posiadaniu amerykańskiego aparatu wywiadowczego.

Albo to jest?

Przemawiając na konferencji World Hosting Days 2014, Julian Assange opisał, w jaki sposób niektóre narody (bez nazwy, kaszel Ameryka kaszel) celowo spowodowały, że niektóre dystrybucje Linuksa stały się niepewne, w celu objęcia ich kontrolą swojego magnesu nadzoru. Możesz zobaczyć pełną ofertę po 20 minutach tutaj:

Ale czy Assange ma rację?

Spojrzenie na Debiana i bezpieczeństwo

W przemówieniu Assange wspomina, w jaki sposób niezliczone dystrybucje zostały celowo sabotowane. Ale wspomina o Debianie wg nazwy, więc równie dobrze możemy się na tym skoncentrować.

W ciągu ostatnich 10 lat w Debianie zidentyfikowano wiele luk w zabezpieczeniach. Niektóre z nich były poważne, Luki w stylu zero-day Co to jest luka w zabezpieczeniach związana z zerowym dniem? [MakeUseOf wyjaśnia] Czytaj więcej które ogólnie wpłynęły na system. Inne wpłynęły na jego zdolność do bezpiecznej komunikacji ze zdalnymi systemami.

Jedyną luką, o której wyraźnie wspomina Assange, jest błąd w generatorze liczb losowych OpenSSL Debiana, który był odkryte w 2008 roku.

Liczby losowe (lub przynajmniej pseudolosowe; naprawdę trudno jest uzyskać prawdziwą przypadkowość na komputerze) są istotną częścią szyfrowania RSA. Gdy generator liczb losowych staje się przewidywalny, skuteczność szyfrowania spada i staje się możliwe odszyfrowanie ruchu.

Trzeba przyznać, że w przeszłości NSA celowo osłabiała siłę szyfrowania na poziomie komercyjnym, zmniejszając entropię losowo generowanych liczb. To było dawno temu, gdy silne szyfrowanie było podejrzane przez rząd USA, a nawet podlegało przepisom eksportowym dotyczącym broni. Simon Singh's Księga kodów całkiem dobrze opisuje tę epokę, koncentrując się na początkach dość dobrej prywatności Philipa Zimmermana i toczącej się legalnej bitwie, którą stoczył z rządem USA.

Ale to było dawno temu i wydaje się, że błąd w 2008 roku był mniej wynikiem złośliwości, ale raczej oszałamiającą niekompetencją technologiczną.

Dwa wiersze kodu zostały usunięte z pakietu OpenSSL Debiana, ponieważ generowały komunikaty ostrzegawcze w narzędziach kompilacji Valgrind i Purify. Linie zostały usunięte, a ostrzeżenia zniknęły. Ale integralność implementacji OpenSSL przez Debiana była zasadniczo kalekie.

Tak jak Brzytwa Hanlona nakazuje, nigdy nie przypisuj złośliwości, co równie łatwo można wytłumaczyć jako niekompetencję. Nawiasem mówiąc, ten konkretny błąd był satyrycznie komiks internetowy XKCD.

Pisząc na ten temat, IgnorantGuru blog również spekuluje ostatni błąd Heartbleed (który my objęte w zeszłym roku Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? Czytaj więcej ) mógł być również produktem służb bezpieczeństwa celowo próba osłabienia kryptografii w systemie Linux.

Heartbleed był luką w zabezpieczeniach biblioteki OpenSSL, która potencjalnie mogła zobaczyć, jak złośliwy użytkownik kradnie informacje chroniony przez SSL / TLS, odczytując pamięć zagrożonych serwerów i uzyskując tajne klucze używane do szyfrowania ruchu. W tym czasie zagrażało to integralności naszych systemów bankowości internetowej i handlu. Setki tysięcy systemów były podatne na atak i wpłynęło to prawie na każdą dystrybucję Linuksa i BSD.

Nie jestem pewien, jak prawdopodobne jest, że stoją za tym służby bezpieczeństwa.

Pisanie solidnego algorytmu szyfrowania jest ekstremalnie trudne. Wdrożenie jest podobnie trudne. Jest nieuniknione, że w końcu zostanie odkryta podatność lub wada (oni często są w OpenSSL Ogromny błąd w OpenSSL stanowi duże zagrożenie dla InternetuJeśli jesteś jedną z osób, które zawsze wierzyły, że kryptografia typu open source jest najbezpieczniejszym sposobem komunikacji online, czeka Cię niespodzianka. Czytaj więcej ), który jest tak poważny, należy utworzyć nowy algorytm lub przepisać implementację.

Właśnie dlatego algorytmy szyfrowania przeszły ewolucyjną ścieżkę, a nowe są budowane, gdy wykryte zostaną niedociągnięcia w kolejności.

Poprzednie zarzuty rządowej ingerencji w Open Source

Oczywiście rządy nie są zainteresowane projektami typu open source. Nie jest również niespotykane, aby rządy były oskarżane o wymierny wpływ na kierunek lub funkcjonalność projektu oprogramowania, poprzez przymus, infiltrację lub wsparcie materialnie.

Yasha Levine jest jednym z dziennikarzy śledczych, których najbardziej podziwiam. Teraz pisze dla Pando.com, ale wcześniej obciął zęby pisząc do legendarnego moskiewskiego dwutygodnika, Wygnanie który został zamknięty w 2008 roku przez rząd Putina. W ciągu jedenastu lat życia stał się znany ze swojej szorstkiej, oburzającej zawartości, tak samo jak zrobił to Levine (i współzałożyciel Mark Ames, którzy również piszą dla Pando.com).

Ten talent do dziennikarstwa śledczego podążył za nim na Pando.com. W ciągu ostatniego roku Levine opublikował wiele artykułów podkreślających związki między Projektem Tor i tym, co nazywa kompleksem nadzoru wojskowego USA, ale tak naprawdę jest Office of Naval Research (ONR) i Agencja Zaawansowanych Projektów Badawczych Obrony (DARPA).

Tor (lub, The Onion Router) Naprawdę prywatne przeglądanie: nieoficjalny przewodnik użytkownika po TorTor zapewnia naprawdę anonimowe i niewykrywalne przeglądanie i wysyłanie wiadomości, a także dostęp do tak zwanej „Deep Web”. Tor nie może zostać złamany przez żadną organizację na tej planecie. Czytaj więcej , dla tych, którzy nie są zbyt szybcy, to oprogramowanie, które anonimizuje ruch, odbijając go przez wiele zaszyfrowanych punktów końcowych. Zaletą tego jest to, że możesz korzystać z Internetu bez ujawniania swojej tożsamości lub podlegania lokalnej cenzurze, co jest przydatne, jeśli mieszkasz w represyjnym reżimie, takim jak Chiny, Kuba lub Erytrea. Jednym z najprostszych sposobów na uzyskanie go jest przeglądarka Tor Browser oparta na przeglądarce Firefox, która Rozmawiałem kilka miesięcy temu Jak przeglądać Facebook Over Tor w 5 krokachChcesz zachować bezpieczeństwo podczas korzystania z Facebooka? Sieć społecznościowa uruchomiła adres .onion! Oto jak korzystać z Facebooka na Tor. Czytaj więcej .

Nawiasem mówiąc, medium, w którym czytasz ten artykuł, samo w sobie jest produktem inwestycji DARPA. Bez ARPANET, nie byłoby Internetu.

Podsumowując punkty Levine'a: ​​ponieważ TOR uzyskuje większość swojego finansowania od rządu USA, jest zatem nieubłaganie z nimi powiązany i nie może dłużej działać niezależnie. Istnieje również wielu współpracowników TOR, którzy wcześniej współpracowali z rządem USA w takiej czy innej formie.

Aby w pełni przeczytać punkty Levine'a, przeczytaj „Prawie każdy zaangażowany w rozwój Tora był (lub jest) finansowany przez rząd USA”, opublikowany 16 lipca 2014 r.

Następnie przeczytaj to obalenie, przez Micah Lee, który pisze dla The Intercept. Podsumowując kontrargumenty: DOD jest tak samo zależny od TOR, aby chronić swoich pracowników, projekt TOR zawsze był otwarty, skąd pochodzą ich finanse.

Levine to świetny dziennikarz, któremu zdarzają się podziw i szacunek. Ale czasami martwię się, że wpadnie w pułapkę myślenia, że ​​rządy - jakikolwiek rząd - są monolitycznymi bytami. Nie są. Jest to raczej złożona maszyna z różnymi niezależnymi trybikami, z których każda ma własne zainteresowania i motywacje, działająca autonomicznie.

Jego całkowicie prawdopodobne że jeden departament rządu byłby skłonny zainwestować w narzędzie do emancypacji, podczas gdy inny zaangażowałby się w zachowania, które są przeciwne wolności i prywatności.

I jak pokazał Julian Assange, niezwykle łatwo jest założyć, że istnieje spisek, gdy logiczne wyjaśnienie jest o wiele bardziej niewinne.

Teoretycy spiskowi to ci, którzy twierdzą, że są ukryte, ilekroć istnieje niewystarczająca ilość danych do poparcia tego, co jest pewne.

- Neil deGrasse Tyson (@neiltyson) 7 kwietnia 2011 r

Czy trafiliśmy na szczyt WikiLeaks?

Czy to tylko ja, czy może minęły najlepsze dni WikiLeaks?

Nie tak dawno Assange przemawiał na wydarzeniach TED w Oxfordzie i konferencjach hakerów w Nowym Jorku. Marka WikiLeaks była silna i odkryli naprawdę ważne rzeczy, takie jak pranie pieniędzy w szwajcarskim systemie bankowym i szalona korupcja w Kenii.

Teraz WikiLeaks został przyćmiony przez postać Assange - człowieka, który żyje w narzuconych sobie wygnanie w londyńskiej ambasadzie Ekwadoru, uciekając przed kilkoma bardzo poważnymi zarzutami kryminalnymi w Szwecja.

Sam Assange najwyraźniej nie był w stanie zwiększyć swojej wcześniejszej sławy i teraz zaczął wysuwać dziwaczne roszczenia wobec każdego, kto będzie słuchać. To jest prawie smutne. Zwłaszcza, gdy weźmie się pod uwagę, że WikiLeaks wykonał bardzo ważną pracę, która została wykolejeniona przez side-show Juliana Assange'a.

Ale cokolwiek myślisz o Assange, jest jedna rzecz, która jest prawie pewna. Nie ma absolutnie żadnych dowodów na to, że USA przeniknęły do ​​Debiana. Albo jakakolwiek inna dystrybucja Linuksa.

Kredyty fotograficzne: 424 (XKCD), Kod (Michael Himbeault)