Правителството на САЩ проникна ли в проекта Debian? (Не)

реклама

Debian е една от най-популярните дистрибуции на Linux. Той е солиден, надежден и сравнен с Arch и Gentoo, сравнително лесен за новоприемане. Ubuntu е изграден върху него Debian vs Ubuntu: Колко далеч стигна Ubuntu след 10 години?Ubuntu вече е на 10 години! Кралят на Linux дистрибуциите измина дълъг път от създаването си през 2004 г., така че нека да разгледаме как се е развил по различен начин до Debian, дистрибуцията при ... Прочетете още , и това често е свикнало захранвайте Raspberry Pi Как да инсталирате операционна система на Raspberry PiЕто как да инсталирате ОС на вашия Raspberry Pi и как да клонирате перфектната си настройка за бързо възстановяване при бедствия. Прочетете още .

Според него основателят на американския разузнавателен апарат според основателя на Wikileaks Джулиан Асандж.

Или е така?

Изказвайки се по време на конференцията на Световните дни на хостинга през 2014 г., Джулиан Асанж описа как определени национални държави (не посочва имена, кашлица Америка кашлица

) умишлено са направили определени дистрибуции на Linux несигурни, за да ги поставят под контрола на мрежата за наблюдение. Можете да видите пълната оферта след 20-минутната маркировка тук:

Но Асанж ли е прав?

Поглед към Debian и сигурност

В беседата на Асандж той споменава как са били саботирани безброй дистрибуции. Но той споменава Дебиан по име, така че може и да се съсредоточим върху това.

През последните 10 години в Debian бяха идентифицирани редица уязвимости. Някои от тях са били тежки, уязвимости за нулев ден Какво представлява уязвимостта на нула ден? [MakeUseOf обяснява] Прочетете още които засегнаха системата като цяло. Други са повлияли на способността му да общува сигурно с отдалечени системи.

Единствената споменавана от Assange уязвимост е грешка в OpenSSL генератора на случайни числа на Debian, която беше открит през 2008г.

Случайни числа (или поне псевдослучайни; изключително трудно е да се намери истинска случайност на компютър) са съществена част от RSA криптирането. Когато генераторът на произволни числа стане предсказуем, ефикасността на криптирането намалява и става възможно декриптирането на трафика.

Признанието е, че в миналото NSA умишлено е отслабвало силата на кодирането с търговска степен чрез намаляване на ентропията на произволно генерираните числа. Това беше а преди много време, когато силното криптиране беше разгледано със съмнение от правителството на САЩ и дори подчинено на законодателството за износ на оръжие. Саймън Сингх Книгата с кодове описва тази епоха доста добре, като се съсредоточава върху ранните дни на Добрата конфиденциалност на Филип Цимерман и сложната правна битка, която той води с правителството на САЩ.

Но това беше много отдавна и изглежда, че грешките през 2008 г. бяха по-малко резултат от злоба, а по-скоро зашеметяваща технологична некомпетентност.

Два реда код бяха премахнати от пакета OpenSSL на Debian, защото създаваха предупредителни съобщения в инструментите за изграждане Valgrind и Purify. Линиите бяха премахнати, а предупрежденията изчезнаха. Но целостта на внедряването на OpenSSL от Debian беше фундаментално осакатен.

Като Бръснач на Халон диктува, никога не приписвайте на злоба това, което може да бъде обяснено също толкова лесно, колкото некомпетентността. Между другото, този конкретен бъг беше сатиризиран от уеб комикс XKCD.

Писане по темата, IgnorantGuru блог също спекулира скорошната грешка в Heartbleed (която ние обхванати миналата година Сърцебиене - какво можете да направите, за да останете в безопасност? Прочетете още ) може да е бил продукт на услугите за сигурност преднамерено се опитва да подкопае криптографията в Linux.

Heartbleed беше уязвимост на сигурността в библиотеката на OpenSSL, която потенциално може да види злонамерена информация за кражба на потребители защитени от SSL / TLS, чрез четене на паметта на уязвимите сървъри и получаване на секретните ключове, използвани за криптиране на трафика. По това време това застрашаваше целостта на нашите системи за онлайн банкиране и търговия. Стотици хиляди системи бяха уязвими и това засегна почти всеки Linux и BSD дистрибутор.

Не съм сигурен колко е вероятно службите за сигурност да стоят зад него.

Писането на солиден алгоритъм за криптиране е изключително трудно. Прилагането му е подобно трудно. Неизбежно е в крайна сметка да се открие уязвимост или недостатък (те често са в OpenSSL Масивна грешка в OpenSSL поставя голяма част от интернет на рискАко сте от онези хора, които винаги са вярвали, че криптографията с отворен код е най-сигурният начин за комуникация онлайн, ви предстои малко изненада. Прочетете още ), което е толкова тежко, трябва да се създаде нов алгоритъм или да се пренапише изпълнение.

Ето защо алгоритмите за криптиране са поели по еволюционен път и нови се изграждат, когато се открият недостатъци по ред.

Предишни твърдения за намеса на правителството в отворен код

Разбира се, не е нечувано правителствата да се интересуват от проекти с отворен код. Също така не е нечувано правителствата да бъдат обвинявани в осезаемо влияние върху посоката или функционалност на софтуерен проект, било чрез принуда, инфилтрация или чрез подкрепата му финансово.

Яша Левайн е един от разследващите журналисти, на които най-много се възхищавам. Сега той пише за Pando.com, но преди това той реже зъбите си, като пише за легендарния московски две седмици, Изгнанието която беше закрита през 2008 г. от правителството на Путин. В единадесетгодишния си живот той стана известен с грубото си скандално съдържание, колкото и за Левин (и съосновател) Марк Еймс, които също пишат за Pando.com) ожесточена разследваща отчетност.

Този нюх към разследващата журналистика го последва пред Pando.com. През последната година или около това Levine публикува редица произведения, подчертаващи връзките между проекта Tor и това, което той нарича американския комплекс за военно наблюдение, но всъщност е Служба за военноморски изследвания (ONR) и на Агенция за напреднали научни проекти в областта на отбраната (DARPA).

Tor (или, Рутен лук) Наистина частно сърфиране: Неофициално ръководство на потребителя за TorTor осигурява наистина анонимно и непроследяващо сърфиране и съобщения, както и достъп до така наречената „Deep Web“. Tor не може да бъде разбито от която и да е организация на планетата. Прочетете още , за тези, които не са съвсем бързи, е софтуер, който анонимизира трафика, като го прехвърля през множество криптирани крайни точки. Предимството на това е, че можете да използвате Интернет, без да разкривате самоличността си или да не сте обект на местна цензура, което е удобно, ако живеете в репресивен режим, като Китай, Куба или Еритрея. Един от най-лесните начини да го получите е с базиран на Firefox браузър Tor, който Говорих преди няколко месеца Как да прегледате Facebook Over Tor в 5 стъпкиИскате ли да сте сигурни, когато използвате Facebook? Социалната мрежа пусна адрес на .onion! Ето как да използвате Facebook на Tor. Прочетете още .

Между другото, носителят, в който се озовавате да четете тази статия, сам по себе си е продукт на инвестицията в DARPA. Без ARPANET, няма да има интернет.

За да обобщим точките на Levine: тъй като TOR получава по-голямата част от финансирането си от правителството на САЩ, следователно той е неумолимо свързан с тях и вече не може да работи самостоятелно. Има и редица сътрудници на TOR, които преди това са работили с правителството на САЩ под някаква или друга форма.

За да прочетете точките на Levine изцяло, прочетете „Почти всички, участващи в разработването на Tor, бяха (или са) финансирани от правителството на САЩ“, публикувана на 16 юли 2014 г.

Тогава прочетете този опровержение, от Михей Лий, който пише за The Intercept. За да обобщим контрааргументите: DOD е също толкова зависим от TOR, за да защити своите оперативни лица, проектът TOR винаги е бил отворен за това откъде идват техните финанси.

Левайн е страхотен журналист, който случайно изпитвам много възхищение и уважение. Но понякога се притеснявам, че той попада в капана на мисълта, че правителствата - всяко правителство - са монолитни образувания. Те не са По-скоро това е сложна машина с различни независими зъбци, всяка със собствени интереси и мотивации, работеща автономно.

е напълно правдоподобен че един отдел на правителството би бил готов да инвестира в инструмент за освобождаване, докато другият ще участва в поведение, което е анти-свобода и анти-неприкосновеност на личния живот.

И точно както показа Джулиан Асандж, е невероятно просто да се предположи, че има заговор, когато логичното обяснение е много по-невинно.

Теоретиците на конспирацията са тези, които претендират за прикриване, когато има недостатъчни данни, за да подкрепят това, което са сигурни, че е истина.

- Нийл де Грас Тайсън (@neiltyson) 7 април 2011 г.

Ударихме ли връх WikiLeaks?

Само аз ли съм или минаха най-добрите дни на WikiLeaks?

Не много отдавна Асанж говореше на TED събития в Оксфорд и хакерски конференции в Ню Йорк. Марката WikiLeaks беше силна и разкриха наистина важни неща, като пране на пари в швейцарската банкова система и бурна корупция в Кения.

Сега WikiLeaks е засенчен от характера на Асандж - човек, който живее в самоналагане изгнание в лондонското еквадорско посолство, след като избяга от някои доста тежки криминални обвинения в Швеция.

Самият Асандж изглежда не е в състояние да постигне по-ранната си известност и сега се зае да отправя чужди претенции към всеки, който ще слуша. Почти тъжно е. Особено, когато вземете предвид, че WikiLeaks е свършил някаква доста важна работа, която оттогава е дерайлирана от страничната програма на Джулиан Асанж.

Но каквото и да мислите за Асандж, има едно нещо, което е почти сигурно. Няма абсолютно никакви доказателства, че САЩ са проникнали в Debian. Или какъвто и да е друг Linux дистрибутор по този въпрос.

Кредити за снимки: 424 (XKCD), Код (Майкъл Химбо)