Debian er en af de mest populære Linux-distributioner. Det er solidt, pålideligt og sammenlignet med Arch og Gentoo, relativt nemt for nyankomne at forstå. Ubuntu er bygget på det Debian vs Ubuntu: Hvor langt har Ubuntu Kom i 10 år? Debian vs Ubuntu: Hvor langt har Ubuntu Kom i 10 år? Ubuntu er nu 10 år gammel! Kongen af Linux-distributioner er kommet langt siden starten 2004, så lad os se på, hvordan det har udviklet sig forskelligt til Debian, fordelingen på ... Læs mere, og det bruges ofte til at drive Raspberry Pi Sådan installeres en Operativsystem til din Raspberry Pi Sådan installeres et operativsystem til din Raspberry Pi Sådan får du et nyt OS installeret og kører på din Pi - og hvordan du kloner dit perfekte setup til hurtig katastrofeinddrivelse. Læs mere .
Det hævdes også at være i forståelse af Amerikas intelligensapparat, ifølge Wikileaks grundlægger Julian Assange.
Eller er det?
I forbindelse med 2014's World Hosting Days-konference beskrev Julian Assange, hvordan visse nationstater (navngivning af navne, hoster amerikansk hoste ) forsætligt har gjort visse Linux-distributioner usikre, for at bringe dem under kontrol af deres overvågningsnet. Du kan se hele citatet efter 20 minutters varemærket her:
Men er Assange ret?
Et kig på Debian og sikkerhed
I Assange's tale nævner han, hvordan utallige distributioner er blevet forsætligt blevet saboteret. Men han nævner Debian ved navn, så vi kan lige så godt fokusere på den ene.
I løbet af de sidste 10 år er der identificeret en række sårbarheder i Debian. Nogle af disse har været svære, null-dag stil sårbarheder Hvad er en nul dag sårbarhed? [MakeUseOf Forklarer] Hvad er en nul-dag sårbarhed? [MakeUseOf Forklarer] Læs mere, der påvirker systemet generelt. Andre har påvirket dets evne til sikkert at kommunikere med fjernsystemer.
Den eneste sårbarhed Assange nævner eksplicit, er en fejl i Debians OpenSSL random number generator, der blev opdaget i 2008.
Tilfældige tal (eller i hvert fald pseudorandom; det er ekstremt svært at få ægte tilfældighed på en computer) er en væsentlig del af RSA-kryptering. Når en tilfældig talgenerator bliver forudsigelig, krymper effektiviteten af krypteringen, og det bliver muligt at dekryptere trafikken.
Ganske vist har NSA forsætligt svækket styrken af kryptering i kommerciel grad ved at reducere entropien af de tilfældigt genererede tal. Det var for længe siden, da stærk kryptering blev betragtet som mistænkt af den amerikanske regering og endda underlagt våbeneksportlovgivning. Simon Singhs Kodebog beskriver denne æra ganske godt og fokuserer på de tidlige dage af Philip Zimmerman's Pretty Good Privacy, og det krænkede juridiske slag han kæmpede med den amerikanske regering.
Men det var for længe siden, og det ser ud som om 2008's fejl var mindre et resultat af ondskab, men snarere forbløffende teknologisk inkompetence.
To kodelinjer blev fjernet fra Debians OpenSSL-pakke, fordi de producerede advarselsmeddelelser i Valgrind og Purify build-værktøjerne. Linjerne blev fjernet, og advarslerne forsvandt. Men integriteten af Debians implementering af OpenSSL var fundamentalt forkrøbet .
Som Hanlon's Razor dikterer, tilskriver aldrig til ondskab, hvad der lige så nemt kan forklares som inkompetence. I øvrigt blev denne særlige fejl satiriseret af web-komisk XKCD.
IgnorantGuru bloggen spekulerer også på den nylige Heartbleed bug (som vi dækkede sidste år Heartbleed - Hvad kan du gøre for at være sikker? Heartbleed - Hvad kan du gøre for at være sikker? Læs mere) kan også have været et produkt af Sikkerhedstjenesten forsætligt forsøger at underminere kryptografi på Linux.
Heartbleed var en sikkerhedsproblem i OpenSSL-biblioteket, der potentielt kunne se en ondsindet bruger stjæle oplysninger beskyttet af SSL / TLS, ved at læse hukommelsen til de sårbare servere og opnå de hemmelige nøgler, der bruges til at kryptere trafik. På det tidspunkt truede det integriteten i vores online banking og handelssystemer. Hundredusinder af systemer var sårbare, og det ramte næsten alle Linux og BSD distro.
Jeg er ikke sikker på, hvor sandsynligt det er, at sikkerhedstjenesten var bag den.
At skrive en solid krypteringsalgoritme er yderst vanskelig . Det er ligeledes vanskeligt at gennemføre det. Det er uundgåeligt, at der i sidste ende opstår en sårbarhed eller fejl (de er ofte i OpenSSL Massive Bug i OpenSSL udbringer meget af internet i fare Massive fejl i OpenSSL udbringer meget af internet i fare Hvis du er en af de mennesker, der altid har troet at open source kryptografi er den sikreste måde at kommunikere online, du er i for en smule overraskelse. Læs mere) Det er så alvorligt, der skal oprettes en ny algoritme eller en implementering omskrives.
Det er derfor, at krypteringsalgoritmer har taget en evolutionær vej, og nye er bygget, når der opdages mangler i de ordnede.
Tidligere påstande om offentlig forstyrrelse i open source
Det er selvfølgelig ikke uhørt for regeringer at være interesseret i open source-projekter. Det er heller ikke uhørt for regeringer at blive anklaget for at påvirke retning eller funktionalitet af et softwareprojekt, enten gennem tvang, infiltration eller ved at støtte det økonomisk.
Yasha Levine er en af de undersøgende journalister, jeg mest beundrer. Han skriver nu til Pando.com, men før det skar han sine tænder til at skrive til den legendariske Muscovite hver uge, The Exile, som blev lukket i 2008 af Putins regering. I sin elleve års levetid blev det kendt for sit grove, uhyrlige indhold, lige så meget som det gjorde for Levines (og medstifter Mark Ames, som også skriver til Pando.com) hård efterforskende rapportering.
Denne flair for efterforskende journalistik har fulgt ham til Pando.com. I løbet af det sidste år har Levine udgivet en række stykker, der fremhæver båndene mellem Tor Project og hvad han kalder det amerikanske militærovervågningskompleks, men er virkelig Office of Naval Research (ONR) og Defence Advanced Research Projects Agenturet (DARPA).
Tor (eller, Onion Router) Really Private Browsing: En uofficiel brugervejledning til Tor Really Private Browsing: En uofficiel brugervejledning til Tor Tor giver virkelig anonym og untraceable browsing og messaging samt adgang til den såkaldte "Deep Web" . Tor kan ikke plausibelt blive brudt af nogen organisation på planeten. Læs mere, for dem, der ikke er helt up to speed, er et stykke software, der anonymiserer trafik ved at hoppe gennem flere krypterede endepunkter. Fordelen ved dette er, at du kan bruge internettet uden at afsløre din identitet eller være underlagt lokal censur, hvilket er praktisk, hvis du bor i et repressivt regime som Kina, Cuba eller Eritrea. En af de nemmeste måder at få det på, er med den Firefoxbaserede Tor Browser, som jeg talte om for et par måneder siden. Hvordan kan du officielt gennemse Facebook over Tor Hvordan kan du officielt gennemse Facebook Over Tor? Det er bemærkelsesværdigt, at Facebook har lanceret aa .onion adresse for Tor brugere at få adgang til det populære sociale netværk. Vi viser dig hvordan du får adgang til det i Tor-Browser. Læs mere .
I øvrigt er mediet, hvor du kommer til at finde dig selv at læse denne artikel, selv et produkt af DARPA investering. Uden ARPANET ville der ikke være internettet.
At opsummere Levins punkter: Da TOR får størstedelen af sin finansiering fra den amerikanske regering, er den derfor ubemærket forbundet med dem og kan ikke længere operere selvstændigt. Der er også en række TOR bidragsydere, der tidligere har arbejdet med den amerikanske regering i en eller anden form.
For at læse Levines punkter fuldt ud, læs en af "Næsten alle involverede i udviklingen af Tor var (eller er) finansieret af den amerikanske regering", udgivet den 16. juli 2014.
Læs derefter denne gentagelse, af Micah Lee, som skriver for The Intercept. For at opsummere modargumenterne: DOD er lige så afhængig af TOR for at beskytte deres operatører, har TOR-projektet altid været åben om, hvor deres økonomi er kommet fra.
Levine er en stor journalist, en jeg tilfældigvis har meget beundring og respekt for. Men jeg bekymrer mig nogle gange om, at han falder i fælden for at tro, at regeringer - enhver regering - er monolitiske enheder. Det er de ikke. Det er snarere en kompleks maskine med forskellige uafhængige tæpper, hver med deres egne interesser og motivationer, der arbejder autonomt.
Det er helt sandsynligt, at en afdeling af regeringen ville være villig til at investere i et værktøj til at frigøre, mens en anden ville engagere sig i adfærd, der er anti-frihed og anti-privatliv.
Og som Julian Assange har påvist, er det bemærkelsesværdigt simpelt at antage, at der er en sammensværgelse, når den logiske forklaring er meget mere uskyldig.
Konspirationsteoretikere er dem, der hævder coverups, når der ikke findes tilstrækkelige data til at understøtte det, de er sikre på, er sandt.
- Neil deGrasse Tyson (@neiltyson) 7. april 2011
Har vi ramt Peak WikiLeaks?
Er det bare mig, eller har WikiLeaks bedste dage gået forbi?
Det var ikke længe siden, at Assange talte på TED-arrangementer i Oxford og hackerkonferencer i New York. WikiLeaks-mærket var stærkt, og de afslørede virkelig vigtige ting, som hvidvaskning af penge i det schweiziske banksystem og voldsom korruption i Kenya.
Nu er WikiLeaks blevet overskygget af Assange karakter - en mand, der lever i en selvpålagt eksil i Londons ecuadorianske ambassade, efter at have flygtet fra nogle ret alvorlige kriminelle påstande i Sverige.
Assange selv har tilsyneladende ikke været i stand til at overvinde sin tidligere berygtelse, og har nu taget til at gøre outlandish krav til alle, der vil lytte. Det er næsten trist. Især når du overvejer at WikiLeaks har gjort noget ret vigtigt arbejde, der siden er blevet sporet af Julian Assange sideshow.
Men hvad end du synes om Assange, er der en ting, der er næsten sikkert. Der er absolut ingen tegn på, at USA har infiltreret Debian. Eller nogen anden Linux distro, for den sags skyld.
Foto Credits: 424 (XKCD), Code (Michael Himbeault)