Проникло ли правительство США в проект Debian? (Нет)

Реклама

Debian является одним из самых популярных дистрибутивов Linux. Он прочный, надежный и по сравнению с Arch и Gentoo, новичкам относительно легко понять. Ubuntu это построен на этом Debian против Ubuntu: как далеко продвинулась Ubuntu за 10 лет?Ubuntu сейчас 10 лет! Король дистрибутивов Linux прошел большой путь с момента его создания в 2004 году, поэтому давайте посмотрим, как он развивался по-другому, чем Debian, дистрибутив после ... Читать далее и это часто используется для сила малины пи Как установить операционную систему на Raspberry PiВот как установить ОС на Raspberry Pi и как клонировать идеальную настройку для быстрого аварийного восстановления. Читать далее .

По словам основателя Wikileaks Джулиана Ассанжа, он также находится в руках американского разведывательного аппарата.

Или это?

Выступая на конференции World Hosting Days 2014 года, Джулиан Ассанж рассказал о том, как определенные национальные государства (без имен, кашель Америка кашель) преднамеренно сделали некоторые дистрибутивы Linux небезопасными, чтобы поставить их под контроль своих наблюдателей. Вы можете просмотреть полную цитату после 20-минутной отметки здесь:

Но прав ли Ассанж?

Взгляд на Debian и безопасность

В разговоре Ассанжа он упоминает, как многочисленные саботажи были намеренно саботированы. Но он упоминает Debian по именитак что мы могли бы также сосредоточиться на этом.

За последние 10 лет в Debian был выявлен ряд уязвимостей. Некоторые из них были серьезными, Уязвимости нулевого дня Что такое уязвимость нулевого дня? [MakeUseOf Объясняет] Читать далее что повлияло на систему в целом. Другие повлияли на его способность безопасно общаться с удаленными системами.

Единственная уязвимость, о которой Ассанж упоминает явно, - это ошибка в генераторе случайных чисел в Debian, которая была обнаружен в 2008 году.

Случайные числа (или, по крайней мере, псевдослучайные; очень трудно получить случайность на компьютере) являются неотъемлемой частью шифрования RSA. Когда генератор случайных чисел становится предсказуемым, эффективность шифрования падает, и становится возможным расшифровать трафик.

Следует признать, что в прошлом АНБ намеренно ослабило силу шифрования коммерческого уровня, уменьшив энтропию случайно сгенерированных чисел. Это был давным-давнокогда сильное шифрование было расценено правительством США с подозрением и даже подпадает под действие законодательства об экспорте оружия. Саймон Сингх Кодовая книга описывает эту эпоху довольно хорошо, сосредотачиваясь на первых годах Довольно Хорошей Конфиденциальности Филиппа Циммермана, и перед лицом юридической битвы, которую он вел с правительством США.

Но это было давно, и похоже, что ошибка 2008 года была не столько результатом злого умысла, сколько потрясающей технологической некомпетентностью.

Две строки кода были удалены из пакета Debian OpenSSL, поскольку они генерировали предупреждающие сообщения в инструментах сборки Valgrind и Purify. Строки были удалены, а предупреждения исчезли. Но целостность реализации OpenSSL в Debian была принципиально калекой.

В виде Бритва ханлона диктует, никогда не приписывайте злобе то, что можно так же легко объяснить, как некомпетентность. Кстати, именно эта ошибка была сатиризованный веб-комиксом XKCD.

Написание на эту тему, IgnorantGuru блог также размышляет недавняя ошибка Heartbleed (которую мы в прошлом году Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности? Читать далее ), возможно, также был продуктом служб безопасности намеренно пытаясь подорвать криптографию на Linux.

Heartbleed был уязвимостью безопасности в библиотеке OpenSSL, которая потенциально могла видеть злоумышленника, крадущего информацию защищен с помощью SSL / TLS, считывая память уязвимых серверов и получая секретные ключи, используемые для шифрования трафика. В то время это угрожало целостности наших систем онлайн-банкинга и коммерции. Сотни тысяч систем были уязвимы, и это затронуло почти все дистрибутивы Linux и BSD.

Я не уверен, насколько вероятно, что службы безопасности были за этим.

Написание твердого алгоритма шифрования чрезвычайно сложно. Реализовать это так же сложно. Это неизбежно, что в конечном итоге уязвимость или недостаток будут обнаружены (они часто бывают в OpenSSL Огромная ошибка в OpenSSL ставит под угрозу большую часть ИнтернетаЕсли вы один из тех людей, которые всегда считали, что криптография с открытым исходным кодом является наиболее безопасным способом общения в Интернете, вас ждет небольшой сюрприз. Читать далее ), который настолько серьезен, должен быть создан новый алгоритм или переписана реализация.

Вот почему алгоритмы шифрования пошли по эволюционному пути, и новые строятся, когда обнаруживаются недостатки в порядке следования.

Предыдущие утверждения о вмешательстве правительства в Open Source

Конечно, правительства нередко проявляют интерес к проектам с открытым исходным кодом. Также неслыханно, чтобы правительства обвинялись в ощутимом влиянии на функциональность программного проекта, путем принуждения, проникновения или поддержки в финансовом отношении.

Яша Левин Я один из журналистов-расследователей, которым я больше всего восхищаюсь. Сейчас он пишет для Pando.comно до этого он раз в две недели писал зубы легендарному москвичу, Изгнание который был закрыт в 2008 году правительством Путина. За свою одиннадцатилетнюю продолжительность жизни он стал известен своим грубым, возмутительным содержанием, так же, как и для Левина (и соучредителя Марк Эймс, который также пишет для Pando.com) ожесточенные расследования.

Этот талант к журналистским расследованиям последовал за ним на Pando.com. За прошедший год Левин опубликовал ряд статей, освещающих связи между проектом Tor и тем, что он называет комплексом военного наблюдения США, но на самом деле Управление военно-морских исследований (ONR) и Агентство перспективных исследований в области обороны (DARPA).

Тор (или Луковый маршрутизатор) Действительно приватный просмотр: неофициальное руководство пользователя TorTor предоставляет по-настоящему анонимный и не отслеживаемый просмотр и обмен сообщениями, а также доступ к так называемой «глубокой сети». Tor не может быть разрушен любой организацией на планете. Читать далее для тех, кто не совсем в курсе, это часть программного обеспечения, которая анонимизирует трафик, перенаправляя его через несколько зашифрованных конечных точек. Преимущество этого заключается в том, что вы можете использовать Интернет, не раскрывая свою личность и не подвергаясь местной цензуре, что удобно, если вы живете в репрессивном режиме, таком как Китай, Куба или Эритрея. Один из самых простых способов получить его - браузер Tor на базе Firefox, который Я говорил о несколько месяцев назад Как просматривать Facebook через Tor за 5 шаговХотите быть в безопасности при использовании Facebook? Социальная сеть запустила адрес .onion! Вот как использовать Facebook на Tor. Читать далее .

Кстати, среда, в которой вы оказались, читая эту статью, сама по себе является продуктом инвестиций DARPA. Без ARPANET, не было бы интернета.

Подводя итог, можно сказать, что Левин: поскольку TOR получает большую часть своего финансирования от правительства США, оно неразрывно связано с ними и больше не может работать независимо. Есть также ряд участников TOR, которые ранее работали с правительством США в той или иной форме.

Чтобы прочитать все пункты Левина, прочитайте «Почти все, кто участвовал в разработке Tor, финансировались (или финансируются) правительством США», опубликовано 16 июля 2014 г.

затем прочитайте это опровержениеМика Ли, который пишет для The Intercept. Подводя итог контраргументам: DOD так же зависит от TOR для защиты своих оперативников, проект TOR всегда был открыт для определения источников их финансов.

Левин - отличный журналист, к которому я испытываю большое восхищение и уважение. Но я иногда беспокоюсь, что он попадает в ловушку, думая, что правительства - любое правительство - являются монолитными образованиями. Они не Скорее, это сложная машина с различными независимыми винтиками, каждый со своими интересами и мотивами, работающими автономно.

Это вполне правдоподобно что один департамент правительства будет готов инвестировать в инструмент для освобождения, в то время как другой будет заниматься поведением, которое противоречит свободе и неприкосновенности частной жизни.

И, как продемонстрировал Джулиан Ассанж, удивительно просто предположить, что существует заговор, когда логическое объяснение гораздо более невинно.

Теоретики заговора - это те, кто претендует на сокрытие всякий раз, когда не хватает данных, чтобы подтвердить то, что, по их мнению, является правдой.

- Нил де Грассе Тайсон (@neiltyson) 7 апреля 2011 г.

Мы достигли пика WikiLeaks?

Это только я или лучшие дни WikiLeaks прошли мимо?

Не так давно Ассанж выступал на мероприятиях TED в Оксфорде и на хакерских конференциях в Нью-Йорке. Бренд WikiLeaks был сильным, и они раскрывали действительно важные вещи, такие как отмывание денег в швейцарской банковской системе и безудержная коррупция в Кении.

Теперь, WikiLeaks был омрачен персонажем Ассанжа - человеком, который живет в добровольном изгнание в эквадорском посольстве Лондона, скрывшись от некоторых довольно серьезных уголовных обвинений в Швеция.

Сам Ассанж, по-видимому, был не в состоянии возглавить свою прежнюю известность, и теперь принялся делать диковинные заявления всем, кто будет слушать. Это почти грустно. Особенно, если учесть, что WikiLeaks проделал довольно важную работу, которая с тех пор была сорвана сайдшоу Джулиана Ассанжа.

Но что бы вы ни думали об Ассанже, есть одна вещь, которая почти наверняка. Нет абсолютно никаких доказательств того, что США проникли в Debian. Или любой другой дистрибутив Linux.

Фото Кредиты: 424 (XKCD), Код (Майкл Химбо)