Edmund Richardson
0 
1097
281
Debian er en af de mest populære Linux-distributioner. Det er solidt, pålideligt og sammenlignet med Arch og Gentoo, relativt let for nytilkomne at forstå. Ubuntu er bygget på det Debian vs Ubuntu: Hvor langt er Ubuntu kommet på 10 år? Debian vs Ubuntu: Hvor langt er Ubuntu kommet i 10 år? Ubuntu er nu 10 år gammel! Kongen af Linux-distributioner er nået langt siden starten i 2004, så lad os se på, hvordan det har udviklet sig anderledes end Debian, distributionen på…, og det bruges ofte til at tænke Raspberry Pi, hvordan man installerer et operativsystem på en Raspberry Pi Sådan installeres et operativsystem på en Raspberry Pi Sådan installeres et operativsystem på din Raspberry Pi, og hvordan du kloner dit perfekte opsætning til hurtig gendannelse af katastrofer. .
Det påstås også at være under grebet af Amerikas efterretningsapparat, ifølge Wikileaks-grundlægger Julian Assange.
Eller er det?
I en tale på 2014's World Hosting Days-konference beskrev Julian Assange, hvordan bestemte nationstater (navngivne ingen navne), hoste Amerika hoste) har med vilje gjort visse Linux-distributioner usikre for at bringe dem under kontrol af deres overvågnings-dragnet. Du kan se det fulde tilbud efter 20 minutters markering her:
Men har Assange ret?
Et kig på Debian og sikkerhed
I Assanges tale nævner han, hvordan utallige fordelinger med vilje er blevet saboteret. Men han nævner Debian ved navn, så vi kan lige så godt fokusere på den.
I løbet af de sidste 10 år er der identificeret et antal sårbarheder i Debian. Nogle af disse har været alvorlige nul-dages stil sårbarheder Hvad er en Zero Day sårbarhed? [MakeUseOf Explains] Hvad er en sårbarhed med nul dag? [MakeUseOf Explains], der generelt påvirkede systemet. Andre har påvirket dens evne til sikkert at kommunikere med fjernsystemer.
Den eneste sårbarhed, som Assange nævner eksplicit, er en fejl i Debians OpenSSL-tilfældige nummergenerator, der blev opdaget i 2008.
Tilfældige tal (eller i det mindste pseudorandom; det er ekstremt vanskeligt at få sand tilfældighed på en computer) er en væsentlig del af RSA-kryptering. Når en tilfældig talgenerator bliver forudsigelig, falder krypteringseffektiviteten, og det bliver muligt at dekryptere trafikken.
Ganske vist har NSA med vilje svækket styrken ved kommerciel kvalitetskryptering ved at reducere entropien af de tilfældigt genererede tal. Det var en lang tid siden, da stærk kryptering blev betragtet som mistanke fra den amerikanske regering og endda underlagt våbeneksportlovgivning. Simon Singhs kodebog beskriver denne æra temmelig godt med fokus på de tidlige dage af Philip Zimmermans Pretty Good Privacy og den legale kamp, han kæmpede med den amerikanske regering.
Men det var for længe siden, og det ser ud til, at 2008's bug var mindre et resultat af ondskab, men snarere en fantastisk teknologisk inkompetence.
To kodelinjer blev fjernet fra Debians OpenSSL-pakke, fordi de producerede advarsler i Valgrind og Purify build-værktøjerne. Linjerne blev fjernet, og advarslerne forsvandt. Men integriteten af Debians implementering af OpenSSL var grundlæggende lam.
Som Hanlons Razor dikterer, må du aldrig tilskrive ondskab, hvad der lige så let kan forklares som inkompetence. I øvrigt blev denne særlige fejl satiriseret af den komiske XKCD.
IgnorantGuru-bloggen skriver om emnet og spekulerer også i den nylige Heartbleed-bug (som vi dækkede sidste år Heartbleed - Hvad kan du gøre for at forblive sikker? Heartbleed - Hvad kan du gøre for at forblive i sikkerhed?) Måske også have været et produkt af sikkerheden tjenester med vilje forsøger at underminere kryptografi på Linux.
Heartbleed var en sikkerhedssårbarhed i OpenSSL-biblioteket, der potentielt kunne se en ondsindet bruger stjæle oplysninger beskyttet af SSL / TLS, ved at læse hukommelsen på de sårbare servere og få de hemmelige nøgler, der bruges til at kryptere trafik. På det tidspunkt truede det integriteten af vores online bank- og handelssystemer. Hundrede tusinder af systemer var sårbare, og det påvirkede næsten hver Linux- og BSD-distro.
Jeg er ikke sikker på, hvor sandsynligt det er, at sikkerhedstjenesterne stod bag det.
At skrive en solid krypteringsalgoritme er ekstremt vanskeligt. Det er på samme måde vanskeligt at implementere det. Det er uundgåeligt, at der til sidst opdages en sårbarhed eller en fejl (de er ofte i OpenSSL Massive Bug i OpenSSL Sætter meget af Internet i fare Massiv Bug i OpenSSL Sætter meget af Internet i fare, hvis du er en af de mennesker, der altid har troet at open source-kryptografi er den mest sikre måde at kommunikere online på, du er i en overraskelse.) der er så alvorlig, at en ny algoritme skal oprettes, eller en implementering omskrives.
Det er grunden til, at krypteringsalgoritmer har taget en evolutionær vej, og nye er opbygget, når der opdages mangler i rækkefølge.
Tidligere påstande om statlig indblanding i open source
Selvfølgelig er det ikke uhørt for regeringer at interessere sig for open source-projekter. Det er heller ikke uhørt, at regeringer beskyldes for at have påvirket retningen eller funktionaliteten af et softwareprojekt, enten gennem tvang, infiltration eller ved at støtte det økonomisk.
Yasha Levine er en af de efterforskende journalister, jeg mest beundrer. Han skriver nu for Pando.com, men før det skar han tænderne til at skrive for den legendariske Muscovite hver anden uge, Exilen, som blev lukket ned i 2008 af Putins regering. I sin elleve år lange levetid blev det kendt for sit grove, skandaløse indhold, lige så meget som det gjorde for Levines (og medstifter Mark Ames, der også skriver for Pando.com) hårde efterforskningsrapportering.
Denne flair for efterforskningsjournalistik har fulgt ham til Pando.com. I løbet af det sidste år har Levine offentliggjort en række stykker, der fremhæver båndet mellem Tor-projektet, og hvad han kalder det amerikanske militære overvågningskompleks, men er virkelig Office of Naval Research (ONR) og Defense Advanced Research Projects Agentur (DARPA).
Tor (eller, Onion Router) Virkelig privat browsing: En uofficiel brugervejledning til Tor Really Private browsing: En uofficiel brugervejledning til Tor Tor giver virkelig anonym og ikke sporbar browsing og messaging samt adgang til den såkaldte “Deep Web”. Tor kan ikke plausibelt brydes af nogen organisation på planeten. , for dem, der ikke er helt op til hastigheden, er et stykke software, der anonymiserer trafik ved at sprænge den gennem flere krypterede slutpunkter. Fordelen med dette er, at du kan bruge Internettet uden at afsløre din identitet eller være underlagt lokal censur, hvilket er praktisk, hvis du lever i et undertrykkende regime, såsom Kina, Cuba eller Eritrea. En af de nemmeste måder at få det til er med den Firefox-baserede Tor Browser, som jeg talte om for et par måneder siden Sådan gennemgår Facebook over Tor i 5 trin Sådan gennemgår du Facebook over Tor i 5 trin Ønsker du at være sikker, når du bruger Facebook ? Det sociale netværk har lanceret en .onion-adresse! Sådan bruges Facebook på Tor. .
I øvrigt er det medium, hvor du finder dig selv at læse denne artikel, i sig selv et produkt af DARPA-investering. Uden ARPANET ville der ikke være noget internet.
For at opsummere Levines punkter: da TOR får størstedelen af sin finansiering fra den amerikanske regering, er den derfor ubønnhørligt knyttet til dem og kan ikke længere operere uafhængigt. Der er også en række TOR-bidragydere, der tidligere har arbejdet med den amerikanske regering i en eller anden form.
For at læse Levines punkter fuldt ud, skal du læse “Næsten alle involverede i udviklingen af Tor blev (eller er) finansieret af den amerikanske regering”, offentliggjort den 16. juli 2014.
Læs derefter dette modbevægelse af Micah Lee, der skriver for The Intercept. For at opsummere modargumenterne: DOD er lige så afhængig af TOR for at beskytte deres operative, TOR-projektet har altid været åbent om, hvor deres økonomi er kommet fra.
Levine er en stor journalist, som jeg tilfældigvis har en masse beundring og respekt for. Men jeg er nogle gange bekymret for, at han falder i fælden ved at tro, at regeringer - enhver regering - er monolitiske enheder. Det er de ikke. Det er snarere en kompleks maskine med forskellige uafhængige tandhjul, hver med deres egne interesser og motiver, der arbejder autonomt.
Det er helt plausibel at en afdeling af regeringen ville være villig til at investere i et værktøj til at frigøre, mens en anden ville engagere sig i adfærd, der er anti-frihed og anti-privacy.
Og ligesom Julian Assange har demonstreret, er det bemærkelsesværdigt enkelt at antage, at der er en sammensværgelse, når den logiske forklaring er meget mere uskyldig.
Konspirationsteoretikere er dem, der hævder coverups, når der ikke er tilstrækkelige data til at understøtte, hvad de er sikre på, er sandt.
- Neil deGrasse Tyson (@neiltyson) 7. april 2011
Har vi ramt Peak WikiLeaks?
Er det bare mig, eller er WikiLeaks bedste dage gået forbi?
Det var ikke længe siden, at Assange talte til TED-arrangementer i Oxford og hacker-konferencer i New York. WikiLeaks-mærket var stærkt, og de afslørede virkelig vigtige ting, som hvidvaskning af penge i det schweiziske banksystem og voldsom korruption i Kenya.
Nu er WikiLeaks blevet overskygget af karakteren af Assange - en mand, der bor i en selvpålagt eksil i Londons ecuadorianske ambassade, efter at have flygtet fra nogle temmelig alvorlige kriminelle beskyldninger i Sverige.
Assange har selv tilsyneladende ikke været i stand til at toppe sin tidligere berygtethed, og har nu taget skridt til at fremsætte outlandske påstande til alle, der vil lytte. Det er næsten trist. Især når du overvejer, at WikiLeaks har udført noget temmelig vigtigt arbejde, der siden er blevet afsporet af Julian Assange-sideshowet.
Men uanset hvad du synes om Assange, er der en ting, der er næsten sikker. Der er absolut ingen bevis for, at USA har infiltreret Debian. Eller enhver anden Linux-distro for den sags skyld.
Fotokreditter: 424 (XKCD), kode (Michael Himbeault)