Heeft de Amerikaanse overheid het Debian-project geïnfiltreerd? (Nee)
Debian is een van de meest populaire Linux-distributies. Het is solide, betrouwbaar en vergeleken met Arch en Gentoo, relatief eenvoudig voor nieuwkomers om te begrijpen. Ubuntu is erop gebouwd Debian vs Ubuntu: Hoe ver is Ubuntu binnen 10 jaar gekomen? Debian vs Ubuntu: hoe ver is Ubuntu binnen tien jaar gekomen? Ubuntu is nu 10 jaar oud! De King of Linux-distributies hebben een lange weg afgelegd sinds de start in 2004, dus laten we eens kijken hoe het zich anders heeft ontwikkeld naar Debian, de distributie op ... Lees meer en het wordt vaak gebruikt om de Raspberry Pi van stroom te voorzien. Hoe een besturingssysteem te installeren Naar uw Raspberry Pi Hoe u een besturingssysteem installeert op uw Raspberry Pi Hier leest u hoe u een nieuw besturingssysteem op uw Pi kunt installeren en uitvoeren - en hoe u uw perfecte installatie kunt klonen voor snelle noodherstel. Lees verder .
Het zou ook volgens de Wikileaks-oprichter Julian Assange in handen zijn van het Amerikaanse geheime apparaat.
Of is het?
Tijdens de World Hosting Days-conferentie van 2014, beschreef Julian Assange hoe bepaalde natiestaten (geen namen noemen), hoesten Amerika hoesten) hebben met opzet bepaalde Linux-distributies onveilig gemaakt om ze onder controle te krijgen van hun surveillancetrafnet. U kunt het volledige citaat na het 20 minuten-teken hier bekijken:
Maar heeft Assange gelijk?
Een blik op Debian en beveiliging
In de lezing van Assange vermeldt hij hoe talloze distributies opzettelijk zijn gesaboteerd. Maar hij noemt Debian bij naam, dus we kunnen ons net zo goed daarop concentreren.
In de afgelopen 10 jaar zijn een aantal kwetsbaarheden geïdentificeerd in Debian. Sommige van deze zijn ernstige, zero-day-stijl kwetsbaarheden Wat is een Zero Day-kwetsbaarheid? [MakeUseOf Explains] Wat is een Zero Day-beveiligingslek? [MakeUseOf Explains] Read More dat het systeem in het algemeen beïnvloedde. Anderen hebben zijn vermogen om veilig te communiceren met systemen op afstand beïnvloed.
De enige kwetsbaarheid die Assange expliciet vermeldt, is een bug in Debian's OpenSSL random number generator die in 2008 werd ontdekt.
Willekeurige getallen (of, in ieder geval pseudo-willekeurige, het is buitengewoon moeilijk om ware willekeur te krijgen op een computer) zijn een essentieel onderdeel van RSA-codering. Wanneer een generator van willekeurige getallen voorspelbaar wordt, neemt de efficiëntie van de codering af en wordt het mogelijk het verkeer te decoderen.
Toegegeven, in het verleden heeft de NSA opzettelijk de kracht van commerciële versleuteling verzwakt door de entropie van de willekeurig gegenereerde getallen te verminderen. Dat was een lang geleden, toen sterke encryptie door de Amerikaanse overheid met argwaan werd bekeken en zelfs onderworpen aan wapenexportwetgeving. Simon Theh's The Code Book beschrijft deze periode vrij goed, met aandacht voor de vroege dagen van Pretty Good Privacy van Philip Zimmerman en de juridische strijd die hij met de Amerikaanse regering voerde.
Maar dat was lang geleden en het lijkt erop dat de bug van 2008 minder het gevolg was van boosaardigheid, maar eerder van verbluffende technologische incompetentie.
Twee regels code zijn verwijderd uit het OpenSSL-pakket van Debian omdat ze waarschuwingsberichten produceerden in de gereedschappen Valgrind en Purify. De lijnen zijn verwijderd en de waarschuwingen verdwenen. Maar de integriteit van Debian's implementatie van OpenSSL was fundamenteel kreupel.
Zoals het scheermes van Hanlon dicteert, schrijf nooit iets toe aan boosaardigheid, wat net zo gemakkelijk kan worden verklaard als incompetentie. Overigens werd deze specifieke bug satirisch gemaakt door webcast XKCD.
Over het onderwerp geschreven, speculeert de IgnorantGuru-blog ook over de recente Heartbleed-bug (die we vorig jaar behandelden Heartbleed - Wat kan je doen om veilig te blijven? Heartbleed - Wat kan je doen om veilig te blijven? Lees meer) is mogelijk ook een product van de beveiligingsdiensten opzettelijk proberen om cryptografie onder Linux te ondermijnen.
Heartbleed was een beveiligingslek in de OpenSSL-bibliotheek waardoor een kwaadwillende gebruiker mogelijk informatie kon stelen die werd beschermd door SSL / TLS, door het geheugen van de kwetsbare servers te lezen en de geheime sleutels te verkrijgen die worden gebruikt om verkeer te coderen. In die tijd was het een bedreiging voor de integriteit van onze online bank- en handelssystemen. Honderdduizenden systemen waren kwetsbaar en het trof vrijwel elke Linux- en BSD-distro.
Ik weet niet zeker hoe waarschijnlijk het is dat de veiligheidsdiensten erachter zaten.
Het schrijven van een solide coderingsalgoritme is extreem moeilijk. Het implementeren ervan is eveneens moeilijk. Het is onvermijdelijk dat er uiteindelijk een kwetsbaarheid of tekortkoming zal worden ontdekt (ze zitten vaak in OpenSSL Massive Bug in OpenSSL zet veel van internet op risico Massale bug in OpenSSL zet veel internet op risico Als je een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, je bent een beetje een verrassing Lees meer) dat zo ernstig is, er een nieuw algoritme moet worden gemaakt of een implementatie herschreven.
Daarom hebben versleutelingsalgoritmen een evolutionair pad gevolgd en worden nieuwe gebouwd wanneer tekortkomingen worden ontdekt in de juiste volgorde.
Eerdere aantijgingen van overheidsinterferentie in open source
Het is natuurlijk niet ongehoord dat regeringen zich interesseren voor open source-projecten. Het is ook niet ongehoord dat regeringen worden beschuldigd van het tastbaar beïnvloeden van de richting of functionaliteit van een softwareproject, hetzij door dwang, infiltratie of door het financieel te ondersteunen..
Yasha Levine is een van de onderzoeksjournalisten die ik het meest bewonder. Hij schrijft nu voor Pando.com, maar daarvoor sneed hij zijn tanden in het schrijven voor de legendarische Muscovite tweewekelijks, The Exile die in 2008 werd gesloten door de regering van Poetin. In zijn elfjarige levensduur werd het bekend om zijn grove, buitensporige inhoud, net zoals het deed voor Levine's (en mede-oprichter Mark Ames, die ook voor Pando.com schreef) felle onderzoeksrapporten.
Deze flair voor onderzoeksjournalistiek heeft hem gevolgd naar Pando.com. In het afgelopen jaar of zo heeft Levine een aantal stukken gepubliceerd die de banden tussen het Tor-project benadrukken, en wat hij het Amerikaanse militaire-surveillancecomplex noemt, maar in werkelijkheid het Office of Naval Research (ONR) en de Defense Advanced Research Projects Agentschap (DARPA).
Tor (of, The Onion Router) Echt privé browsen: een onofficiële gebruikersgids voor Tor echt privé browsen: een niet-officiële gebruikershandleiding voor Tor Tor biedt echt anoniem en niet-traceerbaar bladeren en berichten, evenals toegang tot de zogenaamde Tor “Deep Web”. Tor kan niet aannemelijk worden gebroken door een organisatie op deze planeet. Read More, voor degenen die niet helemaal op snelheid zijn, is een stukje software dat verkeer anonimiseert door het via meerdere gecodeerde eindpunten te stuiteren. Het voordeel hiervan is dat je internet kunt gebruiken zonder je identiteit bekend te maken of dat je onderworpen bent aan lokale censuur, wat handig is als je in een repressief regime leeft, zoals China, Cuba of Eritrea. Een van de gemakkelijkste manieren om dit te krijgen, is met de Tor Browser gebaseerd op Firefox, waarover ik het een paar maanden geleden heb gehad. How You Can Officially Door Facebook bladeren Over Tor Hoe u officieel Facebook Over Tor kunt bekijken Opmerkelijk is dat Facebook een .onion-adres heeft gelanceerd voor Tor-gebruikers om toegang te krijgen tot het populaire sociale netwerk. We laten u zien hoe u deze kunt openen in de Tor-browser. Lees verder .
Overigens is het medium waarin je merkt dat je dit artikel leest, zelf een product van DARPA-investering. Zonder ARPANET zou er geen internet zijn.
Om de punten van Levine samen te vatten: aangezien TOR het grootste deel van zijn financiering van de Amerikaanse overheid krijgt, is het daarom onlosmakelijk met hen verbonden en kan het niet langer zelfstandig opereren. Er zijn ook een aantal TOR-medewerkers die eerder in een of andere vorm met de Amerikaanse overheid hebben samengewerkt.
Lees de inhoud van Levine's punten volledig “Bijna iedereen die betrokken was bij de ontwikkeling van Tor werd (of wordt) gefinancierd door de Amerikaanse overheid”, gepubliceerd op 16 juli 2014.
Lees dan dit weerwoord, door Micah Lee, die schrijft voor The Intercept. Om de tegenargumenten samen te vatten: de DOD is net zo afhankelijk van TOR om hun medewerkers te beschermen, het TOR-project is altijd open geweest over waar hun financiën vandaan komen.
Levine is een geweldige journalist, een waar ik veel bewondering en respect voor heb. Maar ik maak me soms zorgen dat hij in de val loopt door te denken dat regeringen - elke regering - monolithische entiteiten zijn. Dat zijn ze niet. Het is eerder een complexe machine met verschillende onafhankelijke radertjes, elk met zijn eigen interesses en motivaties, die autonoom werken.
Haar volkomen aannemelijk dat een departement van de overheid bereid zou zijn om te investeren in een emancipatiemiddel, terwijl een ander deel zou gaan in gedrag dat antivrijheid en anti-privacy is.
En net zoals Julian Assange heeft aangetoond, is het opmerkelijk eenvoudig om aan te nemen dat er een samenzwering is, terwijl de logische verklaring veel onschuldiger is.
Samenzweringstheoretici zijn degenen die bedekken wanneer er onvoldoende gegevens beschikbaar zijn om te ondersteunen waarvan ze zeker weten dat ze waar zijn.
- Neil deGrasse Tyson (@neiltyson) 7 april 2011
Hebben we Peak WikiLeaks geraakt?
Ligt het aan mij, of laat ik de beste dagen van WikiLeaks voorbijgaan?
Het duurde niet lang geleden dat Assange aan het woord was op TED-evenementen in Oxford en hackerconferenties in New York. Het merk WikiLeaks was sterk en ze onthulden echt belangrijke dingen, zoals het witwassen van geld in het Zwitserse banksysteem en de wijdverbreide corruptie in Kenia..
Nu is WikiLeaks overschaduwd door het karakter van Assange - een man die leeft in een zelfopgelegde ballingschap in de Ecuadoriaanse ambassade in Londen, gevlucht voor een aantal vrij ernstige misdadige beschuldigingen in Zweden.
Assange zelf is schijnbaar niet in staat geweest zijn vroegere bekendheid te overtreffen, en is nu overgegaan tot het maken van bizarre claims voor iedereen die wil luisteren. Het is bijna triest. Vooral als je bedenkt dat WikiLeaks een behoorlijk belangrijk werk heeft gedaan dat sindsdien is ontspoord door de Julian Assange-sideshow.
Maar wat u ook van Assange denkt, er is één ding dat vrijwel zeker is. Er is absoluut geen bewijs dat de VS Debian hebben geïnfiltreerd. Of om het even welke andere Linux-distro.
Foto's: 424 (XKCD), code (Michael Himbeault)
Ontdek meer over: Debian, Linux, Online Privacy, Surveillance.