Annons
Debian är en av de mest populära Linux-distributionerna. Det är fast, pålitligt och jämfört med Arch och Gentoo, relativt lätt för nykomlingar att förstå. Ubuntu är det byggd på det Debian vs Ubuntu: Hur långt har Ubuntu kommit på tio år?Ubuntu är nu 10 år gammal! Kungen av Linux-distributioner har kommit långt sedan starten 2004, så låt oss titta på hur det har utvecklats annorlunda än Debian, distributionen på ... Läs mer , och det är ofta vanligt med driva Raspberry Pi Hur man installerar ett operativsystem på en Raspberry PiSå här installerar du ett operativsystem på din Raspberry Pi och hur du klonerar din perfekta installation för snabb katastrofåterställning. Läs mer .
Det påstås också vara i grepp om USA: s underrättelseapparat, enligt Wikileaks grundare Julian Assange.
Eller är det?
Julian Assange, som talade vid konferensen World Hosting Days 2014, beskrev hur vissa nationer säger (namnger inga namn, hosta Amerika hosta) har avsiktligt gjort vissa Linux-distributioner osäkra för att få dem under kontroll av deras övervakningsdagnet. Du kan se hela offerten efter 20 minuters markering här:
Men har Assange rätt?
En titt på Debian och säkerhet
I Assanges talar nämner han hur otaliga fördelningar med avsikt har saboterats. Men han nämner Debian vid namn, så vi kan lika gärna fokusera på den.
Under de senaste tio åren har ett antal sårbarheter identifierats i Debian. Några av dessa har varit svåra, sårbarheter i stil med noll dagar Vad är en sårbarhet i nolldag? [MakeUseOf Explains] Läs mer som påverkade systemet i allmänhet. Andra har påverkat dess förmåga att säkert kommunicera med fjärrsystem.
Den enda sårbarheten som Assange nämner uttryckligen är ett fel i Debians OpenSSL-slumpnummergenerator som var upptäcktes 2008.
Slumpmässiga siffror (eller åtminstone pseudorandom; Det är extremt svårt att få sann slumpmässighet på en dator) är en viktig del av RSA-kryptering. När en slumptalsgenerator blir förutsägbar plummerar krypteringseffekten och det blir möjligt att dekryptera trafiken.
Visst har NSA tidigare avsiktligt försvagat styrkan i kommersiell kvalitetskryptering genom att minska entropin för de slumpmässigt genererade siffrorna. Det var en för länge sedan, när stark kryptering ansågs med misstänksamhet av den amerikanska regeringen och till och med omfattas av lagstiftning om vapenexport. Simon Singh's Kodboken beskriver den här eran ganska bra, med fokus på de tidiga dagarna av Philip Zimmermans Pretty Good Privacy och den uppsatta juridiska striden som han kämpade med den amerikanska regeringen.
Men det var för länge sedan, och det verkar som att 2008: s bugg var mindre ett resultat av ondska, men snarare fantastisk teknisk inkompetens.
Två kodrader togs bort från Debians OpenSSL-paket eftersom de producerade varningsmeddelanden i Valgrind- och Purify-byggverktygen. Linjerna togs bort och varningarna försvann. Men integriteten i Debians implementering av OpenSSL var i grund och bot.
Som Hanlons rakkniv dikterar, attribut aldrig till ondskap vad som lika lätt kan förklaras som inkompetens. Förresten, det här felet var satiriserad av webbkomiska XKCD.
Skrivande om ämnet, IgnorantGuru blog spekulerar också den senaste Heartbleed-buggen (som vi täckte förra året Heartbleed - Vad kan du göra för att hålla dig säker? Läs mer ) kan ha varit en produkt av säkerhetstjänsterna avsiktligt försöker undergräva kryptografi på Linux.
Heartbleed var en säkerhetsproblem i OpenSSL-biblioteket som potentiellt kunde se en skadlig användare stjäla information skyddad av SSL / TLS, genom att läsa minnet för de sårbara servrarna och få de hemliga nycklarna som används för att kryptera trafik. Då hotade det integriteten i våra onlinebank- och handelssystem. Hundratusentals system var sårbara och det påverkade nästan varje Linux- och BSD-distro.
Jag är inte säker på hur troligt det är att säkerhetstjänsterna låg bakom det.
Att skriva en solid krypteringsalgoritm är extremt svårt. Att implementera det är på samma sätt svårt. Det är oundvikligt att så småningom en sårbarhet eller brist kommer att upptäckas (de finns ofta i OpenSSL Massive Bug i OpenSSL sätter mycket av Internet i riskzonenOm du är en av de människor som alltid har trott att öppen källkryptografi är det säkraste sättet att kommunicera på nätet, är du för en överraskning. Läs mer ) som är så allvarlig, en ny algoritm måste skapas eller en implementering skrivas om.
Det är därför krypteringsalgoritmer har tagit en evolutionär väg, och nya byggs när brister upptäcks i ordning.
Tidigare påståenden om statlig inblandning i öppen källkod
Naturligtvis är det inte ovanligt för regeringar att intressera sig för open source-projekt. Det är inte heller okänt för regeringar att anklagas för att påtagligt påverka riktningen eller funktionalitet i ett programvaruprojekt, antingen genom tvång, infiltration eller genom att stödja det ekonomiskt.
Yasha Levine är en av de undersökande journalisterna jag beundrar mest. Han skriver nu för Pando.com, men innan dess klippte han tänderna och skrev för den legendariska muskoviten varannan vecka, Utflykten som stängdes 2008 av Putins regering. I sin elvaåriga livstid blev det känt för sitt grova, upprörande innehåll, lika mycket som det gjorde för Levines (och medgrundare) Mark Ames, som också skriver för Pando.com) hård undersökningsrapportering.
Denna känsla för undersökande journalistik har följt honom till Pando.com. Under det senaste året eller så har Levine publicerat ett antal stycken som belyser banden mellan Tor-projektet och vad han kallar USA: s militära övervakningskomplex, men är verkligen Office of Naval Research (ONR) och den Defense Advanced Research Projects Agency (DARPA).
Tor (eller, Onion Router) Verkligen privat surfning: En inofficiell användarhandbok till TorTor tillhandahåller verkligen anonym och ospårbar surfning och meddelanden, såväl som tillgång till den så kallade ”Deep Web”. Tor kan inte troligtvis brytas av någon organisation på planeten. Läs mer , för dem som inte är helt uppdaterade är en mjukvara som anonymiserar trafik genom att studsa den genom flera krypterade slutpunkter. Fördelen med detta är att du kan använda Internet utan att avslöja din identitet eller vara föremål för lokal censur, vilket är praktiskt om du bor i en repressiv regim, som Kina, Kuba eller Eritrea. Ett av de enklaste sätten att få till det är med den Firefox-baserade Tor Browser, som Jag pratade om för några månader sedan Hur man bläddrar i Facebook via Tor i fem stegVill du hålla dig säker när du använder Facebook? Det sociala nätverket har lanserat en .onion-adress! Så här använder du Facebook på Tor. Läs mer .
Förresten, det medium där du hittar dig själv som läser den här artikeln är i sig en produkt av DARPA-investeringar. Utan ARPANET, det skulle inte finnas något internet.
För att sammanfatta Levines poäng: eftersom TOR får merparten av sin finansiering från den amerikanska regeringen är den därför orubbligt kopplad till dem och kan inte längre arbeta självständigt. Det finns också ett antal TOR-bidragsgivare som tidigare har arbetat med den amerikanska regeringen i någon eller annan form.
Läs igenom Levines poäng i sin helhet "Nästan alla som är involverade i utvecklingen av Tor finansierades (eller är) av den amerikanska regeringen", publicerad 16 juli 2014.
Sedan läs detta avslag, av Micah Lee, som skriver för The Intercept. För att sammanfatta motargumenten: DOD är lika beroende av TOR för att skydda sina operatörer, TOR-projektet har alltid varit öppet om var deras ekonomi har kommit ifrån.
Levine är en fantastisk journalist, jag råkar ha mycket beundran och respekt för. Men jag är ibland orolig för att han faller i fällan att tro att regeringar - alla regeringar - är monolitiska enheter. Det är de inte. Det är snarare en komplex maskin med olika oberoende kuggar, var och en med sina egna intressen och motiv, som arbetar autonomt.
Dess helt troligt att en regeringsavdelning skulle vara villig att investera i ett verktyg för att frigöra, medan en annan skulle engagera sig i beteende som är anti-frihet och anti-privacy.
Och precis som Julian Assange har visat, är det anmärkningsvärt enkelt att anta att det finns en konspiration när den logiska förklaringen är mycket mer oskyldig.
Konspirationsteoretiker är de som hävdar omslag närhelst otillräcklig information finns för att stödja vad de är säkra är sanna.
- Neil deGrasse Tyson (@neiltyson) 7 april 2011
Har vi träffat Peak WikiLeaks?
Är det bara jag, eller har WikiLeaks bästa dagar gått?
Det var inte länge sedan att Assange talade vid TED-evenemang i Oxford och hackerkonferenser i New York. WikiLeaks-varumärket var starkt och de upptäckte riktigt viktiga saker, som penningtvätt i det schweiziska banksystemet, och korrupt korruption i Kenya.
Nu har WikiLeaks överskuggas av karaktären Assange - en man som lever i en självpålagd exil i Londons ekuadoriska ambassad, efter att ha flytt från några ganska allvarliga kriminella anklagelser i Sverige.
Assange själv har till synes inte kunnat toppa sin tidigare beryktadhet och har nu tagit på att göra outlandiska påståenden till alla som kommer att lyssna. Det är nästan sorgligt. Särskilt när du tänker på att WikiLeaks har gjort något ganska viktigt arbete som sedan har spårats av Julian Assange-sidan.
Men vad du än tycker om Assange, det är en sak som är nästan säker. Det finns absolut inga bevis för att USA har infiltrerat Debian. Eller någon annan Linux-distro, för den delen.
Fotokrediter: 424 (XKCD), Kod (Michael Himbeault)
Matthew Hughes är en programutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.
