Debian является одним из самых популярных дистрибутивов Linux. Он прочный, надежный и по сравнению с Arch и Gentoo, новичкам относительно легко понять. Ubuntu построен на его основе. , и его часто используют для питания Raspberry Pi
По словам основателя Wikileaks Джулиана Ассанжа, он также находится в руках американского разведывательного аппарата.
Либо это?
Выступая на конференции World Hosting Days 2014 года, Джулиан Ассанж рассказал о том, как определенные национальные государства (не называя имен, кашляя Америка кашляют ) намеренно сделали определенные дистрибутивы Linux небезопасными, чтобы поставить их под контроль своих наблюдателей. Вы можете просмотреть полную цитату после 20-минутной отметки здесь:
Но прав ли Ассанж?
Взгляд на Debian и безопасность
В выступлении Ассанжа он упоминает о том, как бесчисленные раздачи были намеренно саботированы. Но он упоминает Debian по имени , поэтому мы могли бы сосредоточиться на этом.
За последние 10 лет в Debian был выявлен ряд уязвимостей. Некоторые из них были серьезными уязвимостями нулевого дня. уязвимость что повлияло на систему в целом. Другие повлияли на его способность безопасно общаться с удаленными системами.
Единственная уязвимость, о которой Ассанж прямо упоминает, — это ошибка в генераторе случайных чисел в Debian, обнаруженная в 2008 году .
Случайные числа (или, по крайней мере, псевдослучайные; на компьютере очень трудно получить истинную случайность) являются неотъемлемой частью шифрования RSA. Когда генератор случайных чисел становится предсказуемым, эффективность шифрования падает, и становится возможным расшифровать трафик.
Следует признать, что в прошлом АНБ намеренно ослабляло силу шифрования коммерческого уровня, уменьшая энтропию случайно генерируемых чисел. Это было очень давно , когда правительство США с подозрением относилось к надежному шифрованию и даже подвергалось действию законодательства об экспорте оружия. « Книга кодов» Саймона Сингха очень хорошо описывает эту эпоху, фокусируясь на первых годах «Довольно хорошей конфиденциальности» Филиппа Циммермана, и на серьезной юридической битве, которую он вел с правительством США.
Но это было давно, и похоже, что ошибка 2008 года была не столько результатом злого умысла, сколько потрясающей технологической некомпетентностью.
Две строки кода были удалены из пакета Debian OpenSSL, поскольку они генерировали предупреждающие сообщения в инструментах сборки Valgrind и Purify. Строки были удалены, а предупреждения исчезли. Но целостность реализации OpenSSL в Debian была существенно повреждена .
Как диктует бритва Ханлона, никогда не приписывайте злобе то, что так же легко объяснить, как некомпетентность. Кстати, этот конкретный баг был одобрен веб-комиксом XKCD .
В этой теме в блоге IgnorantGuru также рассказывается о недавней ошибке Heartbleed (о которой мы говорили в прошлом году. ), возможно, также был продукт служб безопасности, преднамеренно пытающихся подорвать криптографию в Linux.
Heartbleed был уязвимостью безопасности в библиотеке OpenSSL, которая потенциально могла видеть злоумышленника, который крал информацию, защищенную SSL / TLS, читая память уязвимых серверов и получая секретные ключи, используемые для шифрования трафика. В то время это угрожало целостности наших систем онлайн-банкинга и коммерции. Сотни тысяч систем были уязвимы, и это затронуло почти все дистрибутивы Linux и BSD.
Я не уверен, насколько вероятно, что службы безопасности были за этим.
Написание надежного алгоритма шифрования чрезвычайно сложно . Реализовать это так же сложно. Это неизбежно, что в конечном итоге уязвимость или уязвимость будут обнаружены (они часто находятся в массовой OpenSSL ), который настолько серьезен, что необходимо создать новый алгоритм или переписать реализацию.
Вот почему алгоритмы шифрования пошли по эволюционному пути, и новые строятся, когда обнаруживаются недостатки в порядке следования.
Предыдущие утверждения о вмешательстве правительства в Open Source
Конечно, правительства нередко проявляют интерес к проектам с открытым исходным кодом. Также неслыханно, чтобы правительства обвиняли в ощутимом влиянии на направление или функциональность программного проекта, посредством принуждения, проникновения или финансовой поддержки.
Яша Левин — один из журналистов-расследователей, которым я больше всего восхищаюсь. Сейчас он пишет для Pando.com , но до этого он рубил зубы, написав для легендарного москвича раз в две недели, The Exile, который был закрыт в 2008 году правительством Путина. За одиннадцатилетнюю продолжительность жизни он стал известен своим грубым, возмутительным содержанием, так же, как и для свирепой журналистской отчетности Левина (и соучредителя Марка Эймса , который также пишет для Pando.com).
Этот талант к журналистским расследованиям последовал за ним на Pando.com. За прошедший год Левин опубликовал ряд статей, в которых освещаются связи между проектом Tor и тем, что он называет комплексом военного надзора США, но в действительности это Управление военно-морских исследований (ONR) и оборонные исследовательские проекты. Агентство (ДАРПА) .
Tor (или, Onion Router) , для тех, кто не совсем в курсе, представляет собой программное обеспечение, которое анонимизирует трафик, пропуская его через несколько зашифрованных конечных точек. Преимущество этого заключается в том, что вы можете использовать Интернет, не раскрывая свою личность и не подвергаясь местной цензуре, что удобно, если вы живете в репрессивном режиме, таком как Китай, Куба или Эритрея. Один из самых простых способов получить его — браузер Tor на базе Firefox, о котором я говорил несколько месяцев назад.
Кстати, среда, в которой вы оказались, читая эту статью, сама по себе является продуктом инвестиций DARPA. Без ARPANET не было бы Интернета.
Подводя итог, можно сказать, что Левин: поскольку TOR получает большую часть своего финансирования от правительства США, оно неразрывно связано с ними и больше не может действовать независимо. Есть также ряд участников TOR, которые ранее работали с правительством США в той или иной форме.
Чтобы полностью прочитать высказывания Левина, прочитайте «Почти все, кто участвовал в разработке Tor, были (или есть) финансируются правительством США» , опубликовано 16 июля 2014 года.
Затем прочитайте это опровержение Мики Ли, который пишет для The Intercept. Подводя итог контраргументам: DOD так же зависит от TOR для защиты своих оперативников, проект TOR всегда был открыт для определения источника их финансов.
Левин — великий журналист, к которому я испытываю большое восхищение и уважение. Но я иногда беспокоюсь, что он попадает в ловушку, думая, что правительства — любое правительство — являются монолитными образованиями. Это не так. Скорее, это сложная машина с различными независимыми винтиками, каждый со своими интересами и мотивациями, работающими автономно.
Совершенно правдоподобно, что один департамент правительства будет готов инвестировать в инструмент для эмансипации, в то время как другой будет заниматься поведением, которое противоречит свободе и неприкосновенности частной жизни.
И, как продемонстрировал Джулиан Ассанж, удивительно просто предположить, что существует заговор, когда логическое объяснение гораздо более невинно.
Мы достигли пика WikiLeaks?
Это только у меня или лучшие дни WikiLeaks прошли мимо?
Не так давно Ассанж выступал на мероприятиях TED в Оксфорде и на хакерских конференциях в Нью-Йорке. Бренд WikiLeaks был сильным, и они открывали действительно важные вещи, такие как отмывание денег в швейцарской банковской системе и безудержная коррупция в Кении.
Теперь, WikiLeaks был омрачен характером Ассанжа — человека, который живет в добровольном изгнании в эквадорском посольстве Лондона, сбежав от некоторых довольно серьезных уголовных обвинений в Швеции.
Сам Ассанж, по-видимому, был не в состоянии возглавить свою прежнюю известность, и теперь принялся делать диковинные заявления всем, кто будет слушать. Это почти грустно. Особенно, если учесть, что WikiLeaks проделал довольно важную работу, которая с тех пор была сорвана сайдшоу Джулиана Ассанжа.
Но что бы вы ни думали об Ассанже, есть одна вещь, которая почти наверняка. Нет абсолютно никаких доказательств того, что США проникли в Debian. Или любой другой дистрибутив Linux.
Фото: 424 (XKCD) , код (Майкл Химбо)