Содержание
Debian является одним из самых популярных дистрибутивов Linux. Он прочный, надежный и по сравнению с Arch и Gentoo, новичкам относительно легко понять. Ubuntu построен на нем
и часто используется для питания Raspberry Pi
,
По словам основателя Wikileaks Джулиана Ассанжа, он также находится в руках американского разведывательного аппарата.
Либо это?
Выступая на конференции World Hosting Days 2014 года, Джулиан Ассанж рассказал о том, как определенные государства (не называя имен, кашляют Америка кашель) преднамеренно сделали некоторые дистрибутивы Linux небезопасными, чтобы поставить их под контроль своих наблюдателей. Вы можете просмотреть полную цитату после 20-минутной отметки здесь:
Но прав ли Ассанж?
Взгляд на Debian и безопасность
В разговоре Ассанжа он упоминает о том, как бесчисленные раздачи были намеренно саботированы. Но он упоминает Debian по имени, поэтому мы могли бы сосредоточиться на этом.
За последние 10 лет в Debian был выявлен ряд уязвимостей. Некоторые из них были серьезными уязвимостями нулевого дня
что повлияло на систему в целом. Другие повлияли на его способность безопасно общаться с удаленными системами.
Единственная уязвимость, о которой Ассанж явно упоминает, — это ошибка в генераторе случайных чисел Debian OpenSSL, обнаруженная в 2008 году.
Случайные числа (или, по крайней мере, псевдослучайные; на компьютере очень трудно получить истинную случайность) являются неотъемлемой частью шифрования RSA. Когда генератор случайных чисел становится предсказуемым, эффективность шифрования падает, и становится возможным расшифровать трафик.
Следует признать, что в прошлом АНБ намеренно ослабило силу шифрования коммерческого уровня, уменьшив энтропию случайно сгенерированных чисел. Это был давным-давно, когда сильное шифрование было воспринято правительством США с подозрением и даже подпадает под действие законодательства об экспорте оружия. «Книга кодов» Саймона Сингха довольно хорошо описывает эту эпоху, фокусируясь на первых годах «Хорошей частной жизни» Филиппа Циммермана и на серьезной юридической битве, которую он вел с правительством США.
Но это было давно, и похоже, что ошибка 2008 года была не столько результатом злого умысла, сколько потрясающей технологической некомпетентностью.
Две строки кода были удалены из пакета Debian OpenSSL, потому что они генерировали предупреждающие сообщения в инструментах сборки Valgrind и Purify. Строки были удалены, а предупреждения исчезли. Но целостность реализации OpenSSL в Debian была принципиально искалеченный.
Как гласит бритва Ханлона, никогда не приписывайте злобе то, что можно так же легко объяснить, как некомпетентность. Кстати, этот конкретный баг был одобрен веб-комиксом XKCD.
В этой теме в блоге IgnorantGuru также рассматривается недавняя ошибка Heartbleed (о которой мы рассказывали в прошлом году).
) также мог быть продуктом служб безопасности, намеренно пытающихся подорвать криптографию в Linux.
Heartbleed был уязвимостью безопасности в библиотеке OpenSSL, которая потенциально могла видеть, как злоумышленник крал информацию, защищенную SSL / TLS, читая память уязвимых серверов и получая секретные ключи, используемые для шифрования трафика. В то время это угрожало целостности наших систем онлайн-банкинга и коммерции. Сотни тысяч систем были уязвимы, и это затронуло почти все дистрибутивы Linux и BSD.
Я не уверен, насколько вероятно, что службы безопасности были за этим.
Написание надежного алгоритма шифрования чрезвычайно сложно. Реализовать это так же сложно. Это неизбежно, что в конечном итоге уязвимость или уязвимость будут обнаружены (они часто находятся в OpenSSL
), который настолько серьезен, должен быть создан новый алгоритм или переписана реализация.
Вот почему алгоритмы шифрования пошли по эволюционному пути, и новые создаются, когда обнаруживаются недостатки в порядке следования.
Предыдущие утверждения о вмешательстве правительства в Open Source
Конечно, правительства нередко проявляют интерес к проектам с открытым исходным кодом. Также не случайно, что правительства обвиняют в ощутимом влиянии на направление или функциональность программного проекта, посредством принуждения, проникновения или финансовой поддержки.
Яша Левин — один из журналистов-расследователей, которым я больше всего восхищаюсь. Сейчас он пишет для Pando.com, но до этого он режет зубы, пишя для легендарного москвича раз в две недели, The Exile, который был закрыт в 2008 году правительством Путина. За одиннадцать лет своей жизни он стал известен своим грубым, возмутительным содержанием, так же, как и для жестокой журналистской отчетности Левина (и соучредителя Марка Эймса, который также пишет для Pando.com).
Этот талант к журналистским расследованиям последовал за ним на Pando.com. За прошедший год Левин опубликовал ряд статей, в которых освещаются связи между проектом Tor и тем, что он называет комплексом военного наблюдения США, но на самом деле это Управление военно-морских исследований (ONR) и оборонные исследовательские проекты. Агентство (ДАРПА).
Тор (или Луковый Маршрутизатор)
для тех, кто не совсем в курсе, это часть программного обеспечения, которая анонимизирует трафик, перенаправляя его через несколько зашифрованных конечных точек. Преимущество этого заключается в том, что вы можете использовать Интернет, не раскрывая свою личность и не подвергаясь местной цензуре, что удобно, если вы живете в репрессивном режиме, таком как Китай, Куба или Эритрея. Один из самых простых способов получить его — браузер Tor на базе Firefox, о котором я говорил несколько месяцев назад.
,
Кстати, среда, в которой вы оказались, читая эту статью, сама по себе является продуктом инвестиций DARPA. Без ARPANET не было бы Интернета.
Подводя итог, можно сказать, что Левин: поскольку TOR получает большую часть своего финансирования от правительства США, оно неразрывно связано с ними и больше не может работать независимо. Есть также ряд участников TOR, которые ранее работали с правительством США в той или иной форме.
Чтобы полностью прочитать высказывания Левина, прочитайте «Почти все, кто участвовал в разработке Tor, были (или есть) финансируются правительством США», опубликовано 16 июля 2014 года.
Затем прочитайте это опровержение Мики Ли, который пишет для The Intercept. Подводя итог контраргументам: DOD так же зависит от TOR для защиты своих оперативников, проект TOR всегда был открыт для определения источников их финансов.
Левин — великий журналист, к которому я испытываю большое восхищение и уважение. Но я иногда беспокоюсь, что он попадает в ловушку, думая, что правительства — любое правительство — являются монолитными образованиями. Они не. Скорее, это сложная машина с различными независимыми винтиками, каждый со своими интересами и мотивациями, работающими автономно.
Совершенно правдоподобно, что один департамент правительства будет готов инвестировать в инструмент для освобождения, в то время как другой будет заниматься поведением, которое противоречит свободе и неприкосновенности частной жизни.
И, как продемонстрировал Джулиан Ассанж, удивительно просто предположить, что существует заговор, когда логическое объяснение гораздо более невинно.
Теоретики заговора — это те, кто претендует на сокрытие всякий раз, когда существует недостаточно данных, чтобы подтвердить то, что, по их мнению, является правдой.
— Нил де Грассе Тайсон (@neiltyson) 7 апреля 2011 г.
Мы достигли пика WikiLeaks?
Это только я, или лучшие дни WikiLeaks прошли мимо?
Не так давно Ассанж выступал на мероприятиях TED в Оксфорде и на хакерских конференциях в Нью-Йорке. Бренд WikiLeaks был сильным, и они открывали действительно важные вещи, такие как отмывание денег в швейцарской банковской системе и безудержная коррупция в Кении.
Теперь WikiLeaks был омрачен характером Ассанжа — человека, который живет в добровольном изгнании в эквадорском посольстве Лондона, скрываясь от некоторых довольно серьезных обвинений в совершении преступлений в Швеции.
Сам Ассанж, по-видимому, был не в состоянии возглавить свою прежнюю известность, и теперь принялся делать диковинные заявления любому, кто будет слушать. Это почти грустно. Особенно, если учесть, что WikiLeaks проделал довольно важную работу, которая с тех пор была сорвана сайдшоу Джулиана Ассанжа.
Но что бы вы ни думали об Ассанже, есть одна вещь, которая почти наверняка. Нет абсолютно никаких доказательств того, что США проникли в Debian. Или любой другой дистрибутив Linux.
Фото: 424 (XKCD), код (Майкл Химбо)
