William Charles
0 
3438
426
Debian je jedna od najpopularnijih distribucija Linuxa. Čvrst je, pouzdan i u usporedbi s Archom i Gentooom, relativno lako za novopridošle ljude da ga shvate. Ubuntu je izgrađen na njemu Debian vs Ubuntu: Koliko je daleko Ubuntu stigao za 10 godina? Debian vs Ubuntu: Koliko je daleko Ubuntu stigao za 10 godina? Ubuntu je sada 10 godina! Kralj Linux distribucije priješao je daleki put od svog početka 2004. godine, pa pogledajmo kako se drugačije razvio do Debiana, distribucije na…, a često se koristi i za napajanje Raspberry Pi-a Kako instalirati operativni sustav na Raspberry Pi Kako instalirati operativni sustav na Raspberry Pi Evo kako instalirati OS na svoj Raspberry Pi i kako klonirati savršenu postavku za brzi oporavak od katastrofe. .
Tvrdi se da se također razumije u američki obavještajni aparat, izjavio je osnivač Wikileaksa, Julian Assange.
Ili je?
Govoreći na konferenciji Svjetskih dana domaćinstva 2014., Julian Assange opisao je kako određene nacionalne države (ne navodeći imena), kašalj Amerika kašalj) namjerno su učinili određene distribucije Linuxa nesigurnim kako bi ih stavili pod kontrolu svog zaštitnog draneta. Kompletni citat nakon 20 minuta možete pogledati ovdje:
Ali je li Assange u pravu?
Pogled na Debian i sigurnost
U Assangeovu govoru spominje kako su bezbrojne distribucije namjerno sabotirane. Ali spominje Debiana imenom, pa bismo se i mi mogli usredotočiti na onu.
U posljednjih 10 godina u Debianu je utvrđen veći broj ranjivosti. Neke od njih bile su ozbiljne, ranjivosti u dnevnom stilu Što je ranjivost nakon jednog dana? [MakeUseOf objašnjava] Što je ranjivost nakon jednog dana? [MakeUseOf Explains] koji je utjecao na sustav općenito. Drugi su utjecali na njegovu sposobnost sigurne komunikacije s udaljenim sustavima.
Jedina ranjivost koju Assange izričito spominje je greška u Debianovom OpenSSL generator slučajnih brojeva koja je otkrivena 2008. godine.
Nasumični brojevi (ili barem pseudo slučajni; izuzetno je teško pronaći stvarnu slučajnost na računalu) su važan dio RSA enkripcije. Kad generator slučajnih brojeva postane predvidiv, učinkovitost šifriranja opada i postaje moguće dešifrirati promet.
Doduše, u prošlosti je NSA namjerno oslabio jačinu šifriranja komercijalnih razreda smanjujući entropiju nasumično generiranih brojeva. To je bio a davno, kad je američka vlada smatrala snažnom enkripcijom s sumnjom, pa čak i podložna zakonodavstvu o izvozu oružja. Knjiga knjiga kodova Simon Singha prilično dobro opisuje ovo doba, usredotočujući se na rane dane prilično dobre privatnosti Filipa Zimmermana i vodenu bitku s kojom se vodio s američkom vladom.
Ali to je bilo davno, a čini se da je šteta za 2008 bila manje posljedica zlobe, nego zapanjujuće tehnološke nesposobnosti.
Dvije linije koda uklonjene su iz Debianovog OpenSSL paketa jer su u Alatima za izradu Valgrind i Purify napravili poruke upozorenja. Linije su uklonjene, a upozorenja su nestala. Ali integritet Debianove implementacije OpenSSL-a je bio u osnovi osakaćen.
Kao što naređuje Hanlonov britvica, nikad ne treba pripisati zlobi ono što se jednako lako može objasniti kao nesposobnost. Uzgred, upravo je ovu bugu satirizirao web strip XKCD.
Pišući o ovoj temi, blog IgnorantGuru također nagađa da je nedavna greška Heartbleed (koju smo pokrivali prošle godine Heartbleed - Što možete učiniti da ostanete sigurni? Heartbleed - Što možete učiniti da ostanete sigurni?) Možda su također proizvod sigurnosti usluge namjerno pokušavaju potkopati kriptografiju na Linuxu.
Heartbleed je bio sigurnosna ranjivost u knjižnici OpenSSL koja je potencijalno mogla vidjeti zlonamjernog korisnika krađu podataka zaštićenih SSL / TLS, čitanjem memorije ranjivih poslužitelja i dobivanjem tajnih ključeva koji se koriste za šifriranje prometa. Tada je to ugrozilo integritet naših sustava bankarstva i trgovine na mreži. Stotine tisuća sustava bili su ranjivi, a utjecalo je na gotovo svaki Linux i BSD distro.
Nisam siguran koliko je vjerojatno da su sigurnosne službe stale iza toga.
Pisanje čvrstog algoritma za enkripciju je izuzetno teško. Slično je provoditi i provesti. Neizbježno je da se s vremenom otkrije ranjivost ili nedostatak (često su u OpenSSL Massive Bug-u u OpenSSL-u stavlja mnogo interneta na rizik. Massive Bug u OpenSSL-u stavlja mnogo rizika na rizik ako ste jedan od onih ljudi koji su oduvijek vjerovali da je kriptografija otvorenog koda najsigurniji način za komuniciranje putem interneta, čeka vas neko iznenađenje.) koji je toliko ozbiljan, da se mora stvoriti novi algoritam ili prepisati implementacija.
Zbog toga su algoritmi za enkripciju krenuli evolutivnim putem, a novi se grade kad se otkriju nedostaci u redu.
Prethodne tvrdnje vladinog uplitanja u otvoreni izvor
Naravno, nije nečuveno da se vlade zanimaju za projekte otvorenog koda. Također nije neočekivano optuživanje vlada da opipljivo utječu na smjer ili funkcionalnost softverskog projekta, bilo kroz prisilu, infiltraciju ili financijski podržavajući ga.
Yasha Levine jedan je od istraživačkih novinara kojem se najviše divim. Sada piše za Pando.com, ali prije toga odrezao je zube pišući za legendarni moskovski moskovski dvor, Izgnanstvo koje je Putinova vlada zatvorila 2008. godine. U jedanaestogodišnjem vijeku postalo je poznato po svom grubom, nevjerojatnom sadržaju, jednako kao i po Levineu (i suosnivaču Marku Amesu, koji također piše za Pando.com) žestokim istražnim izvještajima.
Taj njuh za istraživačko novinarstvo pratio ga je i na Pando.com. Tijekom posljednjih godinu dana ili tako nešto, Levine je objavio niz tekstova u kojima je istaknuo veze između Projekta Tor i onoga što on naziva američkim vojnim nadzornim kompleksom, ali to je stvarno Ured za pomorska istraživanja (ONR) i obrambeni napredni istraživački projekti Agencija (DARPA).
Tor (ili, onion usmjerivač) stvarno privatno pregledavanje: Neslužbeni korisnički vodič za Tor stvarno stvarno privatno pregledavanje: Neslužbeni korisnički vodič za Tor Tor pruža doista anonimno i nenadmašivo pregledavanje i slanje poruka, kao i pristup tzv. “Duboka mreža”. Tor ne može vjerovatno prekinuti nijedna organizacija na planeti. , za one koji nisu baš brzi, dio je softvera koji anonimizira promet bacajući ga kroz više šifriranih krajnjih točaka. Prednost ovoga je što možete koristiti Internet bez otkrivanja svog identiteta ili podvrgavanja lokalnoj cenzuri, što je korisno ako živite u represivnom režimu, poput Kine, Kube ili Eritreje. Jedan od najlakših načina da to dobijete je pomoću preglednika Tor sa sjedištem na Firefoxu, o kojem sam govorio prije nekoliko mjeseci. Kako pregledavati Facebook Over Tor u 5 koraka Kako pregledati Facebook Over Tor u 5 koraka Želite li ostati siguran kada koristite Facebook ? Društvena mreža je lansirala .onion adresu! Evo kako koristiti Facebook na Toru. .
Usput, medij u kojem ćete se naći čitajući ovaj članak, sam je proizvod DARPA ulaganja. Bez ARPANET-a ne bi bilo interneta.
Da sumiram Levineove stavove: budući da TOR većinu svog financijskog sredstva dobija od vlade SAD-a, on je s njima neumoljivo povezan i ne može više samostalno djelovati. Postoji i određeni broj suradnika TOR-a koji su prethodno surađivali s američkom vladom u nekom ili drugom obliku.
Da biste u cijelosti pročitali Levineove točke, pročitajte ih “Gotovo sve koji su uključeni u razvoj Tor-a financirala je (ili se financira) američka vlada”, objavljeno 16. srpnja 2014.
Zatim pročitajte ovaj pobijanac Micaha Leeja, koji piše za The Intercept. Da rezimiramo kontraargumente: DOD je podjednako ovisan o TOR-u da zaštiti svoje operativce, projekt TOR je uvijek bio otvoren otkud njihove financije..
Levine je izvrstan novinar, jednom za koga imam puno divljenja i poštovanja. Ali ponekad me brine da on upada u zamku razmišljanja kako su vlade - bilo koja vlada - monolitni entiteti. Nisu. Umjesto toga, to je složen stroj s različitim neovisnim nazubljenicima, svaki sa svojim interesima i motivacijama, koji rade autonomno.
to je potpuno uvjerljiv da je jedan vladin odjel spreman uložiti u alat za oslobađanje, dok bi se drugi uključio u ponašanje koje je protiv slobode i privatnosti.
I baš kao što je Julian Assange pokazao, nevjerojatno je jednostavno pretpostaviti da postoji zavjera, kad je logično objašnjenje mnogo nevino.
Teoretičari zavjere su oni koji tvrde prikrivanje kad god nema dovoljno podataka koji bi potkrijepili ono što je sigurno.
- Neil deGrasse Tyson (@neiltyson) 7. travnja 2011
Jesmo li pogodili vrhunac WikiLeaksa?
Jesam li to samo ja ili su prošli najbolji dani WikiLeaksa?
Nedavno je Assange govorio na TED događajima u Oxfordu i hakerskim konferencijama u New Yorku. Brend WikiLeaks bio je snažan i otkrivali su zaista važne stvari, poput pranja novca u švicarskom bankarskom sustavu i divljajuće korupcije u Keniji.
Sada je WikiLeaks zasjenio lik Assangea - čovjeka koji živi u samoimenovanom egzilu u londonskoj ekvadorskoj ambasadi, koji je pobjegao od prilično teških kaznenih optužbi u Švedskoj.
Sam Assange naizgled nije bio u stanju nadmašiti svoju raniju notornost, pa je sada preuzeo neobične tvrdnje prema svima koji će ga slušati. Gotovo je tužno. Pogotovo ako uzmete u obzir da je WikiLeaks obavio neki prilično važan posao koji je od tada skrenuo s pozornice Julian Assange.
Ali što god mislili o Assangeu, postoji jedna stvar koja je gotovo sigurna. Nema apsolutno nikakvih dokaza da su se SAD infiltrirale u Debian. Ili bilo koji drugi distributer Linuxa, što se toga tiče.
Krediti za fotografije: 424 (XKCD), kôd (Michael Himbeault)