Har USA s regering infiltrerat Debianprojektet? (Nej)

Debian är en av de mest populära Linux-distributionerna. Den är solid, pålitlig och jämfört med Arch och Gentoo, relativt lätt för nykomlingar att förstå. Ubuntu bygger på det Debian vs Ubuntu: Hur långt har Ubuntu kommit om 10 år? Debian vs Ubuntu: Hur långt har Ubuntu kommit om 10 år? Ubuntu är nu 10 år gammal! Kungen av Linux-distributioner har kommit långt sedan starten 2004, så låt oss se hur det har utvecklats annorlunda till Debian, fördelningen på ... Läs mer, och det används ofta för att driva Raspberry Pi Hur man installerar ett operativsystem Till din Raspberry Pi Så här installerar du ett operativsystem till din Raspberry Pi Så här får du ett nytt OS installerat och kört på din Pi - och hur man klonar din perfekta inställning för snabb katastrofåterställning. Läs mer .

Det påstås också vara i grepp om Amerikas intelligensapparat, enligt Wikileaks grundare Julian Assange.

Eller är det?

Julian Assange talade vid 2014 års World Hosting Days-konferens om hur vissa nationella stater (namnger inga namn, hosta amerika hosta) har avsiktligt gjort vissa Linux-distributioner osäkra, för att få dem under kontroll av deras övervakningsnät. Du kan se hela citatet efter 20 minuters markering här:

Men är Assange rätt?

En titt på Debian och säkerhet

I Assange talar han om hur otaliga utdelningar avsiktligt har saboterats. Men han nämner Debian vid namn, så vi kan lika bra fokusera på den där.

Under de senaste 10 åren har ett antal sårbarheter identifierats i Debian. Några av dessa har varit svåra, störningar i noll-dagars stil [MakeUseOf Förklarar] Vad är en Säkerhetsproblem för nolldagen? [MakeUseOf Explains] Läs mer som påverkat systemet i allmänhet. Andra har påverkat sin förmåga att säkert kommunicera med fjärrsystem.

Den enda sårbarheten Assange nämner uttryckligen ett fel i Debians OpenSSL slumptalsgenerator som upptäcktes 2008.

Slumpmässiga siffror (eller, åtminstone pseudorandom, det är extremt svårt att få sann slump i en dator) är en viktig del av RSA-kryptering. När en slumptalsgenerator blir förutsägbar, dämpar krypteringens effektivitet, och det blir möjligt att dekryptera trafiken.

Visserligen har NSA avsiktligt försvagat styrkan i kommersiell klassad kryptering genom att minska entropin hos de slumpmässigt genererade siffrorna. Det var en för länge sedan, när stark kryptering ansågs vara misstänkt av den amerikanska regeringen, och till och med utsatt för vapenexportlagstiftning. Simon Singhs Kodbok beskriver den här eran ganska bra med fokus på de tidiga dagarna av Philip Zimmermans ganska bra integritet, och den lagrade juridiska striden han kämpade med den amerikanska regeringen.

Men det var länge sedan, och det verkar som 2008s bugg var mindre ett resultat av ondska, men ganska fantastisk teknisk inkompetens.

Två kodrader avlägsnades från Debians OpenSSL-paket eftersom de producerade varningsmeddelanden i verktygen Valgrind och Purify build. Linjerna togs bort och varningarna försvann. Men integriteten hos Debians implementering av OpenSSL var grundläggande krämpling.

Som Hanlon's Razor dikterar, tillägna sig aldrig till ondskan vad som lika lätt kan förklaras som inkompetens. För övrigt satte denna speciella buggar sig av webbkamera XKCD.

IgnorantGuru-bloggen spekulerar också på den senaste Heartbleed-buggen (som vi täckte förra året Heartbleed - vad kan du göra för att vara säker? Heartbleed - vad kan du göra för att vara säker? Läs mer) kan också ha varit en produkt av säkerhetstjänsterna avsiktligt försöker undergräva kryptering på Linux.

Heartbleed var ett säkerhetsproblem i OpenSSL-biblioteket som eventuellt kan se en skadlig användare stjäla information som skyddas av SSL / TLS, genom att läsa minnet för de sårbara servrarna och få de hemliga nycklarna som används för att kryptera trafik. Vid den tiden hotade det integriteten hos våra nätbanker och handelssystem. Hundratusentals system var sårbara, och det drabbade nästan alla Linux och BSD distro.

Jag är inte säker på hur troligt det är att säkerhetstjänsten var bakom den.

Att skriva en fast krypteringsalgoritm är extremt svårt. Genomförandet av det är lika svårt. Det är oundvikligt att så småningom en sårbarhet eller brist upptäcks (de är ofta i OpenSSL Massive Bug i OpenSSL lägger mycket av Internet i Risk Massiv Bug i OpenSSL lägger mycket av Internet i fara Om du är en av de människor som alltid har trott den öppna källkryptografin är det säkraste sättet att kommunicera på nätet, du är in för lite överraskning. Läs mer) Det är så allvarligt att en ny algoritm måste skapas, eller en genomförd omskrivning.

Det är därför krypteringsalgoritmer har tagit en utvecklingsväg, och nya byggs när brister upptäckas i ordning.

Tidigare påståenden om regeringstörning i öppen källkod

Det är självklart inte oerhört för regeringar att vara intresserade av öppen källkodsprojekt. Det är inte heller oskäligt för regeringar att anklagas för att påtagligt påverka riktningen eller funktionaliteten hos ett mjukvaruprojekt, antingen genom tvång, infiltration eller genom att stödja det ekonomiskt.

Yasha Levine är en av de undersökande journalisterna som jag mest beundrar. Han skriver nu för Pando.com, men innan det klippte han sina tänder och skrev för den legendariska muskoviten varje vecka, The Exile som stängdes 2008 av Putins regering. Under den elva åriga livslängden blev det känt för sitt grova, upprörande innehåll, lika mycket som det gjorde för Levines (och grundare Mark Ames, som också skriver för Pando.com), brådskande undersökande rapportering.

Denna känsla för undersökande journalistik har följt honom till Pando.com. Under det gångna året har Levine publicerat ett antal bitar som lyfter fram banden mellan Tor Project och vad han kallar det amerikanska militärövervakningskomplexet, men är verkligen Office of Naval Research (ONR) och Defence Advanced Research Projects Byrån (DARPA).

Tor (eller, lökrouteren) Egentligen privat bläddring: En inofficiell användarhandbok för Tor Really Private Browsing: En inofficiell användarhandbok till Tor Tor ger verkligen anonym och oåtkomlig surfning och meddelanden samt tillgång till den så kallade “Deep Web”. Tor kan inte troligen brytas av någon organisation på planeten. Läs mer, för de som inte är ganska snabba, är en mjukvara som anonymiserar trafik genom att studsa den genom flera krypterade ändpunkter. Fördelen med detta är att du kan använda Internet utan att avslöja din identitet eller vara utsatt för lokal censur, vilket är användbart om du bor i en repressiv regim, som Kina, Kuba eller Eritrea. Ett av de enklaste sätten att få det är med Firefox-baserade Tor Browser, som jag pratade om för några månader sedan. Hur kan du officiellt bläddra Facebook över Tor Hur kan du officiellt bläddra Facebook Over Tor? Anmärkningsvärt har Facebook lanserat aa .onion adress för Tor-användare att komma åt det populära sociala nätverket. Vi visar dig hur du öppnar den i Tor-Browser. Läs mer .

Förresten är mediet där du kommer att hitta dig själv att läsa den här artikeln själv en produkt av DARPA-investeringar. Utan ARPANET skulle det inte finnas något Internet.

För att sammanfatta Levins poäng: eftersom TOR får majoriteten av sin finansiering från den amerikanska regeringen är den därför oerhört kopplad till dem och kan inte längre fungera självständigt. Det finns också ett antal TOR-bidragsgivare som tidigare har arbetat med den amerikanska regeringen i någon form eller annan.

För att läsa Levins poäng fullt, läs av “Nästan alla som är involverade i att utveckla Tor var (eller är) finansierade av den amerikanska regeringen”, publicerad den 16 juli 2014.

Läs sedan denna återgivning, av Micah Lee, som skriver för The Intercept. För att sammanfatta motargumenten: DOD är lika beroende av TOR för att skydda sina operatörer, har TOR-projektet alltid varit öppet om var deras ekonomier har kommit från.

Levine är en stor journalist, en jag råkar ha mycket beundran och respekt för. Men jag oroar mig ibland att han faller i fällan att tänka att regeringar - vilken regering som helst - är monolitiska enheter. De är det inte. Det är snarare en komplex maskin med olika oberoende kuggar, var och en med sina egna intressen och motivationer, arbetar autonomt.

Dess helt trovärdig den ena avdelningen av regeringen skulle vara villig att investera i ett verktyg för att frigöra, medan en annan skulle engagera sig i beteende som är antifrihet och anti-privatliv.

Och precis som Julian Assange har visat är det anmärkningsvärt enkelt att anta att det finns en konspiration, när den logiska förklaringen är mycket mer oskyldig.

Konspirationsteoretiker är de som hävdar omslag när det inte finns tillräckligt med data för att stödja vad de är säkra på är sant.

- Neil deGrasse Tyson (@neiltyson) 7 april 2011

Har vi träffat Peak WikiLeaks?

Är det bara jag, eller har WikiLeaks bästa dagar gått förbi?

Det var inte länge sedan som Assange talade vid TED-evenemang i Oxford och hackerkonferenser i New York. WikiLeaks-varumärket var starkt, och de avslöjade mycket viktiga saker, som penningtvätt i det schweiziska banksystemet, och olycklig korruption i Kenya.

Nu har WikiLeaks överskuggats av Assange karaktär - en man som lever i en självpålagt exil i Londons ekuadoriska ambassad, som flydde från några ganska allvarliga brottsliga påståenden i Sverige.

Assange själv har uppenbarligen inte kunnat toppa sin tidigare anmärkning, och har nu tagit för att göra outlandish påståenden till alla som kommer att lyssna. Det är nästan ledsen. Speciellt när du anser att WikiLeaks har gjort ett ganska viktigt arbete som sedan dess har avspänts av Julian Assange sideshow.

Men vad du än tycker om Assange finns det en sak som är nästan säker. Det finns absolut inga bevis att USA har infiltrerat Debian. Eller någon annan Linux distro, för den delen.

Fotokrediter: 424 (XKCD), Kod (Michael Himbeault)

Utforska mer om: Debian, Linux, Online Privacy, Surveillance.