Werbung
Debian ist eine der beliebtesten Linux-Distributionen. Es ist solide, zuverlässig und im Vergleich zu Arch und Gentoo für Neulinge relativ leicht zu verstehen. Ubuntu ist darauf gebaut Debian vs Ubuntu: Wie weit ist Ubuntu in 10 Jahren gekommen?Ubuntu ist jetzt 10 Jahre alt! Der König der Linux-Distributionen hat seit seiner Gründung im Jahr 2004 einen langen Weg zurückgelegt. Schauen wir uns also an, wie er sich anders entwickelt hat als Debian, die Distribution auf ... Weiterlesen und es ist oft gewohnt Schalten Sie den Raspberry Pi ein So installieren Sie ein Betriebssystem auf einem Raspberry PiHier erfahren Sie, wie Sie ein Betriebssystem auf Ihrem Raspberry Pi installieren und Ihr perfektes Setup für eine schnelle Notfallwiederherstellung klonen. Weiterlesen .
Laut Wikileaks-Gründer Julian Assange soll es auch im Griff des amerikanischen Geheimdienstapparats sein.
Oder ist es?
Auf der Konferenz der World Hosting Days 2014 beschrieb Julian Assange, wie bestimmte Nationalstaaten (ohne Namen,
Husten Amerika Husten) haben bestimmte Linux-Distributionen absichtlich unsicher gemacht, um sie unter die Kontrolle ihres Überwachungsdrachen zu bringen. Das vollständige Angebot nach 20 Minuten können Sie hier einsehen:Aber hat Assange recht?
Ein Blick auf Debian und Sicherheit
In Assanges Vortrag erwähnt er, wie unzählige Distributionen absichtlich sabotiert wurden. Aber er erwähnt Debian namentlichWir könnten uns also genauso gut auf diesen konzentrieren.
In den letzten 10 Jahren wurden in Debian eine Reihe von Sicherheitslücken identifiziert. Einige davon waren schwerwiegend, Schwachstellen im Zero-Day-Stil Was ist eine Zero Day-Sicherheitsanfälligkeit? [MakeUseOf erklärt] Weiterlesen das betraf das System im Allgemeinen. Andere haben die Fähigkeit zur sicheren Kommunikation mit Remote-Systemen beeinträchtigt.
Die einzige Sicherheitslücke, die Assange ausdrücklich erwähnt, ist ein Fehler im OpenSSL-Zufallszahlengenerator von Debian im Jahr 2008 entdeckt.
Zufallszahlen (oder zumindest Pseudozufallszahlen; Es ist äußerst schwierig, auf einem Computer echte Zufälligkeit zu erzielen. Dies ist ein wesentlicher Bestandteil der RSA-Verschlüsselung. Wenn ein Zufallszahlengenerator vorhersehbar wird, sinkt die Wirksamkeit der Verschlüsselung und es wird möglich, den Verkehr zu entschlüsseln.
Zugegebenermaßen hat die NSA in der Vergangenheit die Stärke der kommerziellen Verschlüsselung absichtlich geschwächt, indem sie die Entropie der zufällig generierten Zahlen verringert hat. Das war ein vor langer Zeit, als eine starke Verschlüsselung von der US-Regierung mit Argwohn betrachtet wurde und sogar der Gesetzgebung für Waffenexporte unterlag. Simon Singhs Das Codebuch beschreibt diese Ära ziemlich gut und konzentriert sich auf die frühen Tage von Philip Zimmermans Pretty Good Privacy und den heftigen Rechtsstreit, den er mit der US-Regierung geführt hat.
Aber das ist lange her und es scheint, dass der Fehler von 2008 weniger auf Bosheit als auf erstaunliche technologische Inkompetenz zurückzuführen war.
Zwei Codezeilen wurden aus Debians OpenSSL-Paket entfernt, da sie Warnmeldungen in den Build-Tools Valgrind und Purify erzeugten. Die Zeilen wurden entfernt und die Warnungen verschwanden. Die Integrität von Debians Implementierung von OpenSSL war jedoch grundlegend verkrüppelt.
Wie Hanlons Rasiermesser diktiert, niemals der Bosheit zuzuschreiben, was genauso leicht zu erklären ist wie Inkompetenz. Dieser spezielle Fehler war übrigens satirisiert von Web-Comic XKCD.
Schreiben zu diesem Thema, die IgnorantGuru Blog spekuliert auch der jüngste Heartbleed-Bug (den wir haben im letzten Jahr abgedeckt Herzbluten - Was können Sie tun, um sicher zu bleiben? Weiterlesen ) könnte auch ein Produkt der Sicherheitsdienste gewesen sein absichtlich versuchen, Kryptographie unter Linux zu untergraben.
Heartbleed war eine Sicherheitslücke in der OpenSSL-Bibliothek, durch die möglicherweise ein böswilliger Benutzer Informationen stiehlt geschützt durch SSL / TLS, durch Lesen des Speichers der anfälligen Server und Abrufen der geheimen Schlüssel zum Verschlüsseln des Datenverkehrs. Zu dieser Zeit bedrohte es die Integrität unserer Online-Banking- und Handelssysteme. Hunderttausende von Systemen waren anfällig und betrafen fast jede Linux- und BSD-Distribution.
Ich bin mir nicht sicher, wie wahrscheinlich es ist, dass die Sicherheitsdienste dahinter stecken.
Das Schreiben eines soliden Verschlüsselungsalgorithmus ist extrem schwierig. Die Implementierung ist ähnlich schwierig. Es ist unvermeidlich, dass irgendwann eine Sicherheitslücke oder ein Fehler entdeckt wird (sie) sind oft in OpenSSL Ein massiver Fehler in OpenSSL gefährdet einen Großteil des InternetsWenn Sie zu den Leuten gehören, die immer geglaubt haben, dass Open Source-Kryptografie die sicherste Art der Online-Kommunikation ist, werden Sie überrascht sein. Weiterlesen ) das so schwerwiegend ist, dass ein neuer Algorithmus erstellt oder eine Implementierung neu geschrieben werden muss.
Aus diesem Grund haben Verschlüsselungsalgorithmen einen evolutionären Weg eingeschlagen, und neue werden erstellt, wenn Mängel in der richtigen Reihenfolge entdeckt werden.
Frühere Vorwürfe staatlicher Eingriffe in Open Source
Natürlich ist es für Regierungen nicht ungewöhnlich, sich für Open Source-Projekte zu interessieren. Es ist auch nicht ungewöhnlich, dass Regierungen beschuldigt werden, die Richtung spürbar beeinflusst zu haben oder Funktionalität eines Softwareprojekts, entweder durch Zwang, Infiltration oder durch Unterstützung finanziell.
Yasha Levine ist einer der investigativen Journalisten, die ich am meisten bewundere. Er schreibt jetzt für Pando.com, aber vorher hat er sich alle zwei Wochen die Zähne geschnitten und für den legendären Moskauer geschrieben. Das Exil die 2008 von Putins Regierung geschlossen wurde. In seiner elfjährigen Lebensdauer wurde es für seinen groben, empörenden Inhalt bekannt, ebenso wie für Levines (und Mitbegründer) Mark Ames, die auch für Pando.com schreiben) heftige investigative Berichterstattung.
Dieses Gespür für investigativen Journalismus ist ihm zu Pando.com gefolgt. Im letzten Jahr hat Levine eine Reihe von Stücken veröffentlicht, in denen die Verbindungen zwischen dem Tor-Projekt und dem, was er als US-Militärüberwachungskomplex bezeichnet, hervorgehoben werden Büro für Marineforschung (ONR) und der Agentur für fortgeschrittene Verteidigungsforschungsprojekte (DARPA).
Tor (oder The Onion Router) Wirklich privates Surfen: Ein inoffizielles Benutzerhandbuch für TorTor bietet wirklich anonymes und nicht nachvollziehbares Surfen und Messaging sowie Zugriff auf das sogenannte „Deep Web“. Tor kann von keiner Organisation auf dem Planeten plausibel gebrochen werden. Weiterlesen Für diejenigen, die nicht ganz auf dem neuesten Stand sind, handelt es sich um eine Software, die den Datenverkehr anonymisiert, indem er ihn über mehrere verschlüsselte Endpunkte leitet. Dies hat den Vorteil, dass Sie das Internet nutzen können, ohne Ihre Identität preiszugeben oder lokaler Zensur zu unterliegen. Dies ist praktisch, wenn Sie in einem repressiven Regime wie China, Kuba oder Eritrea leben. Eine der einfachsten Möglichkeiten, dies zu erreichen, ist der Firefox-basierte Tor-Browser Ich habe vor ein paar Monaten darüber gesprochen So durchsuchen Sie Facebook über Tor in 5 SchrittenMöchten Sie bei der Nutzung von Facebook sicher bleiben? Das soziale Netzwerk hat eine .onion-Adresse gestartet! Hier erfahren Sie, wie Sie Facebook auf Tor verwenden. Weiterlesen .
Das Medium, in dem Sie diesen Artikel lesen, ist übrigens selbst ein Produkt der DARPA-Investition. Ohne ARPANETEs würde kein Internet geben.
Um Levines Punkte zusammenzufassen: Da TOR den größten Teil seiner Mittel von der US-Regierung erhält, ist es untrennbar mit ihnen verbunden und kann nicht mehr unabhängig operieren. Es gibt auch eine Reihe von TOR-Mitarbeitern, die zuvor in irgendeiner Form mit der US-Regierung zusammengearbeitet haben.
Um Levines Punkte vollständig zu lesen, lesen Sie bitte "Fast alle, die an der Entwicklung von Tor beteiligt waren, wurden (oder werden) von der US-Regierung finanziert.", veröffentlicht am 16. Juli 2014.
Dann Lesen Sie diese Gegenargumentation, von Micah Lee, der für The Intercept schreibt. Um die Gegenargumente zusammenzufassen: Das DOD ist ebenso auf TOR angewiesen, um seine Mitarbeiter zu schützen. Das TOR-Projekt war immer offen darüber, woher ihre Finanzen stammen.
Levine ist eine großartige Journalistin, die ich sehr bewundere und respektiere. Aber ich mache mir manchmal Sorgen, dass er in die Falle gerät zu denken, dass Regierungen - jede Regierung - monolithische Einheiten sind. Sie sind es nicht. Es handelt sich vielmehr um eine komplexe Maschine mit verschiedenen unabhängigen Zahnrädern, die jeweils ihre eigenen Interessen und Motivationen haben und autonom arbeiten.
Es ist total plausibel dass eine Abteilung der Regierung bereit wäre, in ein Emanzipationsinstrument zu investieren, während eine andere sich auf ein Verhalten einlässt, das gegen die Freiheit und gegen die Privatsphäre verstößt.
Und genau wie Julian Assange gezeigt hat, ist es bemerkenswert einfach anzunehmen, dass es eine Verschwörung gibt, wenn die logische Erklärung viel unschuldiger ist.
Verschwörungstheoretiker sind diejenigen, die Vertuschungen geltend machen, wenn nicht genügend Daten vorhanden sind, um das zu unterstützen, von dem sie sicher sind, dass es wahr ist.
- Neil deGrasse Tyson (@neiltyson) 7. April 2011
Haben wir Peak WikiLeaks erreicht?
Bin ich es nur, oder sind die besten Tage von WikiLeaks vergangen?
Es ist noch nicht lange her, dass Assange bei TED-Veranstaltungen in Oxford und bei Hacker-Konferenzen in New York sprach. Die Marke WikiLeaks war stark und deckte wirklich wichtige Dinge auf, wie Geldwäsche im Schweizer Bankensystem und grassierende Korruption in Kenia.
Jetzt wurde WikiLeaks vom Charakter von Assange überschattet - einem Mann, der in einem selbst auferlegten lebt Exil in der ecuadorianischen Botschaft in London, nachdem sie vor einigen ziemlich schweren kriminellen Vorwürfen in London geflohen war Schweden.
Assange selbst war anscheinend nicht in der Lage, seine frühere Bekanntheit zu übertreffen, und hat es sich nun zur Aufgabe gemacht, jedem, der zuhört, ausgefallene Ansprüche zu stellen. Es ist fast traurig. Besonders wenn man bedenkt, dass WikiLeaks einige ziemlich wichtige Arbeiten geleistet hat, die seitdem von der Nebenschau von Julian Assange entgleist sind.
Aber was auch immer Sie von Assange halten, eines ist fast sicher. Es gibt absolut keine Beweise dafür, dass die USA Debian infiltriert haben. Oder irgendeine andere Linux-Distribution.
Bildnachweis: 424 (XKCD), Code (Michael Himbeault)
Matthew Hughes ist ein Softwareentwickler und Autor aus Liverpool, England. Er wird selten ohne eine Tasse starken schwarzen Kaffee in der Hand gefunden und liebt sein Macbook Pro und seine Kamera. Sie können seinen Blog unter lesen http://www.matthewhughes.co.uk und folge ihm auf Twitter unter @matthewhughes.
