Il governo degli Stati Uniti ha infiltrato il progetto Debian? (No)

Annuncio pubblicitario

Debian è una delle distribuzioni Linux più popolari. È solido, affidabile e rispetto ad Arch e Gentoo, relativamente facile da comprendere per i nuovi arrivati. Ubuntu è costruito su di esso Debian vs Ubuntu: quanto è arrivata Ubuntu in 10 anni?Ubuntu ha ora 10 anni! Il re delle distribuzioni Linux ha fatto molta strada dal suo inizio nel 2004, quindi vediamo come si è sviluppato diversamente da Debian, la distribuzione su ... Leggi di più , ed è spesso abituato alimentare il Raspberry Pi Come installare un sistema operativo su un Raspberry PiEcco come installare un sistema operativo sul tuo Raspberry Pi e come clonare la configurazione perfetta per un rapido ripristino di emergenza. Leggi di più .

Secondo quanto riferito dal fondatore di Wikileaks Julian Assange, si dice anche che sia nelle mani dell'apparato di intelligence americano.

O è?

Parlando alla conferenza dei World Hosting Days del 2014, Julian Assange ha descritto come alcuni stati nazionali (senza nominare nomi,

tosse America tosse) hanno intenzionalmente reso insicure determinate distribuzioni Linux, al fine di portarle sotto il controllo del loro dragnet di sorveglianza. È possibile visualizzare il preventivo completo dopo il segno di 20 minuti qui:

Ma Assange ha ragione?

Uno sguardo a Debian e alla sicurezza

Nel discorso di Assange, egli menziona come innumerevoli distribuzioni siano state intenzionalmente sabotate. Ma menziona Debian per nome, quindi potremmo anche concentrarci su quello.

Negli ultimi 10 anni, in Debian sono state identificate diverse vulnerabilità. Alcuni di questi sono stati gravi, vulnerabilità di tipo zero-day Che cos'è una vulnerabilità zero day? [MakeUseOf Explains] Leggi di più che ha influenzato il sistema in generale. Altri hanno compromesso la sua capacità di comunicare in modo sicuro con sistemi remoti.

L'unica vulnerabilità che Assange menziona esplicitamente è un bug nel generatore di numeri casuali OpenSSL di Debian che era scoperto nel 2008.

Numeri casuali (o, almeno pseudocasuali; è estremamente difficile ottenere la vera casualità su un computer) sono una parte essenziale della crittografia RSA. Quando un generatore di numeri casuali diventa prevedibile, l'efficacia della crittografia precipita e diventa possibile decrittografare il traffico.

Certo, in passato l'NSA ha intenzionalmente indebolito la forza della crittografia di livello commerciale riducendo l'entropia dei numeri generati casualmente. Quello era un molto tempo fa, quando il governo degli Stati Uniti ha considerato la crittografia avanzata con sospetto e persino soggetto alla legislazione sull'esportazione di armi. Di Simon Singh Il libro di codice descrive abbastanza bene questa era, concentrandosi sui primi tempi della Pretty Good Privacy di Philip Zimmerman e sulla battaglia legale lanciata contro il governo degli Stati Uniti.

Ma è stato tanto tempo fa e sembra che il bug del 2008 fosse meno un risultato di malizia, ma piuttosto un'incompetenza tecnologica sbalorditiva.

Due righe di codice sono state rimosse dal pacchetto OpenSSL di Debian perché stavano producendo messaggi di avviso negli strumenti di build di Valgrind e Purify. Le linee furono rimosse e gli avvertimenti scomparvero. Ma l'integrità dell'implementazione Debian di OpenSSL era fondamentalmente paralizzato.

Come Il rasoio di Hanlon impone, non attribuire mai alla malizia ciò che può essere facilmente spiegato come l'incompetenza. Per inciso, questo particolare bug era satirizzato dal web comic XKCD.

Scrivendo sull'argomento, il IgnorantGuru blog specula anche il recente bug Heartbleed (che noi coperto l'anno scorso Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più ) potrebbe anche essere stato un prodotto dei servizi di sicurezza apposta cercando di minare la crittografia su Linux.

Heartbleed era una vulnerabilità di sicurezza nella libreria OpenSSL che poteva potenzialmente vedere un utente malintenzionato rubare informazioni protetto da SSL / TLS, leggendo la memoria dei server vulnerabili e ottenendo le chiavi segrete utilizzate per crittografare il traffico. All'epoca minacciava l'integrità dei nostri sistemi bancari e commerciali online. Centinaia di migliaia di sistemi erano vulnerabili e interessavano quasi tutte le distribuzioni Linux e BSD.

Non sono sicuro della probabilità che i servizi di sicurezza fossero alla base.

Scrivere un algoritmo di crittografia solido è estremamente difficile. La sua attuazione è altrettanto difficile. È inevitabile che alla fine venga scoperta una vulnerabilità o un difetto (loro spesso sono in OpenSSL Un enorme bug in OpenSSL mette a rischio gran parte di InternetSe sei una di quelle persone che hanno sempre creduto che la crittografia open source fosse il modo più sicuro per comunicare online, avrai una sorpresa. Leggi di più ) che è così grave, è necessario creare un nuovo algoritmo o riscrivere un'implementazione.

Ecco perché gli algoritmi di crittografia hanno intrapreso un percorso evolutivo e ne vengono creati di nuovi quando vengono scoperte carenze in ordine.

Precedenti accuse di interferenza governativa in open source

Certo, non è raro che i governi si interessino ai progetti open source. Inoltre, non è inaudito accusare i governi di influenzare in modo tangibile la direzione o funzionalità di un progetto software, attraverso la coercizione, l'infiltrazione o supportandolo finanziariamente.

Yasha Levine è uno dei giornalisti investigativi che ammiro di più. Ora sta scrivendo per Pando.com, ma prima ha tagliato i denti scrivendo per il leggendario moscovita ogni due settimane, L'esilio che è stato chiuso nel 2008 dal governo di Putin. Durante la sua durata di undici anni, divenne noto per il suo contenuto rozzo e scandaloso, tanto quanto per Levine (e co-fondatore Mark Ames, che scrive anche per Pando.com) accaniti rapporti investigativi.

Questo talento per il giornalismo investigativo lo ha seguito su Pando.com. Nel corso dell'ultimo anno, Levine ha pubblicato una serie di articoli che evidenziano i legami tra il Tor Project e quello che chiama il complesso di sorveglianza militare degli Stati Uniti, ma è davvero il Office of Naval Research (ONR) e il Defence Advanced Research Projects Agency (DARPA).

Tor (o, The Onion Router) Navigazione davvero privata: una guida dell'utente non ufficiale a TorTor fornisce navigazione e messaggistica veramente anonime e non rintracciabili, nonché l'accesso al cosiddetto "Deep Web". Tor non può essere plausibilmente rotto da nessuna organizzazione del pianeta. Leggi di più , per coloro che non sono abbastanza veloci, è un software che anonimizza il traffico facendolo rimbalzare attraverso più endpoint crittografati. Il vantaggio di questo è che puoi usare Internet senza rivelare la tua identità o essere soggetto alla censura locale, il che è utile se vivi in ​​un regime repressivo, come la Cina, Cuba o l'Eritrea. Uno dei modi più semplici per ottenerlo è con Tor Browser basato su Firefox, che Ne ho parlato qualche mese fa Come sfogliare Facebook Over Tor in 5 passaggiVuoi rimanere sicuro quando usi Facebook? Il social network ha lanciato un indirizzo .onion! Ecco come utilizzare Facebook su Tor. Leggi di più .

Per inciso, il mezzo in cui ti ritrovi a leggere questo articolo è esso stesso un prodotto dell'investimento DARPA. Senza ARPANET, non ci sarebbe Internet.

Riassumendo i punti di Levine: poiché il TOR riceve la maggior parte dei suoi finanziamenti dal governo degli Stati Uniti, è quindi inesorabilmente legato a loro e non può più operare in modo indipendente. Ci sono anche alcuni collaboratori di TOR che hanno precedentemente lavorato con il governo degli Stati Uniti in un modo o nell'altro.

Per leggere per intero i punti di Levine, leggi "Quasi tutti i soggetti coinvolti nello sviluppo di Tor sono stati (o sono) finanziati dal governo degli Stati Uniti", pubblicato il 16 luglio 2014.

Poi leggi questa confutazione, di Micah Lee, che scrive per The Interccept. Per riassumere le contro-argomentazioni: il DOD è altrettanto dipendente da TOR per proteggere i propri agenti, il progetto TOR è sempre stato aperto su da dove provengono le loro finanze.

Levine è un grande giornalista, uno per cui ho molta ammirazione e rispetto. Ma a volte mi preoccupo che cada nella trappola di pensare che i governi - qualsiasi governo - siano entità monolitiche. Non lo sono. Piuttosto, è una macchina complessa con diversi ingranaggi indipendenti, ognuno con i propri interessi e motivazioni, che lavora in modo autonomo.

Suo totalmente plausibile che un dipartimento del governo sarebbe disposto a investire in uno strumento per emanciparsi, mentre un altro si impegnerebbe in comportamenti che sono anti-libertà e anti-privacy.

E proprio come ha dimostrato Julian Assange, è straordinariamente semplice supporre che ci sia una cospirazione, quando la spiegazione logica è molto più innocente.

I teorici della cospirazione sono coloro che rivendicano insabbiamenti ogni volta che esistono dati insufficienti per supportare ciò che sono sicuri sia vero.

- Neil deGrasse Tyson (@neiltyson) 7 aprile 2011

Abbiamo raggiunto il picco di WikiLeaks?

Sono solo io o sono passati i migliori giorni di WikiLeaks?

Non molto tempo fa Assange stava parlando agli eventi TED di Oxford e alle conferenze di hacker a New York. Il marchio WikiLeaks era forte e stavano scoprendo cose davvero importanti, come il riciclaggio di denaro nel sistema bancario svizzero e la corruzione dilagante in Kenya.

Ora, Wikileaks è stato oscurato dal personaggio di Assange - un uomo che vive in un autoimposto esilio nell'ambasciata ecuadoriana di Londra, dopo essere fuggito da alcune accuse criminali piuttosto gravi Svezia.

Apparentemente Assange stesso non è stato in grado di superare la sua precedente notorietà, e ora ha preso a fare affermazioni stravaganti a chiunque ascolterà. È quasi triste. Soprattutto se si considera che Wikileaks ha svolto un lavoro piuttosto importante che è stato fatto deragliare dal baraccone di Julian Assange.

Ma qualunque cosa tu pensi di Assange, c'è una cosa che è quasi certa. Non ci sono assolutamente prove che gli Stati Uniti si siano infiltrati in Debian. O qualsiasi altra distribuzione Linux, del resto.

Crediti fotografici: 424 (XKCD), Codice (Michael Himbeault)