Advertentie
Debian is een van de meest populaire Linux-distributies. Het is solide, betrouwbaar en vergeleken met Arch en Gentoo, relatief gemakkelijk te begrijpen voor nieuwkomers. Ubuntu is erop gebouwd Debian vs Ubuntu: hoe ver is Ubuntu gekomen in 10 jaar?Ubuntu is nu 10 jaar oud! De koning van Linux-distributies heeft een lange weg afgelegd sinds de oprichting in 2004, dus laten we eens kijken hoe het zich anders heeft ontwikkeld dan Debian, de distributie op ... Lees verder , en het wordt vaak gebruikt voed de Raspberry Pi Hoe een besturingssysteem op een Raspberry Pi te installerenHier leest u hoe u een besturingssysteem op uw Raspberry Pi installeert en hoe u uw perfecte setup kunt klonen voor snel noodherstel. Lees verder .
Volgens Wikileaks-oprichter Julian Assange zou het ook in de greep zijn van het Amerikaanse inlichtingenapparaat.
Of is het?
Tijdens de World Hosting Days-conferentie van 2014 beschreef Julian Assange hoe bepaalde natiestaten (zonder namen te noemen, hoesten Amerika hoesten
) hebben opzettelijk bepaalde Linux-distributies onveilig gemaakt om ze onder controle te krijgen van hun surveillance-dragnet. Je kunt het volledige citaat hier na het merkteken van 20 minuten bekijken:Maar heeft Assange gelijk?
Een blik op Debian en beveiliging
In het gesprek van Assange vermeldt hij hoe talloze distributies opzettelijk zijn gesaboteerd. Maar hij noemt Debian bij naam, dus daar kunnen we ons net zo goed op concentreren.
In Debian zijn de afgelopen 10 jaar een aantal kwetsbaarheden geïdentificeerd. Sommige hiervan waren ernstig, zero-day kwetsbaarheden Wat is een Zero Day-kwetsbaarheid? [MakeUseOf Explains] Lees verder die het systeem in het algemeen beïnvloedden. Anderen hebben hun vermogen om veilig te communiceren met externe systemen aangetast.
De enige kwetsbaarheid die Assange expliciet vermeldt, was een bug in Debian's OpenSSL willekeurige nummergenerator ontdekt in 2008.
Willekeurige getallen (of, op zijn minst pseudowillekeurig; het is buitengewoon moeilijk om echte willekeur op een computer te krijgen) zijn een essentieel onderdeel van RSA-codering. Wanneer een generator voor willekeurige getallen voorspelbaar wordt, neemt de effectiviteit van de codering af en wordt het mogelijk om het verkeer te decoderen.
Toegegeven, in het verleden heeft de NSA opzettelijk de kracht van encryptie van commerciële kwaliteit verzwakt door de entropie van de willekeurig gegenereerde nummers te verminderen. Dat was een lang geleden, toen sterke versleuteling door de Amerikaanse regering met argwaan werd bekeken en zelfs onder de wapenexportwetgeving viel. Simon Singh's Het codeboek beschrijft dit tijdperk vrij goed, met de nadruk op de begindagen van Philip Zimmerman's Pretty Good Privacy, en de gemene juridische strijd die hij voerde met de Amerikaanse regering.
Maar dat was lang geleden en het lijkt erop dat de bug van 2008 minder het gevolg was van boosaardigheid, maar eerder van verbluffende technologische incompetentie.
Twee regels code zijn verwijderd uit Debian's OpenSSL-pakket omdat ze waarschuwingsberichten produceerden in de Valgrind- en Purify-buildtools. De lijnen zijn verwijderd en de waarschuwingen zijn verdwenen. Maar de integriteit van Debian's implementatie van OpenSSL was fundamenteel kreupel.
Net zo Hanlon's Razor dicteert, schrijf nooit aan boosaardigheid toe wat net zo gemakkelijk kan worden verklaard als incompetentie. Overigens was deze specifieke bug gehekeld door webstrip XKCD.
Schrijven over het onderwerp, de IgnorantGuru blog speculeert ook de recente Heartbleed-bug (die we vorig jaar gedekt Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder ) was mogelijk ook een product van de beveiligingsdiensten opzettelijk proberen cryptografie op Linux te ondermijnen.
Heartbleed was een beveiligingsprobleem in de OpenSSL-bibliotheek waardoor een kwaadwillende gebruiker mogelijk informatie zou stelen beschermd door SSL / TLS, door het geheugen van de kwetsbare servers te lezen en de geheime sleutels te verkrijgen die worden gebruikt om verkeer te versleutelen. Destijds bedreigde het de integriteit van onze online bank- en handelssystemen. Honderdduizenden systemen waren kwetsbaar en het beïnvloedde bijna elke Linux- en BSD-distro.
Ik weet niet zeker hoe waarschijnlijk het is dat de beveiligingsdiensten erachter zaten.
Het schrijven van een solide versleutelingsalgoritme is extreem moeilijk. Het implementeren ervan is eveneens moeilijk. Het is onvermijdelijk dat uiteindelijk een kwetsbaarheid of fout zal worden ontdekt (zij zitten vaak in OpenSSL Grote bug in OpenSSL brengt een groot deel van het internet in gevaarAls jij een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, sta je voor een beetje een verrassing. Lees verder ) die zo ernstig is dat er een nieuw algoritme moet worden gemaakt of een implementatie moet worden herschreven.
Daarom hebben versleutelingsalgoritmen een evolutionair pad bewandeld en worden nieuwe gebouwd wanneer tekortkomingen in volgorde worden ontdekt.
Eerdere beschuldigingen van overheidsinterferentie in open source
Het is natuurlijk niet ongehoord dat overheden interesse hebben in open source-projecten. Het is ook niet ongehoord dat regeringen worden beschuldigd van tastbare beïnvloeding van de richting of functionaliteit van een softwareproject, hetzij door middel van dwang, infiltratie of door het te ondersteunen financieel.
Yasha Levine is een van de onderzoeksjournalisten die ik het meest bewonder. Hij schrijft er nu voor Pando.com, maar daarvoor sneed hij zijn tanden aan het schrijven voor de legendarische Moskoviet tweewekelijks, De ballingschap die in 2008 werd gesloten door de regering van Poetin. In zijn elfjarige levensduur werd het bekend om zijn grove, schandalige inhoud, net zoals het deed voor Levine's (en mede-oprichter Mark Ames, die ook schrijven voor Pando.com) felle onderzoeksrapportage.
Deze flair voor onderzoeksjournalistiek is hem gevolgd naar Pando.com. In het afgelopen jaar heeft Levine een aantal stukken gepubliceerd waarin de banden tussen het Tor-project en wat hij het Amerikaanse militaire bewakingscomplex noemt, worden benadrukt, maar het is echt de Office of Naval Research (ONR) en de Defense Advanced Research Projects Agency (DARPA).
Tor (of, The Onion Router) Echt privé browsen: een niet-officiële gebruikershandleiding voor TorTor biedt echt anoniem en niet-traceerbaar browsen en berichten, evenals toegang tot het zogenaamde "Deep Web". Tor kan door geen enkele organisatie ter wereld plausibel worden verbroken. Lees verder , voor degenen die niet helemaal op de hoogte zijn, is een stuk software dat het verkeer anonimiseert door het via meerdere gecodeerde eindpunten te laten stuiteren. Het voordeel hiervan is dat u internet kunt gebruiken zonder uw identiteit bekend te maken of onderworpen te zijn aan lokale censuur, wat handig is als u in een repressief regime leeft, zoals China, Cuba of Eritrea. Een van de gemakkelijkste manieren om het te krijgen, is met de op Firefox gebaseerde Tor-browser, die Ik heb er een paar maanden geleden over gesproken Hoe Facebook door Tor te bladeren in 5 stappenWilt u veilig blijven bij het gebruik van Facebook? Het sociale netwerk heeft een .onion-adres gelanceerd! Hier leest u hoe u Facebook op Tor kunt gebruiken. Lees verder .
Overigens is het medium waarin u merkt dat u dit artikel leest, zelf een product van DARPA-investeringen. Zonder ARPANET, zou er geen internet zijn.
Om de punten van Levine samen te vatten: aangezien TOR het grootste deel van zijn financiering van de Amerikaanse regering ontvangt, is het daarom onverbiddelijk met hen verbonden en kan het niet langer onafhankelijk opereren. Er zijn ook een aantal TOR-bijdragers die eerder in een of andere vorm met de Amerikaanse regering hebben samengewerkt.
Lees de punten van Levine volledig door "Bijna iedereen die betrokken was bij de ontwikkeling van Tor werd (of wordt) gefinancierd door de Amerikaanse regering", gepubliceerd op 16 juli 2014.
Dan lees deze weerlegging, door Micah Lee, die schrijft voor The Intercept. Om de tegenargumenten samen te vatten: de DOD is net zo afhankelijk van TOR om hun medewerkers te beschermen, het TOR-project is altijd open geweest over waar hun financiën vandaan komen.
Levine is een geweldige journalist, waar ik veel bewondering en respect voor heb. Maar ik maak me soms zorgen dat hij in de val loopt door te denken dat regeringen - welke regering dan ook - monolithische entiteiten zijn. Dat zijn ze niet. Het is eerder een complexe machine met verschillende onafhankelijke tandwielen, elk met hun eigen interesses en motivaties, die autonoom werken.
Haar volkomen aannemelijk dat de ene afdeling van de regering bereid zou zijn te investeren in een instrument om te emanciperen, terwijl een andere afdeling zich zou gaan bezighouden met gedrag dat anti-vrijheid en anti-privacy is.
En net zoals Julian Assange heeft aangetoond, is het opmerkelijk eenvoudig om aan te nemen dat er een samenzwering is, terwijl de logische verklaring veel onschuldiger is.
Samenzweringstheoretici zijn degenen die verdoezelingen claimen wanneer er onvoldoende gegevens zijn om te ondersteunen waarvan ze zeker weten dat het waar is.
- Neil deGrasse Tyson (@neiltyson) 7 april 2011
Hebben we Peak WikiLeaks bereikt?
Ligt het aan mij of zijn de beste dagen van WikiLeaks voorbij?
Het is nog niet zo lang geleden dat Assange sprak op TED-evenementen in Oxford en hackerconferenties in New York. Het merk WikiLeaks was sterk en ze ontdekten echt belangrijke dingen, zoals witwassen van geld in het Zwitserse banksysteem en ongebreidelde corruptie in Kenia.
Nu is WikiLeaks overschaduwd door het personage van Assange - een man die in een zelfopgelegd leven leeft ballingschap in de Ecuadoraanse ambassade van Londen, op de vlucht voor enkele behoorlijk zware criminele aantijgingen in Zweden.
Assange zelf is schijnbaar niet in staat geweest zijn eerdere bekendheid te overtreffen en heeft nu bizarre beweringen gedaan aan iedereen die wil luisteren. Het is bijna triest. Vooral als je bedenkt dat WikiLeaks behoorlijk belangrijk werk heeft gedaan dat sindsdien is ontspoord door de Julian Assange-show.
Maar wat je ook van Assange vindt, er is één ding dat bijna zeker is. Er is absoluut geen bewijs dat de VS in Debian is geïnfiltreerd. Of een andere Linux-distro, wat dat betreft.
Fotocredits: 424 (XKCD), Code (Michael Himbeault)
Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.
