Debian是最受欢迎的Linux发行版之一。它坚固,可靠,并且与Arch和Gentoo相比,新手相对较容易掌握。根据Wikileaks创始人朱利安·阿桑奇(Julian Assange)的说法,Ubuntu是基于它构建的。
据称它也掌握在美国的情报机构之内。
是吗?
朱利安·阿桑奇(Julian Assange)在2014年的“世界托管日"会议上发表讲话,描述了某些国家的状态(不命名,咳嗽美国咳嗽)故意使某些Linux发行版不安全,以使它们受其监视Dragnet的控制。您可以在20分钟后查看完整的报价:
但是阿桑奇正确吗?
看Debian和安全性
在阿桑奇的谈话中,他提到如何故意破坏了无数发行。但是他提到Debian的名字是,所以我们不妨关注一下。
在过去的十年中,Debian中发现了许多漏洞。其中一些严重的零时差样式漏洞总体上影响了系统。其他影响了它与远程系统安全通信的能力。
阿桑奇明确提到的唯一漏洞是Debian的OpenSSL随机数生成器中的一个错误,该错误于2008年被发现。
随机数(或者至少是伪随机的;很难在计算机上获得真正的随机性)是RSA加密的重要组成部分。当随机数生成器变得可预测时,加密的有效性将直线下降,并且可以解密流量。
无可否认,过去,NSA故意降低了商业级加密的强度。随机生成数字的熵。 很久以前,当时美国政府怀疑强加密,甚至受武器出口立法的约束。西蒙·辛格(Simon Singh)的《密码书》很好地描述了这个时代,重点关注菲利普·齐默尔曼(Philip Zimmerman)的《漂亮的隐私》(Pretty Good Privacy)的早期,以及他与美国政府进行的激烈的法律斗争。似乎2008年的错误不是恶意的,而是令人震惊的技术能力。
从Debian的OpenSSL软件包中删除了两行代码,因为它们在Valgrind和Purify构建工具中生成警告消息。线条被删除,警告消失了。但是Debian实施OpenSSL的完整性受到了根本性的损害。
正如汉隆的剃刀所指出的那样,永远不要将恶意归咎于恶意。顺便说一句,该特殊错误已被网络漫画XKCD所讽刺。
有关该主题的文章,IgnorantGuru博客还推测了最近的Heartbleed错误(我们去年介绍过)
Heartbleed是旨在有意破坏Linux上的加密技术的安全服务的一种产品。
Heartbleed是OpenSSL库中的一个安全漏洞,它可能会看到恶意用户窃取受保护的信息。 SSL / TLS,方法是读取易受攻击的服务器的内存,并获取用于加密流量的密钥。当时,它威胁到我们在线银行和商务系统的完整性。数十万个系统易受攻击,并且几乎影响了每个Linux和BSD发行版。
我不确定安全服务背后的可能性有多大。
写作可靠的加密算法极其困难。实施它同样困难。不可避免的是,最终会发现如此严重的漏洞或漏洞(通常在OpenSSL中),这种漏洞或漏洞非常严重,必须创建新的算法或重写实现。
这就是加密算法为什么要不断发展的原因。
以前在开放源代码中对政府干预的指控
当然,对于政府引起兴趣并不是闻所未闻的事情。在开源项目中。还经常听到政府被指责通过胁迫,渗透或通过财务上的支持来切实影响软件项目的方向或功能。
Yasha Levine是我调查最多的新闻记者之一佩服。他现在正在为Pando.com写作,但在此之前,他每两周为传奇的莫斯科白流氓(The Exile)写作,这是普京政府于2008年关闭的。在其十一年的生命中,它以粗coarse,令人发指的内容而闻名,就像它为Levine(以及共同创始人Mark Ames,也为Pando.com撰写)的激烈调查报告一样。
这种对新闻调查的天才使他跟随Pando.com。在过去一年左右的时间里,莱文发表了许多文章,着重强调了Tor项目与他所谓的美国军事监视综合体之间的联系,但实际上是海军研究办公室(ONR)和国防高级研究项目代理商(DARPA)。
Tor(或“洋葱路由器")。
顺便说一句,您发现自己正在阅读本文的媒介本身就是DARPA投资的产物。没有ARPANET,就不会有互联网。
总结莱文的观点:由于TOR从美国政府那里获得了大部分资金,因此它与它们有着不可分割的联系,并且不再能够独立运作。还有许多TOR贡献者以前曾以某种形式与美国政府合作。
要完整阅读Levine的观点,请阅读“几乎所有参与开发Tor的人都是(或是由美国政府资助",于2014年7月16日出版。
然后阅读由《笑声》的米卡·李(Micah Lee)撰写的这篇反驳。总结一下反驳意见:国防部同样依赖TOR来保护他们的特工,TOR项目一直都在公开其财务来源。
Levine是一位伟大的记者,我碰巧有很多钦佩和尊重。但是我有时会担心他陷入认为政府(任何政府)都是整体实体的陷阱。他们不是。而是,这是一台复杂的机器,具有不同的独立齿轮,每个齿轮都有自己的兴趣和动机,并且可以自主工作。
完全有道理的是,一个政府部门愿意投资
就像朱利安·阿桑奇(Julian Assange)所展示的那样,假设存在合谋是很简单的,当逻辑上的解释成为一种解放的工具时
—尼尔·戴格拉斯·泰森(@neiltyson),2011年4月7日
我们达到了WikiLeaks高峰吗?
是我还是我?
不久前,阿桑奇就在牛津大学的TED活动和纽约的黑客大会上发表演讲。 WikiLeaks品牌很强大,他们发现了非常重要的内容,例如瑞士银行体系中的洗钱活动以及肯尼亚的猖corruption腐败。
现在,WikiLeaks被阿桑奇(Assange)的角色盖过了他生活在伦敦厄瓜多尔大使馆的一个自我强加的流放者中,他逃离了瑞典的一些严厉刑事指控。
阿桑奇本人似乎无法超越他先前的臭名昭著,现在已经变得怪异了。声称会听的人。很难过尤其是当您考虑到WikiLeaks已经完成了一些非常重要的工作,此后朱利安·阿桑奇(Julian Assange)边秀脱轨了。 绝对没有证据表明美国已经渗透了Debian。 或其他任何Linux发行版。
摄影:424(XKCD),代码(Michael Himbeault)
