Reklaam
Debian on üks populaarsemaid Linuxi distributsioone. See on kindel, töökindel ja võrreldes Archi ja Gentoo-ga, uustulnukatel suhteliselt lihtne sellest aru saada. Ubuntu on sellele üles ehitatud Debian vs Ubuntu: kui kaugele on Ubuntu jõudnud 10 aasta pärast?Ubuntu on nüüd 10-aastane! Linuxi distributsioonide kuningas on jõudnud kaugele oma loomisest 2004. aastal, nii et vaatame, kuidas see on Debiani omast erinevalt arenenud, levitamisel ... Loe rohkem , ja sellega on sageli harjunud võta vaarik Pi Kuidas installida opsüsteemi Raspberry Pi-leSiit saate teada, kuidas installida operatsioonisüsteem oma Raspberry Pi-le ja kuidas kloonida oma täiuslik seadistus kiireks taastamiseks. Loe rohkem .
Väidetavalt on see Wikileaksi asutaja Julian Assange sõnul ka Ameerika luureaparaadi haardes.
Või on?
Julian Assange kirjeldas 2014. aasta maailmamajutuspäevade konverentsil, kuidas teatud rahvusriigid (nimetamata ühtegi nime, köha Ameerika köha) on tahtlikult muutnud mõned Linuxi distributsioonid ebaturvaliseks, et viia need oma jälgimisdiagnostika kontrolli alla. Pärast 20-minutist märkust saate täielikku pakkumist vaadata siit:
Aga kas Assange on õige?
Pilk Debianile ja turvalisusele
Assange'i kõnes mainib ta, kuidas lugematuid jaotusi on tahtlikult saboteeritud. Kuid ta mainib Debiani nimepidi, nii et võiksime ka sellele keskenduda.
Viimase 10 aasta jooksul on Debianis tuvastatud mitmeid haavatavusi. Mõned neist on olnud rasked, nullpäeva stiilis haavatavused Mis on nullpäeva haavatavus? [MakeUseOf selgitab] Loe rohkem mis mõjutas süsteemi üldiselt. Teised on mõjutanud selle võimalust turvaliselt suhelda kaugsüsteemidega.
Ainus haavatavus, mida Assange mainib, on viga Debiani OpenSSL-i juhuslike arvude generaatoris, mis see oli avastati 2008. aastal.
Juhuslikud numbrid (või vähemalt pseudo-juhuslikud; arvutis on tõeliselt juhuslikkuse saamine äärmiselt keeruline), mis on RSA krüptimise oluline osa. Kui juhuslike arvude generaator muutub ennustatavaks, langeb krüptimise tõhusus ja liikluse dekrüptimine on võimalik.
Tõsi, minevikus on NSA tahtlikult nõrgendanud kommertsklassi krüptimise tugevust, vähendades juhuslikult genereeritud arvude entroopiat. See oli a kaua aega tagasi, kui USA valitsus pidas tugevat krüpteerimist kahtlustatuna ja isegi relvaekspordi seaduste suhtes. Simon Singh’s Koodiraamat kirjeldab seda ajajärku üsna hästi, keskendudes Philip Zimmermani üsna hea privaatsuse algusaegadele ja tihedale juriidilisele lahingule, mille ta võitles USA valitsusega.
Kuid see oli kaua aega tagasi ja tundub, et 2008. aasta viga oli vähem pahatahtlikkuse, vaid pigem vapustava tehnoloogilise ebakompetentsuse tulemus.
Debiani OpenSSL-i paketist eemaldati kaks koodirida, kuna nad tekitasid hoiatussõnumeid tööriistades Valgrind ja Purify. Liinid eemaldati ja hoiatused kadusid. Kuid Debiani OpenSSL-i juurutamise terviklikkus oli põhimõtteliselt kurnatud.
Nagu Hanloni raseerija dikteerib, ärge kunagi omistage pahatahtlikkusele seda, mida on sama lihtne seletada kui ebakompetentsust. Muuseas, see konkreetne viga oli satiriseeritud veebikoomiksi XKCD abil.
Selleteemaline kirjutamine TeadmatuGuru ajaveeb spekuleerib ka hiljutine südamelöögiviga (mille meie kaetud eelmisel aastal Südameveeb - mida saate teha, et turvaliselt püsida? Loe rohkem ) võis olla ka turvateenuste toode tahtlikult proovides Linuxis krüptograafiat õõnestada.
Südameveergus oli OpenSSL-i teegi turvaauk, mis võib potentsiaalselt näha pahatahtliku kasutaja teavet varastamas kaitstud SSL / TLS-iga, lugedes haavatavate serverite mälu ja hankides liikluse krüptimiseks kasutatavad salajased võtmed. Omal ajal ohustas see meie Interneti-panganduse ja kaubandussüsteemide terviklikkust. Sajad tuhanded süsteemid olid haavatavad ja see puudutas peaaegu kõiki Linuxi ja BSD distroid.
Ma pole kindel, kui tõenäoline on, et selle taga olid turvateenused.
Tahke krüptimisalgoritmi kirjutamine on äärmiselt raske. Samamoodi on keeruline seda rakendada. On paratamatu, et lõpuks avastatakse haavatavus või viga (nad sageli OpenSSL-is Massiivne viga OpenSSL-is ohustab suurt osa InternetistKui olete üks neist inimestest, kes on alati uskunud, et avatud lähtekoodiga krüptograafia on kõige turvalisem viis veebis suhelda, olete selle jaoks pisut üllatunud. Loe rohkem ), mis on nii ränk, tuleb luua uus algoritm või kirjutada rakendus ümber.
Seetõttu on krüpteerimisalgoritmid arenenud ja uute puuduste avastamisel järjepidevatena ehitatakse uued.
Varasemad väited valitsuse sekkumise kohta avatud lähtekoodis
Muidugi ei ole kuulmatu, et valitsused tunneksid huvi avatud lähtekoodiga projektide vastu. Samuti pole ennekuulmatu, et valitsusi süüdistatakse suuna käegakatsutavas mõjutamises või tarkvaraprojekti funktsionaalsus kas sundi, sissetungimise kaudu või seda toetades rahaliselt.
Yasha Levine on üks uurivaid ajakirjanikke, keda ma kõige rohkem imetlen. Ta kirjutab nüüd Pando.com, kuid enne seda lõikas ta hambad legendaarse moskvalase kirjutamiseks kaks korda nädalas, Pagulus mille Putini valitsus sulges 2008. aastal. Oma üheteistkümneaastase eluea jooksul sai see tuntuks jämeda, ennekuulmatu sisu poolest, sama palju kui Levine'i (ja kaasasutaja) jaoks Mark Ames, kes kirjutavad ka Pando.com-ile) ägedat uurimist võimaldavat aruandlust.
See uuriva ajakirjanduse elegants on teda jälginud Pando.com-ile. Umbes viimase aasta jooksul on Levine avaldanud mitmeid teoseid, tuues välja Tor-projekti seoseid selle vahel, mida ta nimetab USA sõjaväeseire kompleksiks, kuid see on tõepoolest Mereuuringute büroo (ONR) ja Kaitse kõrgemate teadusprojektide agentuur (DARPA).
Tor (või sibularuuter) Tõesti privaatne sirvimine: mitteametlik kasutusjuhend TorileTor pakub tõeliselt anonüümset ja jälgitamatut sirvimist ja sõnumite vahetamist ning juurdepääsu nn sügavale veebile. Ükski planeedi organisatsioon ei saa Torit ilmselt rikkuda. Loe rohkem , neile, kes pole veel kiirusega kursis, on tarkvaraosa, mis muudab liikluse anonüümseks, põrgates seda läbi mitme krüptitud lõpppunkti. Selle eeliseks on see, et saate Internetti kasutada oma isikut avaldamata või ilma kohaliku tsensuurita, mis on mugav, kui elate repressiivses režiimis, nagu Hiina, Kuuba või Eritrea. Üks lihtsamaid viise selle saamiseks on Firefoxi põhine Tor-brauser, mis Ma rääkisin paar kuud tagasi Kuidas sirvida Facebooki üle Tor-i 5 sammusKas soovite Facebooki kasutamisel jääda turvaliseks? Suhtlusvõrgustik on algatanud .onion-aadressi! Siit saate teada, kuidas kasutada Facebooki Toris. Loe rohkem .
Muide, meedium, kus olete jõudnud seda artiklit lugeda, on iseenesest DARPA investeeringu toode. Ilma ARPANET, poleks Internetti.
Levine'i punktide kokkuvõtteks: kuna TOR saab suurema osa oma vahenditest USA valitsuselt, on see seetõttu nendega lahutamatult seotud ega saa enam iseseisvalt tegutseda. Samuti on palju TOR-i kaastöötajaid, kes on varem mingil või teisel viisil USA valitsusega koostööd teinud.
Levine'i punktide täielikuks lugemiseks lugege "USA valitsus rahastas (või on) peaaegu kõiki Tori arendamisega seotud inimesi", avaldatud 16. juulil 2014.
Siis loe see ümberlükkamine, autor Micah Lee, kes kirjutab ajalehele The Intercept. Vastuargumentide kokkuvõtteks: DOD on oma töötajate kaitsmiseks samavõrd sõltuv TOR-ist, TOR-i projekt on alati olnud avatud nende rahanduse päritolu osas.
Levine on suurepärane ajakirjanik, selle vastu on mul palju imetlust ja austust. Kuid ma vahel muretsen, et ta langeb lõksu arvata, et valitsused - ükskõik millised valitsused - on monoliitsed üksused. Neid pole. Pigem on see keeruline masin, millel on erinevad sõltumatud hammasrattad, millel on igaühel oma huvid ja motivatsioon ning mis töötab iseseisvalt.
On küll täiesti usutav et üks valitsusosakond oleks nõus investeerima emantsipeerimise vahendisse, teine aga tegeleks vabaduse ja eraelu puutumatuse vastase käitumisega.
Ja nagu Julian Assange on näidanud, on märkimisväärselt lihtne eeldada vandenõu, kui loogiline seletus on palju süütum.
Vandenõuteoreetikud on need, kes nõuavad varjamist, kui pole piisavalt andmeid, mis kinnitavad, et nad on tõesed.
- Neil deGrasse Tyson (@neiltyson) 7. aprill 2011
Kas oleme jõudnud WikiLeaksi tippu?
Kas see on ainult mina või on WikiLeaksi parimad päevad möödas?
Alles ammu rääkis Assange TED-i üritustel Oxfordis ja häkkerite konverentsidel New Yorgis. WikiLeaksi kaubamärk oli tugev ja nad paljastasid tõeliselt olulisi asju, näiteks rahapesu Šveitsi pangandussüsteemis ja ohjeldamatu korruptsioon Keenias.
Nüüd on WikiLeaksi varjutanud Assange'i tegelaskuju - mees, kes elab enese kehtestatuna paguluses Londoni Ecuadori saatkonnas, olles põgenenud üsna raskete kriminaalsüüdistuste eest Belgias Rootsi.
Näib, et Assange ise pole suutnud oma varasemat tuntust ülendada ja on nüüd hakanud esitama võõraid väiteid kõigile, kes seda kuulavad. See on peaaegu kurb. Eriti kui arvestada sellega, et WikiLeaks on teinud mõnda päris olulist tööd, mille Julian Assange'i poolnäitus on sellest ajast alates maha võtnud.
Kuid mida iganes Assange'ist arvate, on üks asi, mis on peaaegu kindel. Puuduvad tõendid selle kohta, et USA oleks Debianisse tunginud. Või mõni muu Linuxi distro.
Foto autorid: 424 (XKCD), Kood (Michael Himbeault)
Matthew Hughes on tarkvaraarendaja ja kirjanik Liverpoolist Inglismaalt. Teda leitakse harva, kui tal pole tassi kanget musta kohvi ja ta jumaldab absoluutselt oma MacBook Pro ja oma kaamerat. Tema blogi saate lugeda aadressil http://www.matthewhughes.co.uk ja jälgi teda twitteris aadressil @matthewhughes.
