Debian ist eine der beliebtesten Linux-Distributionen. Es ist solide, zuverlässig und im Vergleich zu Arch und Gentoo relativ einfach für Neueinsteiger. Ubuntu baut darauf auf Debian vs Ubuntu: Wie weit kommt Ubuntu in 10 Jahren? Debian vs Ubuntu: Wie weit kommt Ubuntu in 10 Jahren? Ubuntu ist jetzt 10 Jahre alt! Der König der Linux-Distributionen hat seit seiner Einführung im Jahr 2004 einen langen Weg zurückgelegt, also schauen wir uns an, wie er sich anders entwickelt hat als Debian, die Distribution auf ... Read More, und es wird oft verwendet, um den Raspberry Pi anzutreiben Betriebssystem zu Ihrem Raspberry Pi So installieren Sie ein Betriebssystem zu Ihrem Raspberry Pi Hier ist, wie Sie ein neues Betriebssystem auf Ihrem Pi installiert und laufen - und wie Sie Ihr perfektes Setup für schnelle Disaster Recovery klonen. Weiterlesen .
Laut Wikileaks-Gründer Julian Assange soll es auch im amerikanischen Geheimdienst zu finden sein.
Oder ist es?
Julian Assange hat auf der Konferenz der World Hosting Days 2014 beschrieben, wie bestimmte Nationalstaaten (die keine Namen nennen, husten Amerika husten ) absichtlich bestimmte Linux-Distributionen unsicher gemacht haben, um sie unter die Kontrolle ihrer Überwachungsfahndung zu bringen. Sie können das vollständige Angebot nach der 20-Minuten-Marke hier einsehen:
Aber ist Assange richtig?
Ein Blick auf Debian und Sicherheit
In Assanges Rede erwähnt er, wie unzählige Verteilungen absichtlich sabotiert wurden. Aber er erwähnt Debian mit seinem Namen, also können wir uns genau darauf konzentrieren.
In den letzten 10 Jahren wurde eine Reihe von Sicherheitslücken in Debian identifiziert. Einige davon waren schwerwiegende, Zero-Day-Schwachstellen. Was ist eine Zero-Day-Schwachstelle? [MakeUseOf Explains] Was ist eine Zero-Day-Schwachstelle? [MakeUseOf Explains] Read More, die das System im Allgemeinen beeinflusst. Andere haben ihre Fähigkeit beeinträchtigt, sicher mit entfernten Systemen zu kommunizieren.
Die einzige Sicherheitslücke, die Assange explizit erwähnt, ist ein Fehler in Debians OpenSSL-Zufallszahlengenerator, der 2008 entdeckt wurde.
Zufallszahlen (oder zumindest Pseudozufallszahlen; es ist äußerst schwierig, echte Zufälligkeit auf einem Computer zu erhalten) sind ein wesentlicher Bestandteil der RSA-Verschlüsselung. Wenn ein Zufallszahlengenerator vorhersehbar wird, sinkt die Wirksamkeit der Verschlüsselung, und es wird möglich, den Verkehr zu entschlüsseln.
Zugegebenermaßen hat die NSA in der Vergangenheit absichtlich die Stärke kommerzieller Verschlüsselung durch die Verringerung der Entropie der zufällig erzeugten Zahlen geschwächt. Das war lange her, als starke Verschlüsselung von der US-Regierung mit Argwohn betrachtet wurde und sogar der Waffenexportgesetzgebung unterlag. Simon Singhs The Code Book beschreibt diese Ära recht gut und konzentriert sich auf die frühen Tage von Philip Zimmermans Pretty Good Privacy und den Rechtsstreit, den er mit der US-Regierung führte.
Aber das war lange her, und es scheint, als wäre der Fehler 2008 weniger das Ergebnis von Bosheit, sondern vielmehr eine atemberaubende technologische Inkompetenz.
Zwei Codezeilen wurden aus Debians OpenSSL-Paket entfernt, weil sie Warnmeldungen in den Valgrind- und Purify-Build-Tools erzeugten. Die Zeilen wurden entfernt und die Warnungen verschwanden. Aber die Integrität von Debians Implementierung von OpenSSL war grundlegend verkrüppelt .
Wie Hanlons Rasiermesser diktiert, schreiben Sie niemals Bosheit zu, was genauso gut als Inkompetenz erklärt werden kann. Übrigens wurde dieser spezielle Bug vom Webcomic XKCD satirisiert.
Darüber hinaus spekuliert der IgnorantGuru-Blog über den aktuellen Heartbleed-Bug (den wir letztes Jahr behandelt haben Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Lesen Sie mehr) könnte auch ein Produkt sein die Sicherheitsdienste versuchen absichtlich, die Kryptographie unter Linux zu untergraben.
Heartbleed war eine Sicherheitslücke in der OpenSSL-Bibliothek, die möglicherweise einen böswilligen Benutzer stehlen Informationen durch SSL / TLS geschützt, durch das Lesen der Speicher der anfälligen Server, und die geheimen Schlüssel zum Verschlüsseln des Datenverkehrs erhalten. Zu der Zeit bedrohte es die Integrität unserer Online-Banking- und Commerce-Systeme. Hunderttausende Systeme waren verwundbar und betrafen fast jede Linux- und BSD-Distribution.
Ich bin mir nicht sicher, wie wahrscheinlich es ist, dass die Sicherheitsdienste dahinter stehen.
Das Schreiben eines soliden Verschlüsselungsalgorithmus ist extrem schwierig . Die Implementierung ist ähnlich schwierig. Es ist unvermeidlich, dass irgendwann eine Schwachstelle oder Schwachstelle entdeckt wird (sie sind oft in OpenSSL Massiver Bug in OpenSSL steckt viel Internet in Gefahr Massiver Bug in OpenSSL steckt viel Internet in Gefahr Wenn Sie einer von denen sind, die immer geglaubt haben Diese Open-Source-Kryptographie ist die sicherste Art, online zu kommunizieren, und Sie sind auf der Suche nach einer Überraschung, die so schwerwiegend ist, dass ein neuer Algorithmus erstellt oder eine Implementierung neu geschrieben werden muss.
Aus diesem Grund haben Verschlüsselungsalgorithmen einen evolutionären Weg eingeschlagen, und neue werden aufgebaut, wenn Mängel in Reihenfolge entdeckt werden.
Frühere Behauptungen über staatliche Interferenz in Open Source
Natürlich ist es nicht unüblich, dass sich Regierungen für Open-Source-Projekte interessieren. Es ist auch nicht unüblich, dass Regierungen beschuldigt werden, die Richtung oder Funktionalität eines Softwareprojekts spürbar beeinflusst zu haben, sei es durch Zwang, durch Infiltration oder durch finanzielle Unterstützung.
Yasha Levine ist eine der investigativsten Journalisten, die ich am meisten bewundere. Er schreibt jetzt für Pando.com, aber davor hat er sich die Zähne gebrochen, als er zweimal für den legendären Moskowiter The Exile schrieb, der 2008 von Putins Regierung geschlossen wurde. In seiner elfjährigen Lebenszeit wurde es für seinen groben, unverschämten Inhalt bekannt, ebenso wie für Levines (und Mitbegründer Mark Ames, der auch für Pando.com schreibt) erbitterte investigative Berichterstattung.
Dieses Gespür für investigativen Journalismus ist ihm nach Pando.com gefolgt. Im Laufe des vergangenen Jahres hat Levine eine Reihe von Artikeln veröffentlicht, in denen er die Verbindungen zwischen dem Tor-Projekt und dem, was er den US-Militärüberwachungskomplex nennt, veröffentlicht hat, aber eigentlich das Office of Naval Research (ONR) und die Defense Advanced Research Projects Agentur (DARPA).
Tor (oder der Onion Router) Really Private Browsing: Ein inoffizielles Benutzerhandbuch zu Tor Really Private Browsing: Ein inoffizielles Benutzerhandbuch zu Tor Tor bietet wirklich anonymes und unauffindbares Browsen und Messaging sowie Zugriff auf das so genannte "Deep Web" . Tor kann von keiner Organisation auf dem Planeten plausibel gebrochen werden. Read More, für diejenigen, die noch nicht ganz auf dem neuesten Stand sind, ist eine Software, die den Datenverkehr anonymisiert, indem er sie über mehrere verschlüsselte Endpunkte abspielt. Der Vorteil besteht darin, dass Sie das Internet nutzen können, ohne Ihre Identität preiszugeben oder der lokalen Zensur unterworfen zu sein, was praktisch ist, wenn Sie in einem repressiven Regime wie China, Kuba oder Eritrea leben. Eine der einfachsten Möglichkeiten, um es zu bekommen, ist mit dem Firefox-basierten Tor Browser, über die ich vor ein paar Monaten sprach Wie Sie offiziell über Facebook Facebook durchsuchen können Facebook Facebook hat eine aonion Adresse gestartet für Tor-Benutzer, um auf das beliebte soziale Netzwerk zuzugreifen. Wir zeigen Ihnen, wie Sie im Tor-Browser darauf zugreifen können. Weiterlesen .
Übrigens ist das Medium, in dem Sie diesen Artikel lesen, selbst ein Produkt der DARPA-Investition. Ohne ARPANET gäbe es kein Internet.
Um die Punkte von Levine zusammenzufassen: Da TOR den Großteil seiner Finanzierung von der US-Regierung erhält, ist sie daher untrennbar mit ihnen verbunden und kann nicht mehr unabhängig voneinander arbeiten. Es gibt auch eine Reihe von TOR-Beitragszahlern, die zuvor in irgendeiner Form mit der US-Regierung zusammengearbeitet haben.
Um Levines Punkte vollständig zu lesen, lesen Sie "Fast alle, die an der Entwicklung von Tor beteiligt waren, wurden (oder werden) von der US-Regierung finanziert", veröffentlicht am 16. Juli 2014.
Dann lies diese Widerlegung von Micah Lee, der für The Intercept schreibt. Um die Gegenargumente zusammenzufassen: Der Verteidigungsminister ist genauso abhängig von TOR, um seine Mitarbeiter zu schützen, das TOR-Projekt war immer offen, woher seine Finanzen kamen.
Levine ist ein großartiger Journalist, für den ich eine Menge Bewunderung und Respekt empfinde. Aber manchmal mache ich mir Sorgen, dass er in die Falle tappt, dass Regierungen - jede Regierung - monolithische Einheiten sind. Sie sind nicht. Vielmehr handelt es sich um eine komplexe Maschine mit verschiedenen unabhängigen Rädchen, jeder mit seinen eigenen Interessen und Motivationen, die autonom arbeiten.
Es ist völlig plausibel, dass eine Abteilung der Regierung bereit wäre, in ein Werkzeug zur Emanzipation zu investieren, während eine andere ein Verhalten einführt, das gegen die Freiheit gerichtet ist und gegen die Privatsphäre vorgeht.
Und genau wie Julian Assange gezeigt hat, ist es bemerkenswert einfach anzunehmen, dass es eine Verschwörung gibt, wenn die logische Erklärung viel unschuldiger ist.
Verschwörungstheoretiker sind diejenigen, die Vertuschungsvorwürfe erheben, wenn nicht genügend Daten vorhanden sind, um das zu unterstützen, von dem sie sicher sind, dass es wahr ist.
- Neil deGrasse Tyson (@neiltyson) 7. April 2011
Haben wir Peak WikiLeaks getroffen?
Ist es nur ich oder haben WikiLeaks 'beste Tage verstrichen?
Es war noch nicht lange her, dass Assange bei TED-Veranstaltungen in Oxford und Hacker-Konferenzen in New York sprach. Die Marke WikiLeaks war stark und sie entdeckten wirklich wichtige Dinge wie Geldwäsche im Schweizer Bankensystem und grassierende Korruption in Kenia.
Nun steht WikiLeaks im Schatten von Assange - einem Mann, der in der ekuadorianischen Botschaft in London in einem selbst auferlegten Exil lebt, nachdem er vor einigen ziemlich schweren kriminellen Vorwürfen in Schweden geflohen ist.
Assange selbst ist scheinbar nicht in der Lage gewesen, seine frühere Berühmtheit zu übertreffen, und hat sich nun dazu entschlossen, jedem, der zuhört, verächtliche Behauptungen zu machen. Es ist fast traurig. Vor allem, wenn man bedenkt, dass WikiLeaks eine ziemlich wichtige Arbeit geleistet hat, die durch die Julian Assange-Sideshow entgleist ist.
Aber was auch immer Sie von Assange halten, es gibt eine Sache, die fast sicher ist. Es gibt absolut keine Beweise dafür, dass die USA Debian infiltriert haben. Oder irgendeine andere Linux-Distribution.
Bildnachweis: 424 (XKCD), Code (Michael Himbeault)