Hat die US-Regierung das Debian-Projekt infiltriert? (Nein)

Debian ist eine der beliebtesten Linux-Distributionen. Es ist solide, zuverlässig und im Vergleich zu Arch und Gentoo relativ einfach für Neulinge. Ubuntu ist darauf aufgebaut Debian vs Ubuntu: Wie weit ist Ubuntu in 10 Jahren gekommen? Debian vs Ubuntu: Wie weit ist Ubuntu in 10 Jahren gekommen? Ubuntu ist jetzt 10 Jahre alt! Der König der Linux-Distributionen hat seit seiner Gründung im Jahr 2004 einen großen Weg zurückgelegt. Sehen wir uns also an, wie er sich anders als Debian entwickelt hat, die Verteilung auf… Read More, und sie wird oft verwendet, um das Raspberry Pi zur Installation eines Betriebssystems zu betreiben Zu Ihrem Raspberry Pi So installieren Sie ein Betriebssystem Zu Ihrem Raspberry Pi Im Folgenden wird beschrieben, wie Sie ein neues Betriebssystem auf Ihrem Pi installieren und ausführen können - und wie Sie Ihr perfektes Setup für die schnelle Wiederherstellung nach einem Katastrophenfall klonen. Weiterlesen .

Wikileaks-Gründer Julian Assange sagt, er sei auch im Griff des amerikanischen Geheimdienstes.

Oder ist es?

Julian Assange beschrieb auf der World Hosting Days 2014, wie bestimmte Nationalstaaten (ohne Namen), Husten Amerika Husten) bestimmte Linux-Distributionen absichtlich unsicher gemacht haben, um sie unter die Kontrolle ihres Überwachungsnetzes zu bringen. Sie können das vollständige Zitat nach der 20-Minuten-Marke hier einsehen:

Aber ist Assange richtig??

Ein Blick auf Debian und Sicherheit

In Assanges Vortrag erwähnt er, wie unzählige Distributionen absichtlich sabotiert wurden. Aber er erwähnt Debian namentlich, Wir können uns also genau darauf konzentrieren.

In den letzten 10 Jahren wurden in Debian eine Reihe von Schwachstellen identifiziert. Einige dieser Schwachstellen waren schwerwiegende Schwachstellen im Zero-Day-Stil. Was ist eine Schwachstelle im Zero-Day? [MakeUseOf erklärt] Was ist eine Sicherheitsanfälligkeit durch Zero Day? [MakeUseOf erklärt] Lesen Sie mehr, was das System im Allgemeinen betrifft. Andere haben seine Fähigkeit beeinträchtigt, sicher mit Remote-Systemen zu kommunizieren.

Die einzige Schwachstelle, die Assange explizit erwähnt, ist ein Fehler in Debians OpenSSL-Zufallszahlengenerator, der 2008 entdeckt wurde.

Zufallszahlen (oder zumindest Pseudo-Zufälligkeiten; es ist extrem schwierig, echte Zufälligkeiten auf einem Computer zu erhalten) sind ein wesentlicher Bestandteil der RSA-Verschlüsselung. Wenn ein Zufallszahlengenerator vorhersagbar wird, sinkt die Effizienz der Verschlüsselung und es wird möglich, den Verkehr zu entschlüsseln.

Zwar hat die NSA in der Vergangenheit die Stärke der Verschlüsselung auf kommerzieller Ebene absichtlich geschwächt, indem sie die Entropie der zufällig generierten Zahlen verringert hat. Das war ein vor langer Zeit, als die starke Verschlüsselung von der US-Regierung mit Argwohn betrachtet und sogar den Waffenexportgesetzen unterworfen wurde. Simon Singhs The Code Book beschreibt diese Ära ziemlich gut und konzentriert sich auf die Anfänge von Philip Zimmermans Pretty Good Privacy und die hart umkämpften Rechtsstreitigkeiten, die er mit der US-Regierung geführt hat.

Aber das war vor langer Zeit, und es scheint, als sei der Fehler von 2008 weniger böswillig, sondern eher umwerfende technologische Inkompetenz.

Zwei Codezeilen wurden aus Debians OpenSSL-Paket entfernt, da in den Build-Tools Valgrind und Purify Warnmeldungen ausgegeben wurden. Die Zeilen wurden entfernt und die Warnungen verschwanden. Die Integrität von Debians Implementierung von OpenSSL war jedoch grundlegend verkrüppelt.

Zurechnen Sie niemals, wie es Hanlons Rasiermesser vorschreibt, Bosheit zu, was ebenso leicht als Inkompetenz erklärt werden kann. Übrigens wurde dieser spezielle Fehler von Webcomic XKCD satirisiert.

Der IgnorantGuru-Blog spekuliert auch über den jüngsten Heartbleed-Fehler (den wir letztes Jahr behandelt haben. Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben?) Lesen Sie weiter) die Sicherheitsdienste absichtlich versuchen, die Kryptographie unter Linux zu unterminieren.

Heartbleed war eine Sicherheitsanfälligkeit in der OpenSSL-Bibliothek, die möglicherweise dazu führte, dass ein böswilliger Benutzer durch SSL / TLS geschützte Informationen stehlen konnte, indem er den Speicher der verwundbaren Server las und die geheimen Schlüssel zum Verschlüsseln des Datenverkehrs abruft. Damals bedrohte es die Integrität unserer Online-Banking- und Handelssysteme. Hunderttausende von Systemen waren anfällig, und fast alle Linux- und BSD-Distributionen waren davon betroffen.

Ich bin nicht sicher, wie wahrscheinlich es ist, dass die Sicherheitsdienste dahinter standen.

Das Schreiben eines soliden Verschlüsselungsalgorithmus ist extrem schwierig. Die Umsetzung ist ähnlich schwierig. Es ist unvermeidlich, dass irgendwann eine Schwachstelle oder ein Fehler entdeckt wird (häufig sind sie in OpenSSL Massive Bug enthalten. In OpenSSL ist ein großer Teil des Risikos von Internet gefährdet. In OpenSSL ist ein erheblicher Fehler von Internet gefährdet.) Dass Open-Source-Kryptografie die sicherste Art ist, online zu kommunizieren, ist eine Überraschung. Lesen Sie mehr), die so streng ist, dass ein neuer Algorithmus erstellt oder eine Implementierung neu geschrieben werden muss.

Aus diesem Grund haben Verschlüsselungsalgorithmen einen evolutionären Weg eingeschlagen, und neue werden aufgebaut, wenn Mängel in der Reihenfolge entdeckt werden.

Vorherige Behauptungen über staatliche Eingriffe in Open Source

Natürlich ist es nicht ungewöhnlich, dass sich Regierungen für Open Source-Projekte interessieren. Es ist auch nicht ungewöhnlich, dass Regierungen vorgeworfen werden, die Richtung oder Funktionalität eines Softwareprojekts spürbar zu beeinflussen, entweder durch Zwang, Infiltration oder durch finanzielle Unterstützung.

Yasha Levine ist einer der investigativen Journalisten, die ich am meisten bewundere. Er schreibt jetzt für Pando.com, aber vorher hat er sich zwei Wochen lang den legendären Moskowiter The Exile abgeschnitten, der 2008 von Putins Regierung geschlossen wurde. In seinem elfjährigen Lebenszyklus wurde es für seinen groben, unerhörten Inhalt ebenso bekannt wie für Levines (und Mitbegründer Mark Ames, der auch für Pando.com schreibt), eine harte recherchierende Berichterstattung.

Dieses Gespür für investigativen Journalismus ist ihm zu Pando.com gefolgt. Im vergangenen Jahr hat Levine eine Reihe von Artikeln veröffentlicht, in denen er die Verbindungen zwischen dem Tor-Projekt und dem, was er als US-Militärüberwachungskomplex bezeichnet, hervorhebt. In Wirklichkeit handelt es sich jedoch um das Office of Naval Research (ONR) und um die Advanced Defence Research Projects Agentur (DARPA).

Tor (oder der Onion Router) Really Private Browsing: Ein inoffizielles Benutzerhandbuch für Tor Really Private Browsing: Ein inoffizielles Benutzerhandbuch für Tor Tor bietet ein wirklich anonymes und nicht nachverfolgbares Browsing und Messaging sowie den Zugriff auf das so genannte “Deep Web”. Tor kann von keiner Organisation auf der Welt plausibel gebrochen werden. Read More, für diejenigen, die nicht ganz auf dem neuesten Stand sind, ist eine Software, die den Verkehr anonymisiert, indem er durch mehrere verschlüsselte Endpunkte geleitet wird. Der Vorteil davon ist, dass Sie das Internet nutzen können, ohne Ihre Identität preiszugeben oder einer lokalen Zensur unterworfen zu werden. Dies ist praktisch, wenn Sie in einem repressiven Regime wie China, Kuba oder Eritrea leben. Eine der einfachsten Möglichkeiten ist der Firefox-basierte Tor Browser, über den ich vor einigen Monaten gesprochen habe. Wie Sie offiziell Facebook über Tor surfen können Wie Sie offiziell Facebook über Tor surfen können Bemerkenswert ist, dass Facebook eine .onion-Adresse eingeführt hat Damit Tor-Benutzer auf das beliebte soziale Netzwerk zugreifen können. Wir zeigen Ihnen, wie Sie im Tor-Browser darauf zugreifen können. Weiterlesen .

Übrigens ist das Medium, in dem Sie diesen Artikel lesen, selbst ein Produkt der DARPA-Investition. Ohne ARPANET gäbe es kein Internet.

Um die Punkte von Levine zusammenzufassen: Da TOR den Großteil seiner Mittel von der US-Regierung erhält, ist es daher untrennbar mit ihnen verbunden und kann nicht mehr unabhängig arbeiten. Es gibt auch eine Reihe von TOR-Mitarbeitern, die zuvor in irgendeiner Form mit der US-Regierung zusammengearbeitet haben.

Um Levines Punkte vollständig zu lesen, lesen Sie bitte “Fast alle, die an der Entwicklung von Tor beteiligt waren, wurden (oder werden) von der US-Regierung finanziert”, veröffentlicht am 16. Juli 2014.

Dann lesen Sie diese Widerlegung von Micah Lee, der für The Intercept schreibt. Um die Gegenargumente zusammenzufassen: Die DOD ist ebenso auf TOR angewiesen, um ihre Mitarbeiter zu schützen, das TOR-Projekt war immer offen, woher ihre Finanzen kommen.

Levine ist eine großartige Journalistin, für die ich sehr viel Bewunderung und Respekt habe. Aber manchmal mache ich mir Sorgen, dass er der Meinung ist, dass Regierungen - jede Regierung - monolithische Einheiten sind. Sie sind nicht Vielmehr handelt es sich um eine komplexe Maschine mit verschiedenen unabhängigen Zahnrädern, die jeweils eigene Interessen und Motivationen haben und autonom arbeiten.

Es ist völlig plausibel Eine Abteilung der Regierung wäre bereit, in ein Instrument zur Emanzipation zu investieren, während eine andere sich in einem Verhalten verhält, das gegen die Freiheit und gegen den Datenschutz ist.

Und genau wie Julian Assange gezeigt hat, ist es bemerkenswert einfach anzunehmen, dass es eine Verschwörung gibt, wenn die logische Erklärung viel unschuldiger ist.

Verschwörungstheoretiker sind diejenigen, die Vertuschungen fordern, wenn nicht genügend Daten vorhanden sind, um das zu unterstützen, was ihrer Meinung nach wahr ist.

- Neil deGrasse Tyson (@neiltyson) 7. April 2011

Haben wir Peak WikiLeaks erreicht?

Ist es nur mir, oder sind die besten Tage von WikiLeaks vergangen??

Es war nicht lange her, dass Assange auf TED-Veranstaltungen in Oxford und bei Hackerkonferenzen in New York sprach. Die Marke WikiLeaks war stark und es wurden wirklich wichtige Dinge entdeckt, wie Geldwäsche im Schweizer Bankensystem und die grassierende Korruption in Kenia.

WikiLeaks wurde nun von Assanges Charakter überschattet - einem Mann, der in einem selbst auferlegten Exil in der Londoner Botschaft von Ecuador lebt und vor schwerwiegenden kriminellen Vorwürfen in Schweden geflohen ist.

Assange selbst war anscheinend nicht in der Lage, seine frühere Berühmtheit zu übertreffen, und er hat sich jetzt zu eigensinnigen Behauptungen gegen jeden geäußert, der zuhören wird. Es ist fast traurig. Vor allem, wenn man bedenkt, dass WikiLeaks einige ziemlich wichtige Arbeit geleistet hat, die inzwischen von der Julian Assange-Diashow entgleist wurde.

Aber was auch immer Sie von Assange halten, eines ist fast sicher. Es gibt absolut keinen Beweis dafür, dass die USA Debian infiltriert haben. Oder eine andere Linux-Distribution.

Bildnachweis: 424 (XKCD), Code (Michael Himbeault)

Erfahren Sie mehr über: Debian, Linux, Online-Datenschutz, Überwachung.