Sudahkah Pemerintah AS Menyusup ke Proyek Debian? (Tidak)

Iklan

Debian adalah salah satu distribusi Linux paling populer. Ini solid, dapat diandalkan, dan dibandingkan dengan Arch dan Gentoo, relatif mudah untuk dipahami oleh pendatang baru. Ubuntu adalah dibangun di atasnya Debian vs Ubuntu: Seberapa Jauh Ubuntu Sudah 10 Tahun?Ubuntu sekarang berusia 10 tahun! Raja distribusi Linux telah berjalan jauh sejak didirikan pada tahun 2004, jadi mari kita lihat bagaimana ia telah berkembang secara berbeda ke Debian, distribusi setelah ... Baca lebih banyak , dan itu sering digunakan untuk kekuatan Raspberry Pi Cara Memasang Sistem Pengoperasian pada Raspberry PiInilah cara menginstal OS pada Raspberry Pi Anda dan cara mengkloning pengaturan sempurna Anda untuk pemulihan bencana yang cepat. Baca lebih banyak .

Itu juga diduga berada dalam genggaman aparat intelijen Amerika, menurut pendiri Wikileaks, Julian Assange.

Atau itu?

Berbicara di konferensi Hari Hosting Dunia 2014, Julian Assange menggambarkan bagaimana negara tertentu menyatakan (tidak menyebut nama,

batuk Amerika batuk) telah sengaja membuat distribusi Linux tertentu tidak aman, untuk membawa mereka di bawah kendali jaring pengawasan mereka. Anda dapat melihat kutipan lengkap setelah tanda 20 menit di sini:

Tetapi apakah Assange benar?

Pandangan Debian dan Keamanan

Dalam pembicaraan Assange, dia menyebutkan bagaimana distribusi yang tak terhitung jumlahnya telah disabotase dengan sengaja. Tapi dia menyebutkan Debian dengan nama, jadi sebaiknya kita fokus pada yang itu.

Selama 10 tahun terakhir, sejumlah kerentanan telah diidentifikasi di Debian. Beberapa di antaranya sangat parah, kerentanan gaya zero-day Apa itu Kerentanan Hari Nol? [MakeUseOf Menjelaskan] Baca lebih banyak yang mempengaruhi sistem secara umum. Yang lain telah memengaruhi kemampuannya untuk berkomunikasi secara aman dengan sistem jarak jauh.

Satu-satunya kerentanan Assange menyebutkan secara eksplisit adalah bug dalam generator nomor acak OpenSSL Debian sebelumnya ditemukan pada 2008.

Angka acak (atau, setidaknya pseudorandom; sangat sulit untuk mendapatkan keacakan yang sebenarnya di komputer) adalah bagian penting dari enkripsi RSA. Ketika generator angka acak menjadi dapat diprediksi, kemanjuran enkripsi merosot, dan menjadi mungkin untuk mendekripsi lalu lintas.

Diakui, di masa lalu NSA sengaja melemahkan kekuatan enkripsi kelas komersial dengan mengurangi entropi angka yang dihasilkan secara acak. Itu adalah dahulu kala, ketika enkripsi yang kuat dianggap dengan kecurigaan oleh pemerintah AS, dan bahkan tunduk pada undang-undang ekspor senjata. Simon Singh Buku Kode menggambarkan era ini dengan cukup baik, berfokus pada hari-hari awal Privasi Cukup Baik Philip Zimmerman, dan pertarungan hukum yang ia lawan dengan pemerintah AS.

Tapi itu sudah lama sekali, dan sepertinya bug tahun 2008 bukan hasil dari kebencian, tetapi ketidakmampuan teknologi yang cukup menakjubkan.

Dua baris kode telah dihapus dari paket OpenSSL Debian karena mereka menghasilkan pesan peringatan di Valgrind dan alat Purify build. Garis-garis itu dihapus, dan peringatan itu menghilang. Tetapi integritas implementasi OpenSSL dari Debian adalah lumpuh secara fundamental.

Sebagai Pisau Cukur Hanlon mendikte, tidak pernah menghubungkan dengan kedengkian apa yang bisa dengan mudah dijelaskan sebagai ketidakmampuan. Kebetulan, bug khusus ini adalah disindir oleh komik web XKCD.

Menulis tentang subjek, the IgnorantGuru blog juga berspekulasi bug Heartbleed baru-baru ini (yang kami dibahas tahun lalu Heartbleed - Apa yang Dapat Anda Lakukan Agar Tetap Aman? Baca lebih banyak ) mungkin juga merupakan produk dari layanan keamanan sengaja mencoba merongrong kriptografi di Linux.

Heartbleed adalah kerentanan keamanan di pustaka OpenSSL yang berpotensi melihat pengguna jahat mencuri informasi dilindungi oleh SSL / TLS, dengan membaca memori server yang rentan, dan mendapatkan kunci rahasia yang digunakan untuk mengenkripsi lalu lintas. Pada saat itu, itu mengancam integritas sistem perbankan dan perdagangan online kami. Ratusan ribu sistem rentan, dan itu mempengaruhi hampir setiap distro Linux dan BSD.

Saya tidak yakin seberapa besar kemungkinan layanan keamanan berada di belakangnya.

Menulis algoritma enkripsi yang solid adalah sangat sulit. Menerapkannya juga sama sulitnya. Tidak dapat dihindari bahwa pada akhirnya kerentanan atau cacat akan ditemukan (mereka sering di OpenSSL Bug Masif dalam OpenSSL Membuat Banyak Internet BerisikoJika Anda salah satu dari orang-orang yang selalu percaya bahwa kriptografi open source adalah cara paling aman untuk berkomunikasi online, Anda akan mendapat sedikit kejutan. Baca lebih banyak ) yang sangat parah, algoritma baru harus dibuat, atau implementasi ditulis ulang.

Itu sebabnya algoritma enkripsi telah mengambil jalur evolusi, dan yang baru dibangun ketika kekurangan ditemukan secara berurutan.

Tuduhan Sebelumnya Gangguan Pemerintah Dalam Sumber Terbuka

Tentu saja, tidak pernah terdengar bagi pemerintah untuk menaruh minat pada proyek sumber terbuka. Juga tidak pernah terdengar bahwa pemerintah dituduh secara nyata mempengaruhi arah atau fungsionalitas proyek perangkat lunak, baik melalui paksaan, infiltrasi atau dengan mendukungnya secara finansial.

Yasha Levine adalah salah satu jurnalis investigasi yang paling saya kagumi. Dia sekarang menulis untuk Pando.com, tapi sebelum itu dia memotong giginya menulis untuk Moskow dua mingguan legendaris, Pengasingan yang ditutup pada 2008 oleh pemerintah Putin. Dalam umur sebelas tahun, itu menjadi terkenal karena kontennya yang kasar dan keterlaluan, seperti halnya untuk Levine (dan salah satu pendiri) Mark Ames, yang juga menulis untuk Pando.com) pelaporan investigasi yang sengit.

Bakat untuk jurnalisme investigatif ini telah mengikutinya ke Pando.com. Selama sekitar setahun terakhir, Levine telah menerbitkan sejumlah karya yang menyoroti hubungan antara Proyek Tor, dan apa yang ia sebut kompleks pengintaian militer AS, tetapi sebenarnya adalah Kantor Penelitian Angkatan Laut (ONR) dan Badan Proyek Penelitian Pertahanan Tingkat Lanjut (DARPA).

Tor (atau, Router Bawang) Penjelajahan Sangat Pribadi: Panduan Pengguna Tidak Resmi untuk TorTor menyediakan penjelajahan dan pengiriman pesan yang benar-benar anonim dan tidak dapat dilacak, serta akses ke apa yang disebut "Deep Web". Tor tidak bisa dipatahkan oleh organisasi mana pun di planet ini. Baca lebih banyak , bagi mereka yang tidak cukup cepat, adalah perangkat lunak yang menganonimkan lalu lintas dengan memantulkannya melalui beberapa titik akhir terenkripsi. Keuntungan dari ini adalah Anda dapat menggunakan Internet tanpa mengungkapkan identitas Anda atau menjadi subjek sensor lokal, yang berguna jika Anda hidup dalam rezim yang represif, seperti China, Kuba atau Eritrea. Salah satu cara termudah untuk mendapatkannya adalah dengan Tor Browser berbasis Firefox, yang mana Saya berbicara tentang beberapa bulan yang lalu Cara Menjelajahi Facebook Di Atas Tor dalam 5 LangkahIngin tetap aman saat menggunakan Facebook? Jejaring sosial telah meluncurkan alamat .onion! Berikut cara menggunakan Facebook di Tor. Baca lebih banyak .

Kebetulan, media tempat Anda datang untuk membaca artikel ini sendiri merupakan produk dari investasi DARPA. Tanpa ARPANET, tidak akan ada internet.

Untuk meringkas poin-poin Levine: karena TOR mendapatkan sebagian besar pendanaannya dari pemerintah AS, maka hal itu terkait dengan hal tersebut, dan tidak dapat lagi beroperasi secara independen. Ada juga sejumlah kontributor TOR yang sebelumnya telah bekerja dengan pemerintah AS dalam berbagai bentuk.

Untuk membaca poin Levine secara penuh, baca “Hampir semua orang yang terlibat dalam pengembangan Tor didanai oleh pemerintah AS”, diterbitkan pada 16 Juli 2014.

Kemudian baca bantahan ini, oleh Micah Lee, yang menulis untuk The Intercept. Untuk meringkas argumen tandingan: DOD juga bergantung pada TOR untuk melindungi operasinya, proyek TOR selalu terbuka tentang dari mana keuangan mereka berasal.

Levine adalah jurnalis yang hebat, yang kebetulan banyak saya kagumi dan hormati. Tetapi kadang-kadang saya khawatir bahwa ia jatuh ke dalam perangkap pemikiran bahwa pemerintah - pemerintah mana pun - adalah entitas monolitik. Mereka tidak. Alih-alih, ini adalah mesin yang rumit dengan roda penggerak independen yang berbeda, masing-masing dengan minat dan motivasi mereka sendiri, bekerja secara mandiri.

Nya benar-benar masuk akal bahwa satu departemen pemerintah akan bersedia berinvestasi dalam alat untuk membebaskan, sementara yang lain akan terlibat dalam perilaku yang anti-kebebasan, dan anti-privasi.

Dan seperti yang ditunjukkan Julian Assange, sangat mudah untuk mengasumsikan ada konspirasi, ketika penjelasan logisnya jauh lebih tidak bersalah.

Teori konspirasi adalah mereka yang mengklaim menutup-nutupi setiap kali ada data yang tidak memadai untuk mendukung apa yang mereka yakini benar.

- Neil deGrasse Tyson (@neiltyson) 7 April 2011

Sudahkah Kita Memukul Puncak WikiLeaks?

Apakah hanya saya, atau apakah hari-hari terbaik WikiLeaks telah berlalu?

Belum lama Assange berbicara di acara TED di Oxford dan konferensi hacker di New York. Merek WikiLeaks kuat, dan mereka mengungkap hal-hal yang sangat penting, seperti pencucian uang dalam sistem perbankan Swiss, dan korupsi yang merajalela di Kenya.

Sekarang, WikiLeaks telah dibayangi oleh karakter Assange - seorang pria yang hidup dalam pemaksaan diri pengasingan di kedutaan Ekuador London, setelah melarikan diri dari beberapa tuduhan pidana yang cukup parah di Swedia.

Assange sendiri tampaknya tidak mampu melampaui ketenaran sebelumnya, dan sekarang telah mengambil untuk membuat klaim aneh kepada siapa saja yang akan mendengarkan. Hampir menyedihkan. Terutama ketika Anda menganggap bahwa WikiLeaks telah melakukan beberapa pekerjaan yang cukup penting yang sejak itu telah tergelincir oleh tontonan Julian Assange.

Tapi apa pun yang Anda pikirkan tentang Assange, ada satu hal yang hampir pasti. Sama sekali tidak ada bukti bahwa AS telah menyusup ke Debian. Atau distro Linux lainnya, dalam hal ini.

Kredit Foto: 424 (XKCD), Kode (Michael Himbeault)