Page d'accueil Linux Le gouvernement américain a-t-il infiltré le projet Debian? (Non)

Le gouvernement américain a-t-il infiltré le projet Debian? (Non)

  • Harry James
  • 0
  • 2810
  • 465
Publicité

Debian est l’une des distributions Linux les plus populaires. C'est solide, fiable et comparé à Arch et Gentoo, relativement facile à comprendre pour les nouveaux arrivants. Ubuntu est construit sur elle Debian vs Ubuntu: Jusqu'où Ubuntu a-t-il été créé dans 10 ans? Debian vs Ubuntu: Jusqu'où Ubuntu a-t-il évolué depuis 10 ans? Ubuntu a maintenant 10 ans! La reine des distributions Linux a parcouru un long chemin depuis sa création en 2004, voyons maintenant comment elle a évolué différemment de Debian, la distribution après…, et elle est souvent utilisée pour alimenter Raspberry Pi - Comment installer un système d'exploitation sous un système d'exploitation? Raspberry Pi Comment installer un système d'exploitation sur un Raspberry Pi Voici comment installer un système d'exploitation sur votre Raspberry Pi et comment cloner votre configuration parfaite pour une récupération après sinistre rapide. .

Il est également présumé être à la portée de l'appareil de renseignement américain, selon le fondateur de Wikileaks, Julian Assange.

Ou est-ce?

S'exprimant lors de la conférence des World Hosting Days de 2014, Julian Assange a expliqué comment certains pays (ne nommant aucun nom), la toux Amérique la toux) ont volontairement rendu certaines distributions Linux non sécurisées, afin de les placer sous le contrôle de leur filet de surveillance. Vous pouvez voir la citation complète après 20 minutes ici:

Mais Assange a-t-il raison??

Regard sur Debian et la sécurité

Dans son discours, Assange mentionne comment d'innombrables distributions ont été intentionnellement sabotées. Mais il mentionne Debian de nom, afin que nous puissions aussi bien nous concentrer sur celui-là.

Au cours des 10 dernières années, un certain nombre de vulnérabilités ont été identifiées dans Debian. Certaines de ces vulnérabilités sont sévères, de type zéro jour. Qu'est-ce qu'une vulnérabilité de jour zéro? [MakeUseOf explique] Qu'est-ce qu'une vulnérabilité de jour zéro? [MakeUseOf Explains] qui a affecté le système en général. D'autres ont affecté sa capacité à communiquer en toute sécurité avec des systèmes distants.

La seule vulnérabilité mentionnée explicitement par Assange est un bogue découvert dans le générateur de nombres aléatoires OpenSSL de Debian découvert en 2008..

Les nombres aléatoires (ou du moins pseudo-aléatoires; il est extrêmement difficile d'obtenir le véritable caractère aléatoire sur un ordinateur) constituent un élément essentiel du cryptage RSA. Lorsqu'un générateur de nombres aléatoires devient prévisible, l'efficacité du chiffrement diminue et il devient possible de déchiffrer le trafic..

Certes, par le passé, la NSA a délibérément affaibli la force du cryptage de qualité commerciale en réduisant l’entropie des nombres générés aléatoirement. C'était un il y a longtemps, lorsque le gouvernement américain considérait avec suspicion un cryptage puissant, et même soumis à une législation sur l'exportation d'armes. Le Code Book de Simon Singh décrit assez bien cette époque, en se concentrant sur les débuts de Pretty Good Privacy de Philip Zimmerman et sur la bataille juridique qu'il a menée contre le gouvernement américain..

Mais c'était il y a longtemps, et il semble que le virus de 2008 soit moins le résultat d'une malveillance, mais d'une incompétence technologique stupéfiante..

Deux lignes de code ont été supprimées du paquet OpenSSL de Debian car elles produisaient des messages d'avertissement dans les outils de construction Valgrind et Purify. Les lignes ont été supprimées et les avertissements ont disparu. Mais l’intégrité de la mise en œuvre de OpenSSL par Debian était fondamentalement estropié.

Comme le dit le Rasoir de Hanlon, n'attribuez jamais à la malveillance ce qui peut tout aussi bien être expliqué comme une incompétence. Incidemment, ce bug particulier a été satirisé par la bande dessinée Web XKCD.

Sur le sujet, le blog IgnorantGuru spécule également sur le récent bogue Heartbleed (que nous avions couvert l'année dernière Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité?) Aurait également été un produit de la sécurité prestations de service intentionnellement essayant de saper la cryptographie sur Linux.

Heartbleed était une vulnérabilité de la bibliothèque OpenSSL susceptible de permettre à un utilisateur malveillant de voler des informations protégées par SSL / TLS, en lisant la mémoire des serveurs vulnérables et en obtenant les clés secrètes utilisées pour chiffrer le trafic. À l'époque, cela menaçait l'intégrité de nos systèmes de banque et de commerce en ligne. Des centaines de milliers de systèmes étaient vulnérables et cela affectait presque toutes les distributions Linux et BSD..

Je ne suis pas sûr de la probabilité que les services de sécurité soient derrière.

L'écriture d'un algorithme de cryptage solide est extrêmement difficile. La mise en œuvre est également difficile. Il est inévitable de découvrir éventuellement une vulnérabilité ou une faille (ils sont souvent dans OpenSSL. Un bogue massif dans OpenSSL met une grande partie d'Internet en péril. Un bogue massif dans OpenSSL met une grande partie d'Internet en danger. Si vous êtes un de ceux à qui vous avez toujours cru la cryptographie à source ouverte est le moyen le plus sûr de communiquer en ligne, vous êtes un peu surprise.) C’est tellement grave, il faut créer un nouvel algorithme ou réécrire une implémentation..

C'est pourquoi les algorithmes de cryptage ont évolué, et de nouveaux sont construits lorsque des lacunes sont découvertes dans l'ordre..

Allégations antérieures d'ingérence gouvernementale dans une source ouverte

Bien entendu, il n’est pas rare que les gouvernements s’intéressent aux projets open source. Il n’est pas rare non plus que des gouvernements soient accusés d’avoir influé de manière tangible sur la direction ou la fonctionnalité d’un projet logiciel, que ce soit par la contrainte, l’infiltration ou en le soutenant financièrement..

Yasha Levine est l'une des journalistes d'investigation que j'admire le plus. Il écrit maintenant pour Pando.com, mais avant cela, il avait fait ses armes pour le légendaire bihebdomadaire moscovite, The Exile, qui avait été fermé en 2008 par le gouvernement de Poutine. Au cours de ses onze années d'existence, il est devenu connu pour son contenu grossier et scandaleux, tout autant que pour Levine's (et son co-fondateur, Mark Ames, qui écrit également pour Pando.com)..

Ce flair pour le journalisme d'investigation l'a suivi sur Pando.com. Au cours de la dernière année environ, Levine a publié plusieurs articles soulignant les liens entre le projet Tor et ce qu'il appelle le complexe de surveillance militaire américain, mais il s'agit en réalité de l'Office of Naval Research (ONR) et du Defense Advanced Research Projects. Agence (DARPA).

Tor (ou Le Routeur Oignon) Navigation vraiment privée: Guide de l'utilisateur non officiel pour Tor Navigation vraiment privée: Un guide de l'utilisateur non officiel pour Tor Tor fournit une navigation et des messages de navigation et de navigation vraiment anonymes et indétectables, ainsi qu'un accès à la soi-disant “Web profond”. Tor ne peut vraisemblablement être brisé par aucune organisation sur la planète. , pour ceux qui ne sont pas tout à fait à la hauteur, est un logiciel qui anonymise le trafic en le renvoyant à travers plusieurs points de terminaison cryptés. L'avantage est que vous pouvez utiliser Internet sans révéler votre identité ni être soumis à la censure locale, ce qui est pratique si vous vivez dans un régime répressif, comme la Chine, Cuba ou l'Erythrée. L’un des moyens les plus simples de l’obtenir est avec le navigateur Tor, basé sur Firefox, dont j’ai parlé il ya quelques mois. Comment parcourir Facebook sur Tor en 5 étapes Comment parcourir Facebook sur Tor en 5 étapes Vous souhaitez rester en sécurité lorsque vous utilisez Facebook ? Le réseau social a lancé une adresse .onion! Voici comment utiliser Facebook sur Tor. .

Incidemment, le support par lequel vous vous retrouvez en train de lire cet article est en soi un produit de l'investissement de la DARPA. Sans ARPANET, il n'y aurait pas d'Internet.

Pour résumer les points soulevés par Levine: puisque TOR reçoit la majeure partie de son financement du gouvernement américain, il est donc inexorablement lié à ce dernier et ne peut plus fonctionner de manière indépendante. Il y a également un certain nombre de contributeurs du TOR qui ont déjà travaillé avec le gouvernement américain sous une forme ou une autre..

Pour lire les points de Levine dans leur intégralité, lisez “Presque toutes les personnes impliquées dans le développement de Tor étaient (ou sont) financées par le gouvernement américain.”, publié le 16 juillet 2014.

Ensuite, lisez cette réfutation de Micah Lee, qui écrit pour The Intercept. Pour résumer les contre-arguments: le DOD est tout aussi dépendant du TOR pour protéger ses agents, le projet TOR a toujours été ouvert sur la provenance de leurs finances..

Levine est un grand journaliste, pour lequel j’ai beaucoup d’admiration et de respect. Mais je crains parfois qu’il ne tombe dans le piège de penser que les gouvernements - tous les gouvernements - sont des entités monolithiques. Ils ne sont pas. C'est plutôt une machine complexe avec différents rouages ​​indépendants, chacun ayant ses propres intérêts et motivations, travaillant de manière autonome.

Ses totalement plausible qu'un ministère du gouvernement serait prêt à investir dans un outil d'émancipation, tandis qu'un autre adopterait un comportement anti-liberté et anti-vie privée.

Et comme Julian Assange l'a démontré, il est remarquablement simple de supposer qu'il existe un complot, alors que l'explication logique est beaucoup plus innocente..

Les théoriciens du complot sont ceux qui réclament une dissimulation lorsqu'il existe des données insuffisantes pour confirmer ce qui est vrai..

- Neil deGrasse Tyson (@neiltyson) 7 avril 2011

Avons-nous atteint Peak WikiLeaks?

Est-ce juste moi, ou avons passé les meilleurs jours de WikiLeaks?

Il n'y a pas si longtemps, Assange s'exprimait lors d'événements TED à Oxford et lors de conférences sur les hackers à New York. La marque WikiLeaks était forte et révélait des informations très importantes, telles que le blanchiment d'argent dans le système bancaire suisse et la corruption endémique au Kenya..

Maintenant, WikiLeaks a été éclipsé par le personnage d’Assange - un homme qui vit dans un exil auto-imposé à l’ambassade de l’Équateur à Londres, après avoir fui de très graves accusations criminelles en Suède..

Assange lui-même semble avoir été incapable de dépasser sa notoriété antérieure et a maintenant entrepris de faire des déclarations insensées à quiconque voudrait l'écouter. C'est presque triste. Surtout quand on sait que Wikileaks a fait un travail assez important qui a depuis été déraillé par Julian Assange..

Mais quoi que vous pensiez d'Assange, il y a une chose qui est presque certaine. Il n'y a absolument aucune preuve que les États-Unis aient infiltré Debian. Ou toute autre distribution Linux, d'ailleurs.

Crédits photos: 424 (XKCD), Code (Michael Himbeault)




Personne n'a encore commenté ce post.

Comment les modifications récentes apportées à YouTube vont vous affecter
Des médias sociaux
3 principaux widgets de hashtag pour Instagram comparés
Des médias sociaux
Comment utilisez-vous les médias sociaux? La théorie des réseaux sociaux en 20 ans
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.