Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

Chính phủ Hoa Kỳ đã xâm nhập vào dự án Debian chưa? (Không)

Debian là một trong những bản phân phối Linux phổ biến nhất. Nó chắc chắn, đáng tin cậy và so với Arch và Gentoo, tương đối dễ dàng để người mới nắm bắt. Ubuntu được xây dựng dựa trên nó và nó thường được sử dụng để cung cấp năng lượng cho Raspberry Pi.

Theo Julian Assange, người sáng lập Wikileaks, nó cũng nằm trong tầm kiểm soát của bộ máy tình báo Mỹ.

Hay là nó?

Phát biểu tại hội nghị Ngày lưu trữ thế giới năm 2014, Julian Assange đã mô tả cách thức một số quốc gia nhất định (không nêu tên, ho Mỹ khụ khụ ) đã cố ý làm cho một số bản phân phối Linux không an toàn, để đặt chúng dưới sự kiểm soát của mạng lưới giám sát của họ. Bạn có thể xem toàn bộ trích dẫn sau 20 phút tại đây:

Nhưng Assange có đúng không?

Tìm hiểu Debian và Bảo mật

Trong bài nói chuyện của Assange, anh ấy đề cập đến việc vô số bản phân phối đã bị cố ý phá hoại như thế nào. Nhưng anh ấy đề cập đến Debian theo tên , vì vậy chúng tôi cũng có thể tập trung vào vấn đề đó.

Trong 10 năm qua, một số lỗ hổng đã được xác định trong Debian. Một số trong số này là các lỗ hổng nghiêm trọng kiểu zero-day, ảnh hưởng đến hệ thống nói chung. Những người khác đã ảnh hưởng đến khả năng giao tiếp an toàn với các hệ thống từ xa.

Lỗ hổng duy nhất mà Assange đề cập rõ ràng là một lỗi trong trình tạo số ngẫu nhiên OpenSSL của Debian được phát hiện vào năm 2008.

Chính phủ Hoa Kỳ đã xâm nhập vào dự án Debian chưa? (Không)

Các số ngẫu nhiên (hoặc, ít nhất là giả ngẫu nhiên; rất khó để có được sự ngẫu nhiên thực sự trên máy tính) là một phần thiết yếu của mã hóa RSA. Khi trình tạo số ngẫu nhiên có thể dự đoán được, hiệu quả của mã hóa giảm mạnh và có thể giải mã lưu lượng truy cập.

Phải thừa nhận rằng trong quá khứ NSA đã cố ý làm suy yếu sức mạnh của mã hóa cấp thương mại bằng cách giảm entropy của các số được tạo ngẫu nhiên. Đó là lâu lắm rồi , khi việc mã hóa mạnh bị chính phủ Mỹ nghi ngờ, và thậm chí phải tuân theo luật xuất khẩu vũ khí. Cuốn sách Mật mã của Simon Singh mô tả khá tốt thời đại này, tập trung vào những ngày đầu của Quyền riêng tư khá tốt của Philip Zimmerman và cuộc chiến pháp lý gay cấn mà ông đã chiến đấu với chính phủ Hoa Kỳ.

Nhưng đó là một thời gian dài trước đây, và có vẻ như lỗi của năm 2008 không phải là do ác ý mà là do năng lực công nghệ đáng kinh ngạc.

Hai dòng mã đã bị xóa khỏi gói OpenSSL của Debian vì chúng tạo ra các thông báo cảnh báo trong các công cụ xây dựng Valgrind và Purify. Các dòng đã bị xóa và các cảnh báo biến mất. Nhưng tính toàn vẹn của việc triển khai OpenSSL của Debian về cơ bản đã bị tê liệt .

Như Hanlon Razor ra lệnh, đừng bao giờ gán ghép ác tâm cho thứ có thể dễ dàng được giải thích là sự kém cỏi. Tình cờ, lỗi cụ thể này đã được châm biếm bởi web truyện tranh XKCD.

Chính phủ Hoa Kỳ đã xâm nhập vào dự án Debian chưa? (Không)

Viết về chủ đề này, blog VerirantGuru cũng suy đoán lỗi Heartbleed gần đây (mà chúng tôi đã đề cập vào năm ngoái) cũng có thể là một sản phẩm của các dịch vụ bảo mật cố ý cố gắng phá hoại mật mã trên Linux.

Heartbleed là một lỗ hổng bảo mật trong thư viện OpenSSL có khả năng bị người dùng xấu đánh cắp thông tin được bảo vệ bởi SSL / TLS, bằng cách đọc bộ nhớ của các máy chủ dễ bị tấn công và lấy các khóa bí mật được sử dụng để mã hóa lưu lượng. Vào thời điểm đó, nó đe dọa tính toàn vẹn của hệ thống ngân hàng và thương mại trực tuyến của chúng tôi. Hàng trăm nghìn hệ thống dễ bị tấn công và nó ảnh hưởng đến hầu hết các bản phân phối Linux và BSD.

Tôi không chắc khả năng các dịch vụ bảo mật đứng sau nó như thế nào.

Viết một thuật toán mã hóa vững chắc là cực kỳ khó khăn . Việc thực hiện nó cũng khó tương tự. Không thể tránh khỏi việc cuối cùng sẽ phát hiện ra một lỗ hổng hoặc lỗ hổng (chúng thường có trong OpenSSL) nghiêm trọng đến mức phải tạo một thuật toán mới hoặc viết lại một bản triển khai.

Đó là lý do tại sao các thuật toán mã hóa đã đi theo một lộ trình tiến hóa và những thuật toán mới được xây dựng khi các thiếu sót được phát hiện theo thứ tự.

Cáo buộc trước đây về sự can thiệp của chính phủ trong nguồn mở

Tất nhiên, không phải là hiếm khi các chính phủ quan tâm đến các dự án nguồn mở. Việc các chính phủ bị buộc tội có ảnh hưởng hữu hình đến hướng hoặc chức năng của một dự án phần mềm, thông qua cưỡng chế, xâm nhập hoặc hỗ trợ tài chính cũng không phải là chưa từng có.

Yasha Levine là một trong những nhà báo điều tra mà tôi ngưỡng mộ nhất. Anh ấy hiện đang viết cho Pando.com, nhưng trước đó anh ấy đã cắt răng viết cho Muscovite huyền thoại hai tuần một lần, The Exile đã bị chính phủ của Putin đóng cửa vào năm 2008. Trong vòng đời mười một năm, nó được biết đến với nội dung thô tục, thái quá, giống như đối với phóng sự điều tra khốc liệt của Levine (và đồng sáng lập Mark Ames, người cũng viết cho Pando.com).

Sự tinh tế đối với lĩnh vực báo chí điều tra này đã theo chân anh đến với Pando.com. Trong hơn một năm qua, Levine đã xuất bản một số bài viết nêu bật mối quan hệ giữa Dự án Tor và cái mà ông gọi là tổ hợp giám sát quân sự của Hoa Kỳ, nhưng thực sự là Văn phòng Nghiên cứu Hải quân (ONR) và Dự án Nghiên cứu Nâng cao Quốc phòng. Đại lý (DARPA).

Tor (hay còn gọi là Bộ định tuyến Onion), đối với những người không có tốc độ cao, là một phần mềm ẩn danh lưu lượng truy cập bằng cách đưa nó qua nhiều điểm cuối được mã hóa. Ưu điểm của việc này là bạn có thể sử dụng Internet mà không cần tiết lộ danh tính của mình hoặc chịu sự kiểm duyệt của địa phương, điều này rất hữu ích nếu bạn sống trong một chế độ hà khắc, như Trung Quốc, Cuba hoặc Eritrea. Một trong những cách dễ nhất để có được nó là sử dụng Trình duyệt Tor dựa trên Firefox, mà tôi đã nói về cách đây vài tháng.

Thật ngẫu nhiên, phương tiện mà bạn tìm thấy mình khi đọc bài viết này, bản thân nó là một sản phẩm của đầu tư DARPA. Nếu không có ARPANET, sẽ không có Internet.

Tóm tắt lại quan điểm của Levine:vì TOR nhận được phần lớn tài trợ từ chính phủ Hoa Kỳ, do đó nó không thể liên kết chặt chẽ với họ và không còn có thể hoạt động độc lập. Ngoài ra còn có một số cộng tác viên TOR trước đây đã làm việc với chính phủ Hoa Kỳ dưới hình thức này hay hình thức khác.

Để đọc đầy đủ các quan điểm của Levine, hãy đọc "Hầu hết mọi người tham gia phát triển Tor đều được (hoặc được) tài trợ bởi chính phủ Hoa Kỳ", được xuất bản vào ngày 16 tháng 7 năm 2014.

Sau đó, hãy đọc bài phản bác này của Micah Lee, người viết cho The Intercept. Tóm lại các lập luận phản bác:DOD cũng phụ thuộc vào TOR để bảo vệ các thành viên của họ, dự án TOR luôn công khai về nguồn tài chính của họ đến từ đâu.

Levine là một nhà báo vĩ đại, một nhà báo mà tôi vô cùng ngưỡng mộ và kính trọng. Nhưng đôi khi tôi lo lắng rằng anh ta rơi vào bẫy khi nghĩ rằng các chính phủ - bất kỳ chính phủ nào - đều là những thực thể nguyên khối. Họ không. Đúng hơn, đó là một cỗ máy phức tạp với các bánh răng độc lập khác nhau, mỗi bánh răng có sở thích và động cơ riêng, hoạt động độc lập.

Điều đó hoàn toàn hợp lý rằng một bộ phận của chính phủ sẽ sẵn sàng đầu tư vào một công cụ để giải phóng, trong khi bộ phận khác sẽ tham gia vào hành vi chống lại tự do và chống lại quyền riêng tư.

Và đúng như Julian Assange đã chứng minh, thật đơn giản khi cho rằng có một âm mưu nào đó, khi lời giải thích hợp lý lại vô tội hơn nhiều.

Chúng ta đã đạt Đỉnh WikiLeaks chưa?

Chỉ có tôi hay những ngày tuyệt vời nhất của WikiLeaks đã trôi qua?

Cách đây không lâu, Assange đã phát biểu tại các sự kiện TED ở Oxford và hội nghị hacker ở New York. Thương hiệu WikiLeaks rất mạnh và họ đã phát hiện ra những thứ thực sự quan trọng, như rửa tiền trong hệ thống ngân hàng Thụy Sĩ và nạn tham nhũng tràn lan ở Kenya.

Giờ đây, WikiLeaks đã bị lu mờ bởi nhân vật Assange - một người đàn ông sống lưu vong tự lập tại Đại sứ quán Ecuador ở London, đã trốn chạy khỏi một số cáo buộc tội phạm khá nghiêm trọng ở Thụy Điển.

Bản thân Assange dường như đã không thể vượt qua tai tiếng trước đó của mình và giờ đây đã đưa ra những tuyên bố kỳ quặc với bất kỳ ai sẽ lắng nghe. Nó gần như buồn. Đặc biệt là khi bạn cho rằng WikiLeaks đã thực hiện một số công việc khá quan trọng mà sau đó đã bị trật bánh bởi chương trình phụ của Julian Assange.

Nhưng bất cứ điều gì bạn nghĩ về Assange, có một điều gần như chắc chắn. Hoàn toàn không có bằng chứng Hoa Kỳ đã xâm nhập vào Debian. Hoặc bất kỳ bản phân phối Linux nào khác, cho vấn đề đó.

Nguồn ảnh:424 (XKCD), Mã (Michael Himbeault)