פרסומת

דביאן היא אחת ההפצות הפופולריות ביותר של לינוקס. זה סולידי, אמין, ובהשוואה ל- Arch ו- Gentoo, קל יחסית לתפוס את החדשים. אובונטו היא בנוי עליו דביאן מול אובונטו: כמה רחוק הגיעה אובונטו בעוד 10 שנים?אובונטו כיום בת 10! התפלגות מלך לינוקס עשתה דרך ארוכה מאז הקמתה בשנת 2004, אז בואו נסתכל איך זה התפתח אחרת לדביאן, ההפצה על ... קרא עוד , ולעתים קרובות נהוג לעשות זאת כוחו של פטל פי כיצד להתקין מערכת הפעלה על פטל Piלהלן התקנת מערכת הפעלה על Raspberry Pi שלך וכיצד לשכפל את ההתקנה המושלמת שלך לשחזור מהיר מאסון. קרא עוד .

לטענת מייסד וויקיליקס, ג'וליאן אסאנג ', כך נטען כי הוא נמצא תחת המנגנון המודיעיני של אמריקה.

או שזה?

לאחר שנשא דברים בכנס ימי האירוח העולמי של שנת 2014, תיאר ג'וליאן אסאנג 'כיצד מדינות מסוימות של מדינות (ללא שמות, שיעול אמריקה שיעול) הפכו בכוונה את הפצות הלינוקס לבטוחות, בכדי להביאם תחת שליטת דרגת המעקב שלהם. תוכל להציג את הצעת המחיר המלאה לאחר ציון 20 הדקות כאן:

אבל האם אסאנג 'צודק?

מבט על דביאן וביטחון

בשיחתו של אסאנג 'הוא מזכיר כיצד בוטלו בכוונה אינספור הפצות. אבל הוא מזכיר את דביאן לפי שםכך שנוכל להתמקד באותה מידה.

instagram viewer

במהלך 10 השנים האחרונות, זוהו מספר נקודות תורפה ב- Debian. חלקם היו חמורים, פגיעויות בסגנון יום אפס מהי פגיעות של יום אפס? [MakeUseOf מסביר] קרא עוד שהשפיע על המערכת באופן כללי. אחרים השפיעו על יכולתו לתקשר בצורה מאובטחת עם מערכות מרוחקות.

הפגיעות היחידה שאותה מציין Assange במפורש היא באג במחולל המספרים האקראיים של Debian של Debian שהיה התגלה בשנת 2008.

קוד Debian

מספרים אקראיים (או לפחות שם בדוי; קשה מאוד להשיג אקראיות אמיתית במחשב) הם חלק מהותי מהצפנת RSA. כאשר מחולל מספרים אקראיים הופך להיות צפוי, יעילות ההצפנה צונחת וניתן לפענח את התנועה.

יש להודות, בעבר ה- NSA החליש בכוונה את חוזק ההצפנה בדרגה מסחרית על ידי צמצום האנטרופיה של המספרים שנוצרו באופן אקראי. זה היה א לפני זמן רב, כאשר הצפנה חזקה נחשבה בחשדנות מצד ממשלת ארה"ב, ואף כפופה לחקיקת ייצוא נשק. של סיימון סינג ספר הקוד מתאר עידן זה די טוב, תוך התמקדות בימיו הראשונים של פרטיותו של פיליפ צימרמן די טוב, והמאבק המשפטי שניהל עם ממשלת ארה"ב.

אבל זה היה מזמן, ונראה שהבאג של שנת 2008 היה פחות תוצאה של זדון, אלא של חוסר יכולת טכנולוגית מדהימה.

שתי שורות קוד הוסרו מחבילת OpenSSL של Debian מכיוון שהן הפיקו הודעות אזהרה בכלי Valgrind ו- Purify build. הקווים הוסרו, והאזהרות נעלמו. אבל היושרה של היישום של דביאן של OpenSSL הייתה נכה ביסודו.

כפי ש התער של הנלון מכתיבה, לעולם אל תייחס לזדון מה שניתן להסביר באותה קלות כמו חוסר יכולת. אגב, הבאג הספציפי הזה היה הוקמה על ידי XKCD הקומיקס באינטרנט.

debian-xkcd

כתיבה בנושא, IgnorantGuru בלוג גם ספקולציות הבאג האחרון של Heartbleed (שאנחנו כיסה בשנה שעברה פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד ) יכול היה להיות גם תוצר של שירותי האבטחה בכוונה מנסה לערער את הקריפטוגרפיה ב- Linux.

Heartbleed הייתה פגיעות אבטחה בספריית OpenSSL שעלולה לראות שמשתמש זדוני גונב מידע מוגן על ידי SSL / TLS, על ידי קריאת זיכרון השרתים הפגיעים וקבלת המפתחות הסודיים המשמשים להצפנת תנועה. באותה תקופה זה איים על שלמות מערכות הבנקאות והמסחר המקוון שלנו. מאות אלפי מערכות היו פגיעות וזה השפיע כמעט על כל הפצת לינוקס ו- BSD.

אני לא בטוח עד כמה סביר ששירותי האבטחה היו מאחוריה.

כתיבת אלגוריתם הצפנה מוצק הוא קשה מאוד. יישום זה קשה באופן דומה. בלתי נמנע שבסופו של דבר יתגלה פגיעות או פגם (הם לעתים קרובות נמצאים ב- OpenSSL באג מסיבי ב- OpenSSL מכניס הרבה לסכנה באינטרנטאם אתה אחד מאותם אנשים שתמיד האמינו שקריפטוגרפיה של קוד פתוח היא הדרך הבטוחה ביותר לתקשר באופן מקוון, אתה יכול להפתיע קצת. קרא עוד ) שהוא כה חמור, יש ליצור אלגוריתם חדש או להחליף יישום מחדש.

זו הסיבה שאלגוריתמי ההצפנה עברו מסלול אבולוציוני, וחדשים בנויים כאשר מתגלים ליקויים לפי סדר.

טענות קודמות בנושא התערבות ממשלתית בקוד פתוח

כמובן שלא ממש נשמע שממשלות יתעניינו בפרויקטים של קוד פתוח. זה גם לא מורגש שמאשימים את הממשלות בכך שהשפיעו באופן מוחשי על הכיוון או פונקציונליות של פרויקט תוכנה, באמצעות כפייה, הסתננות או על ידי תמיכה בו כלכלית.

יאשה לוין הוא אחד העיתונאים החוקרים שאני הכי מעריץ. עכשיו הוא כותב Pando.comאבל לפני כן הוא חתך את שיניו בכתיבה עבור המוסקובי המיתולוגי דו שבועי, הגלות שהושבתה בשנת 2008 על ידי ממשלת פוטין. בתום חמש-עשרה שנות חייו, הוא נודע בתכניו הגסים, המקוממים, באותה מידה כמו לגבי לוין (והמייסד המשותף). מארק איימס, שכותבים גם ל- Pando.com) דיווחי חקירה נוקשים.

הכישוף הזה לעיתונאות חוקרת עקב אחריו ל- Pando.com. בשנה האחרונה בערך פרסם לוין מספר קטעים המדגישים את הקשר בין פרויקט טור, לבין מה שהוא מכנה מתחם הפיקוח הצבאי של ארה"ב, אך הוא באמת משרד המחקר הימי (ONR) וה סוכנות פרויקטים למחקר מתקדם של ההגנה (DARPA).

טור (או, נתב הבצל) גלישה פרטית באמת: מדריך משתמשים לא רשמי לטורטור מספק גלישה והודעות אנונימיות ובלתי ניתנות לביצוע באמת, כמו גם גישה למה שמכונה "רשת עמוקה". Tor לא ניתן לשבור באופן סביר על ידי ארגון כלשהו על פני כדור הארץ. קרא עוד , עבור אלה שלא ממש מהירים, היא פיסת תוכנה שמניעה אנונימיות לתנועה על ידי הקפצתה דרך מספר נקודות קצה מוצפנות. היתרון בכך הוא שאתה יכול להשתמש באינטרנט מבלי לגלות את זהותך או להיות כפוף לצנזורה מקומית, דבר שימושי אם אתה גר במשטר מדכא, כמו סין, קובה או אריתריאה. אחת הדרכים הקלות ביותר להשיג זאת היא באמצעות דפדפן ה- Tor מבוסס Firefox דיברתי עליהם לפני מספר חודשים כיצד לגלוש בפייסבוק מעל טור ב -5 שלביםרוצה להישאר מאובטח כשאתה משתמש בפייסבוק? הרשת החברתית השיקה כתובת .onion! הנה כיצד להשתמש בפייסבוק ב- Tor. קרא עוד .

אגב, המדיום בו אתה מוצא את עצמך קורא מאמר זה הוא בעצמו תוצר של השקעה ב- DARPA. בלי ARPANET, לא יהיה אינטרנט.

לסיכום הנקודות של לוין: מכיוון ש- TOR מקבלת את מרבית המימון שלה מממשלת ארה"ב, היא קשורה איתן ללא הפרעה, ואינה יכולה עוד לפעול באופן עצמאי. ישנם גם מספר תורמים של TOR שעבדו בעבר עם ממשלת ארה"ב בצורה כזו או אחרת.

לקרוא את הנקודות של לוין במלואן, קרא את הספר "כמעט כל מי שהיה מעורב בפיתוח טור הועמד או מומן על ידי ממשלת ארה"ב"שפורסם ב- 16 ביולי 2014.

לאחר מכן קרא את ההכחשה הזומאת מיכה לי, שכותב עבור The Intercept. לסיכום טיעוני הנגד: ה- DOD תלוי באותה מידה ב- TOR כדי להגן על פעיליהם, פרויקט TOR תמיד היה פתוח לאן הגיע הכספים שלהם.

לוין הוא עיתונאי נהדר, כזה שיש לי הרבה הערצה וכבוד אליו. אבל לפעמים אני חושש שהוא נופל בפח המחשבה שממשלות - כל ממשלה - הן ישויות מונוליטיות. הם לא. במקום זאת, מדובר במכונה מורכבת עם גלגלי שיניים עצמאיים שונים, כל אחד עם האינטרסים והמוטיבציה שלהם, שעובדת באופן אוטונומי.

זה כן לגמרי מתקבל על הדעת שמחלקה אחת בממשלה תהיה מוכנה להשקיע בכלי להעברת האמנציפציה, ואילו אחרת תעסוק בהתנהגות שהיא אנטי חופש ואנטי-פרטיות.

וכפי שג'וליאן אסאנג 'הוכיח, פשוט להפליא להניח שיש קשר, כאשר ההסבר ההגיוני הרבה יותר תמים.

תיאורטיקני קונספירציה הם אלו הטוענים לכיסויים בכל פעם שלא קיימים מספיק נתונים כדי לתמוך במה שהם בטוחים שהוא נכון.

- ניל דה גראס טייסון (@neiltyson) 7 באפריל, 2011

האם פגענו ב- WikiLeaks ב- Peak?

האם זה רק אני, או שעברו הימים הטובים ביותר של WikiLeaks?

לא מזמן דיבר אסאנג באירועי TED באוקספורד ובוועידות האקרים בניו יורק. המותג WikiLeaks היה חזק, והם חשפו דברים חשובים באמת, כמו הלבנת הון במערכת הבנקאות השוויצרית, ושחיתות משתוללת בקניה.

עכשיו, WikiLeaks מאפיל על ידי דמותו של אסאנג '- אדם שחי בכפייה עצמית גלות בשגרירות אקוודור בלונדון, לאחר שנמלטה מכמה טענות פליליות חמורות למדי שבדיה.

לכאורה, אסאנג 'עצמו לא הצליח להעלות את הידוע לשמצתו הקודמת, ועכשיו נקט בטענות מופרזות כלפי מי שיקשיב. זה כמעט עצוב. במיוחד כשאתה מחשיב ש- WikiLeaks ביצעה עבודה חשובה למדי שמאז הושמטה על ידי ההצגה של ג'וליאן אסאנג '.

אבל מה שתחשבו על Assange, יש דבר אחד כמעט בטוח. אין שום הוכחות שארצות הברית הסתננה לדביאן. או כל הפצת לינוקס אחרת, לצורך העניין.

קרדיט לצילום: 424 (XKCD), קוד (Michael Himbeault)

מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.