Debian är en av de mest populära Linux-distributionerna. Den är solid, pålitlig och jämfört med Arch och Gentoo, relativt lätt för nykomlingar att förstå. Ubuntu bygger på det Debian vs Ubuntu: Hur långt har Ubuntu kommit om 10 år? Debian vs Ubuntu: Hur långt har Ubuntu kommit om 10 år? Ubuntu är nu 10 år gammal! Kungen av Linux-distributioner har kommit långt sedan starten 2004. Så låt oss se hur det har utvecklats annorlunda till Debian, fördelningen på ... Läs mer, och det används ofta för att driva Raspberry Pi Hur man installerar en Operativsystem till din Raspberry Pi Så här installerar du ett operativsystem till din Raspberry Pi Så här får du ett nytt OS installerat och kört på din Pi - och hur man klonar din perfekta installation för snabb katastrofåterställning. Läs mer .
Det påstås också vara i grepp om Amerikas intelligensapparat, enligt Wikileaks grundare Julian Assange.
Eller är det?
Julian Assange talade på 2014 års konferens för konferens för konferenser för konferenser, och beskriver hur vissa nationer (namngivna namn, hosta amerikansk hosta ) avsiktligt gjort vissa Linux-distributioner osäkra, för att få dem under kontrollen av deras övervakningsnät. Du kan se hela citatet efter 20 minuters markering här:
Men är Assange rätt?
En titt på Debian och säkerhet
I Assange talar han om hur otaliga utdelningar avsiktligt har saboterats. Men han nämner Debian med namnet, så vi kan lika bra fokusera på den.
Under de senaste 10 åren har ett antal sårbarheter identifierats i Debian. Några av dessa har varit svåra, störningar i noll-dagars stil [MakeUseOf Förklarar] Vad är en Säkerhetsproblem för nolldagen? [MakeUseOf Explains] Läs mer som påverkat systemet i allmänhet. Andra har påverkat sin förmåga att säkert kommunicera med fjärrsystem.
Den enda sårbarheten Assange nämner uttryckligen ett fel i Debians OpenSSL slumptalsgenerator som upptäcktes 2008.
Slumpmässiga siffror (eller, åtminstone pseudorandom, det är extremt svårt att få sann slump i en dator) är en viktig del av RSA-kryptering. När en slumptalsgenerator blir förutsägbar, krypterar effektiviteten, och det blir möjligt att dekryptera trafiken.
Visserligen har NSA avsiktligt försvagat styrkan i kommersiell klassad kryptering genom att minska entropin hos de slumpmässigt genererade siffrorna. Det var länge sedan, när stark kryptering ansågs vara misstänkt av den amerikanska regeringen, och till och med utsatt för vapenexportlagstiftning. Simon Singhs kodbok beskriver den här eran ganska bra, med fokus på de tidiga dagarna av Philip Zimmermans ganska bra integritet och den lagrade rättsliga striden han kämpade med den amerikanska regeringen.
Men det var länge sedan, och det verkar som 2008s bugg var mindre ett resultat av ondska, men ganska fantastisk teknisk inkompetens.
Två kodrader avlägsnades från Debians OpenSSL-paket eftersom de producerade varningsmeddelanden i verktygen Valgrind och Purify build. Linjerna togs bort och varningarna försvann. Men integriteten hos Debians genomförande av OpenSSL blev fundamentalt förkränkt .
Som Hanlon's Razor dikterar, tillägna sig aldrig till ondskan vad som lika lätt kan förklaras som inkompetens. För övrigt satte denna speciella buggar sig av webbkamera XKCD.
IgnorantGuru-bloggen spekulerar också på den senaste Heartbleed-buggen (som vi täckte förra året Heartbleed - vad kan du göra för att vara säker? Heartbleed - vad kan du göra för att vara säker? Läs mer) kan också ha varit en produkt av säkerhetstjänsten försöker avsiktligt att undergräva kryptering på Linux.
Heartbleed var ett säkerhetsproblem i OpenSSL-biblioteket som eventuellt kan se en skadlig användare stjäla information som skyddas av SSL / TLS, genom att läsa minnet för de sårbara servrarna och få de hemliga nycklarna som används för att kryptera trafik. Vid den tiden hotade det integriteten hos våra nätbanker och handelssystem. Hundratusentals system var sårbara, och det drabbade nästan alla Linux och BSD distro.
Jag är inte säker på hur troligt det är att säkerhetstjänsten var bakom den.
Att skriva en solid krypteringsalgoritm är extremt svår . Genomförandet av det är lika svårt. Det är oundvikligt att så småningom en sårbarhet eller brist upptäcks (de är ofta i OpenSSL Massive Bug i OpenSSL lägger mycket av Internet i Risk Massiv Bug i OpenSSL lägger mycket av Internet i fara Om du är en av de människor som alltid har trott den öppna källkryptografin är det säkraste sättet att kommunicera på nätet, du är in för lite överraskning. Läs mer) Det är så allvarligt, en ny algoritm måste skapas eller en implementering omskrivs.
Det är därför som krypteringsalgoritmer har tagit en utvecklingsväg, och nya byggs när brister upptäcks i ordning.
Tidigare påståenden om regeringstörning i öppen källkod
Det är självklart inte oerhört för regeringar att vara intresserade av öppen källkodsprojekt. Det är inte heller oskäligt för regeringar att anklagas för att påtagligt påverka riktningen eller funktionaliteten hos ett mjukvaruprojekt, antingen genom tvång, infiltration eller genom att stödja det ekonomiskt.
Yasha Levine är en av de undersökande journalisterna som jag mest beundrar. Han skriver nu för Pando.com, men innan det klippte han sina tänder och skrev för den legendariska muskoviten varje vecka, The Exile som stängdes 2008 av Putins regering. Under den elva åriga livslängden blev det känt för sitt grova, upprörande innehåll, lika mycket som det gjorde för Levines (och medgrundare Mark Ames, som också skriver för Pando.com) hård undersökande rapportering.
Denna känsla för undersökande journalistik har följt honom till Pando.com. Under det gångna året har Levine publicerat ett antal bitar som lyfter fram banden mellan Tor Project och vad han kallar det amerikanska militärövervakningskomplexet, men är verkligen Office of Naval Research (ONR) och Defence Advanced Research Projects Byrån (DARPA).
Tor (eller Onion Router) Egentligen Privat Bläddring: En Inofficiell Användarhandledning till Tor Really Private Browsing: En inofficiell användarhandbok till Tor Tor ger verkligen anonym och oåtkomlig surfning och meddelanden samt tillgång till den så kallade "Deep Web" . Tor kan inte troligen brytas av någon organisation på planeten. Läs mer, för de som inte är ganska snabba, är en mjukvara som anonymiserar trafik genom att studsa den genom flera krypterade ändpunkter. Fördelen med detta är att du kan använda Internet utan att avslöja din identitet eller vara utsatt för lokal censur, vilket är användbart om du bor i en repressiv regim, som Kina, Kuba eller Eritrea. Ett av de enklaste sätten att få det är med Firefox-baserade Tor Browser, som jag pratade om för några månader sedan. Hur kan du officiellt bläddra Facebook över Tor Hur kan du officiellt bläddra Facebook Over Tor? Anmärkningsvärt har Facebook lanserat aa .onion adress för Tor-användare att komma åt det populära sociala nätverket. Vi visar dig hur du öppnar den i Tor-Browser. Läs mer .
Förresten är mediet där du kommer att hitta dig själv att läsa den här artikeln själv en produkt av DARPA-investeringar. Utan ARPANET skulle det inte finnas något Internet.
För att sammanfatta Levins poäng: eftersom TOR får majoriteten av sin finansiering från den amerikanska regeringen är den därför oerhört kopplad till dem och kan inte längre driva sig självständigt. Det finns också ett antal TOR-bidragsgivare som tidigare har arbetat med den amerikanska regeringen i någon form eller annan.
För att läsa Levins poäng fullständigt, läs "Nästan alla som är involverade i att utveckla Tor var (eller är) finansierad av den amerikanska regeringen", publicerad den 16 juli 2014.
Läs sedan denna återgivning, av Micah Lee, som skriver för The Intercept. För att sammanfatta motargumenten: DOD är lika beroende av TOR för att skydda sina operatörer, har TOR-projektet alltid varit öppet om var deras ekonomier har kommit från.
Levine är en stor journalist, en jag råkar ha mycket beundran och respekt för. Men jag oroar mig ibland att han faller i fällan att tänka att regeringar - vilken regering som helst - är monolitiska enheter. De är det inte. Det är snarare en komplex maskin med olika oberoende kuggar, var och en med sina egna intressen och motivationer, arbetar autonomt.
Det är helt trovärdigt att en avdelning av regeringen skulle vara villig att investera i ett verktyg för att frigöra, medan en annan skulle engagera sig i beteende som är antifrihet och anti-privatliv.
Och precis som Julian Assange har visat är det anmärkningsvärt enkelt att anta att det finns en konspiration, när den logiska förklaringen är mycket mer oskyldig.
Konspirationsteoretiker är de som hävdar omslag när det inte finns tillräckligt med data för att stödja vad de är säkra på är sant.
- Neil deGrasse Tyson (@neiltyson) 7 april 2011
Har vi träffat Peak WikiLeaks?
Är det bara jag, eller har WikiLeaks bästa dagar gått?
Det var inte länge sedan som Assange talade vid TED-evenemang i Oxford och hackerkonferenser i New York. WikiLeaks varumärke var starkt, och de avslöjade väldigt viktiga saker, som penningtvätt i det schweiziska banksystemet och katastrofala korruption i Kenya.
Nu har WikiLeaks överskuggats av Assange karaktär - en man som lever i en självpålagt exil i Londons ekuadoriska ambassad, som flydde från några ganska allvarliga kriminella påtalanden i Sverige.
Assange själv har uppenbarligen inte kunnat toppa sin tidigare anmärkning, och har nu tagit för att göra outlandish påståenden till alla som kommer att lyssna. Det är nästan ledsen. Särskilt när du anser att WikiLeaks har gjort ett ganska viktigt arbete som sedan dess har spjälkats av Julian Assange sideshow.
Men vad du än tycker om Assange finns det en sak som är nästan säker. Det finns absolut inga bevis att USA har infiltrerat Debian. Eller någon annan Linux distro, för den delen.
Fotokrediter: 424 (XKCD), Kod (Michael Himbeault)