¿Se ha infiltrado el gobierno de los Estados Unidos en el proyecto Debian? (No)
Debian es una de las distribuciones de Linux más populares. Es sólido, confiable y comparado con Arch y Gentoo, relativamente fácil de entender para los recién llegados. Ubuntu se basa en él. Debian vs Ubuntu: ¿Qué tan lejos ha llegado Ubuntu en 10 años? Debian vs Ubuntu: ¿Hasta dónde ha llegado Ubuntu en 10 años? ¡Ubuntu tiene ahora 10 años! El rey de las distribuciones de Linux ha recorrido un largo camino desde su inicio en 2004, así que echemos un vistazo a cómo se ha desarrollado de manera diferente a Debian, la distribución en ... Leer más, y se utiliza a menudo para alimentar la Raspberry Pi. Cómo instalar un sistema operativo Para su Raspberry Pi Cómo instalar un sistema operativo para su Raspberry Pi A continuación le indicamos cómo instalar y ejecutar un nuevo sistema operativo en su Pi, y cómo clonar su configuración perfecta para una rápida recuperación de desastres. Lee mas .
También se dice que está al alcance del aparato de inteligencia de Estados Unidos, según el fundador de Wikileaks, Julian Assange..
O es eso?
Hablando en la conferencia de los Días de Hosting Mundial de 2014, Julian Assange describió cómo ciertos estados nacionales (sin nombrar nombres), tos America tos) han hecho intencionalmente ciertas distribuciones de Linux inseguras, con el fin de ponerlas bajo el control de su red de vigilancia. Puede ver la cotización completa después de la marca de 20 minutos aquí:
Pero es correcto Assange?
Una mirada a Debian y la seguridad
En la charla de Assange, menciona cómo innumerables distribuciones han sido saboteadas intencionalmente. Pero menciona a Debian. por nombre, por lo que también podríamos centrarnos en eso.
En los últimos 10 años, se han identificado varias vulnerabilidades en Debian. Algunas de estas han sido vulnerabilidades severas del estilo de día cero. ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] ¿Qué es una vulnerabilidad de día cero? [MakeUseOf Explica] Leer más que afectó al sistema en general. Otros han afectado su capacidad para comunicarse de forma segura con sistemas remotos..
La única vulnerabilidad que menciona Assange explícitamente es un error en el generador de números aleatorios OpenSSL de Debian que se descubrió en 2008.
Los números aleatorios (o, al menos pseudoaleatorios; es extremadamente difícil obtener una verdadera aleatoriedad en una computadora) son una parte esencial del cifrado RSA. Cuando un generador de números aleatorios se vuelve predecible, la eficacia del cifrado se desploma, y se hace posible descifrar el tráfico.
Es cierto que, en el pasado, la NSA ha debilitado intencionalmente la fortaleza de la encriptación de grado comercial al reducir la entropía de los números generados al azar. Eso fue un hace mucho tiempo, cuando el gobierno de los EE. UU. consideraba que el cifrado fuerte era sospechoso e incluso estaba sujeto a la legislación de exportación de armas. El Libro de códigos de Simon Singh describe bastante bien esta época, centrándose en los primeros días de Pretty Good Privacy de Philip Zimmerman, y en la batalla legal que luchó contra el gobierno de EE. UU..
Pero eso fue hace mucho tiempo, y parece que el error de 2008 fue menos un resultado de la maldad, sino una sorprendente incompetencia tecnológica..
Se eliminaron dos líneas de código del paquete OpenSSL de Debian porque producían mensajes de advertencia en las herramientas de compilación Valgrind y Purify. Las líneas fueron removidas, y las advertencias desaparecieron. Pero la integridad de la implementación de OpenSSL por Debian fue fundamentalmente lisiado.
Como lo indica la Maquinilla de afeitar de Hanlon, nunca atribuya a la malicia lo que puede explicarse tan fácilmente como la incompetencia. Por cierto, este error en particular fue satirizado por el cómic web XKCD..
Al escribir sobre el tema, el blog IgnorantGuru también especula sobre el reciente error de Heartbleed (que cubrimos el año pasado. ¿Qué puede hacer para mantenerse seguro? ¿Qué puede hacer para mantenerse seguro? Más información) también podría haber sido un producto de los servicios de seguridad intencionalmente Tratando de socavar la criptografía en Linux.
Heartbleed era una vulnerabilidad de seguridad en la biblioteca OpenSSL que potencialmente podría hacer que un usuario malintencionado robara información protegida por SSL / TLS, leyendo la memoria de los servidores vulnerables y obteniendo las claves secretas utilizadas para cifrar el tráfico. En ese momento, amenazaba la integridad de nuestros sistemas de banca y comercio en línea. Cientos de miles de sistemas eran vulnerables y afectaban a casi todas las distribuciones de Linux y BSD..
No estoy seguro de qué tan probable es que los servicios de seguridad estuvieran detrás..
Escribir un algoritmo de cifrado sólido es extremadamente difícil. Implementarlo es igualmente difícil. Es inevitable que con el tiempo se descubra una vulnerabilidad o una falla (a menudo se encuentran en OpenSSL. El error masivo en OpenSSL pone a gran parte de Internet en riesgo. El error masivo en OpenSSL pone a gran parte de Internet en riesgo si usted es una de esas personas que siempre ha creído la criptografía de código abierto es la forma más segura de comunicarse en línea, le sorprenderá un poco. Leer más) que es tan grave, que debe crearse un nuevo algoritmo o que se debe volver a escribir una implementación.
Es por eso que los algoritmos de encriptación han tomado un camino evolutivo, y los nuevos se construyen cuando se descubren deficiencias en los ordenados..
Alegatos anteriores de interferencia gubernamental en código abierto
Por supuesto, no es extraño que los gobiernos se interesen en los proyectos de código abierto. Tampoco es extraño que los gobiernos sean acusados de influir de manera tangible en la dirección o la funcionalidad de un proyecto de software, ya sea por coerción, infiltración o apoyándolo financieramente..
Yasha Levine es una de las periodistas de investigación que más admiro. Ahora está escribiendo para Pando.com, pero antes de eso se quitó los dientes para la legendaria moscovita cada dos semanas, The Exile, que fue cerrada en 2008 por el gobierno de Putin. En su vida útil de once años, se hizo conocido por su contenido grosero e indignante, tanto como lo hizo por la ferviente investigación de investigación de Levine (y el cofundador Mark Ames, que también escribe para Pando.com)..
Este talento para el periodismo de investigación lo ha seguido hasta Pando.com. Durante el último año, aproximadamente, Levine ha publicado una serie de artículos que destacan los vínculos entre el Proyecto Tor y lo que él llama el complejo de vigilancia militar de los Estados Unidos, pero en realidad es la Oficina de Investigación Naval (ONR) y los Proyectos de Investigación Avanzada de Defensa. Agencia (DARPA).
Tor (o, The Onion Router) Navegación realmente privada: una guía no oficial del usuario para Tor Navegación realmente privada: una guía no oficial del usuario para Tor Tor proporciona una navegación y mensajes verdaderamente anónimos e imposibles de rastrear, así como acceso a los llamados “Red profunda”. Tor no puede ser plausiblemente roto por ninguna organización en el planeta. Leer más, para aquellos que no están del todo actualizados, es una pieza de software que anonimiza el tráfico rebotándolo a través de múltiples puntos finales cifrados. La ventaja de esto es que puede usar Internet sin revelar su identidad o estar sujeto a la censura local, lo cual es útil si vive en un régimen represivo, como China, Cuba o Eritrea. Una de las maneras más fáciles de conseguirlo es con el navegador Tor basado en Firefox, del que hablé hace unos meses. Cómo puedes navegar oficialmente por Facebook a través de Tor Cómo puedes navegar oficialmente por Facebook por Tor Notoriamente, Facebook ha lanzado una dirección .onion Para que los usuarios de Tor accedan a la popular red social. Te mostramos cómo acceder a él en el Tor-Browser. Lee mas .
Por cierto, el medio en el que se encuentra leyendo este artículo es en sí mismo un producto de la inversión de DARPA. Sin ARPANET, no habría Internet.
Para resumir los puntos de Levine: dado que TOR obtiene la mayor parte de su financiamiento del gobierno de EE. UU., Por lo tanto, está inexorablemente vinculado a ellos y ya no puede operar de manera independiente. También hay una serie de contribuyentes de TOR que han trabajado anteriormente con el gobierno de los Estados Unidos de alguna forma u otra..
Para leer los puntos de Levine en su totalidad, lea acerca de “Casi todas las personas involucradas en el desarrollo de Tor fueron (o están) financiadas por el gobierno de los EE. UU.”, Publicado el 16 de julio de 2014..
Luego lea esta refutación, por Micah Lee, quien escribe para The Intercept. Para resumir los argumentos en contra: el DOD es tan dependiente de TOR para proteger a sus operativos, el proyecto TOR siempre ha sido abierto sobre de dónde provienen sus finanzas.
Levine es un gran periodista, uno de los cuales tengo mucha admiración y respeto. Pero a veces me preocupa que caiga en la trampa de pensar que los gobiernos, cualquier gobierno, son entidades monolíticas. No son Más bien, es una máquina compleja con diferentes engranajes independientes, cada uno con sus propios intereses y motivaciones, trabajando de forma autónoma.
Sus totalmente plausible que un departamento del gobierno estaría dispuesto a invertir en una herramienta para emanciparse, mientras que otro estaría involucrado en un comportamiento que es anti-libertad y anti-privacidad..
Y tal como Julian Assange ha demostrado, es muy simple asumir que hay una conspiración, cuando la explicación lógica es mucho más inocente..
Los teóricos de la conspiración son aquellos que reclaman encubrimientos cuando no existen datos suficientes para apoyar lo que están seguros de que es verdad.
- Neil deGrasse Tyson (@neiltyson) 7 de abril de 2011
Tenemos We Hit Peak WikiLeaks?
¿Soy yo, o han pasado los mejores días de WikiLeaks??
No fue hace mucho que Assange habló en los eventos de TED en Oxford y en las conferencias de hackers en Nueva York. La marca WikiLeaks era fuerte y estaban descubriendo cosas realmente importantes, como el lavado de dinero en el sistema bancario suizo y la corrupción desenfrenada en Kenia.
Ahora, WikiLeaks ha sido eclipsado por el personaje de Assange, un hombre que vive en un exilio autoimpuesto en la embajada ecuatoriana de Londres, después de haber huido de algunas acusaciones criminales muy graves en Suecia..
El mismo Assange parece haber sido incapaz de superar su notoriedad anterior, y ahora se ha comprometido a hacer afirmaciones extravagantes a cualquiera que escuche. Es casi triste. Especialmente cuando consideras que WikiLeaks ha hecho un trabajo bastante importante que desde entonces ha sido descarrilado por el espectáculo de Julian Assange..
Pero lo que pienses de Assange, hay una cosa que es casi segura. No hay absolutamente ninguna evidencia de que Estados Unidos se haya infiltrado en Debian.. O cualquier otra distribución de Linux, para el caso.
Créditos de las fotografías: 424 (XKCD), Código (Michael Himbeault)
Explore más acerca de: Debian, Linux, privacidad en línea, vigilancia.