Pagina principal Linux ¿Se ha infiltrado el gobierno de los Estados Unidos en el proyecto Debian? (No)

¿Se ha infiltrado el gobierno de los Estados Unidos en el proyecto Debian? (No)

  • Michael Fisher
  • 0
  • 4697
  • 1300
Anuncio

Debian es una de las distribuciones de Linux más populares. Es sólido, confiable y comparado con Arch y Gentoo, relativamente fácil de entender para los recién llegados. Ubuntu se basa en él Debian vs Ubuntu: ¿Hasta dónde ha llegado Ubuntu en 10 años? Debian vs Ubuntu: ¿Hasta dónde ha llegado Ubuntu en 10 años? ¡Ubuntu ahora tiene 10 años! El rey de las distribuciones de Linux ha recorrido un largo camino desde su inicio en 2004, así que veamos cómo se ha desarrollado de manera diferente a Debian, la distribución en ..., y a menudo se usa para alimentar la Raspberry Pi Cómo instalar un sistema operativo en un Raspberry Pi Cómo instalar un sistema operativo en una Raspberry Pi Aquí se explica cómo instalar un sistema operativo en su Raspberry Pi y cómo clonar su configuración perfecta para una recuperación rápida ante desastres. .

También se alega que está al alcance del aparato de inteligencia de Estados Unidos, según el fundador de Wikileaks, Julian Assange..

O es eso?

Hablando en la conferencia de los Días de Alojamiento Mundial de 2014, Julian Assange describió cómo ciertos estados nacionales (sin nombrar nombres), tos America tos) han hecho que ciertas distribuciones de Linux sean inseguras intencionalmente para ponerlas bajo el control de su red de vigilancia. Puede ver la cotización completa después de la marca de 20 minutos aquí:

Pero Assange tiene razón?

Una mirada a Debian y la seguridad

En la charla de Assange, él menciona cómo innumerables distribuciones han sido intencionalmente saboteadas. Pero él menciona a Debian por nombre, así que podríamos centrarnos en ese.

En los últimos 10 años, se han identificado varias vulnerabilidades en Debian. Algunos de estos han sido graves vulnerabilidades de estilo de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] que afectó al sistema en general. Otros han afectado su capacidad de comunicarse de forma segura con sistemas remotos..

La única vulnerabilidad que Assange menciona explícitamente es un error en el generador de números aleatorios OpenSSL de Debian que se descubrió en 2008.

Los números aleatorios (o, al menos, pseudoaleatorios; es extremadamente difícil obtener una verdadera aleatoriedad en una computadora) son una parte esencial del cifrado RSA. Cuando un generador de números aleatorios se vuelve predecible, la eficacia del cifrado se desploma y es posible descifrar el tráfico..

Es cierto que en el pasado, la NSA ha debilitado intencionalmente la fuerza del cifrado de grado comercial al reducir la entropía de los números generados aleatoriamente. Eso fue un hace mucho tiempo, cuando el gobierno de los EE. UU. consideraba sospechoso el cifrado fuerte e incluso estaba sujeto a la legislación sobre exportación de armas. El libro de códigos de Simon Singh describe esta era bastante bien, centrándose en los primeros días de Pretty Good Privacy de Philip Zimmerman, y en la batalla legal que libró con el gobierno de los EE. UU..

Pero eso fue hace mucho tiempo, y parece que el error de 2008 fue menos un resultado de la malicia, sino una incompetencia tecnológica bastante sorprendente..

Se eliminaron dos líneas de código del paquete OpenSSL de Debian porque estaban produciendo mensajes de advertencia en las herramientas de compilación Valgrind y Purify. Se eliminaron las líneas y desaparecieron las advertencias. Pero la integridad de la implementación de OpenSSL de Debian fue fundamentalmente lisiado.

Como dicta la Navaja de Hanlon, nunca atribuyas a la malicia lo que puede explicarse tan fácilmente como la incompetencia. Por cierto, este error en particular fue satirizado por el cómic web XKCD.

Escribiendo sobre el tema, el blog IgnorantGuru también especula que el reciente error de Heartbleed (que cubrimos el año pasado Heartbleed - ¿Qué puedes hacer para mantenerte seguro?) Heartbleed - ¿Qué puedes hacer para mantenerte seguro?) También podría haber sido un producto de la seguridad servicios intencionalmente tratando de socavar la criptografía en Linux.

Heartbleed era una vulnerabilidad de seguridad en la biblioteca OpenSSL que podría ver a un usuario malicioso robar información protegida por SSL / TLS, al leer la memoria de los servidores vulnerables y obtener las claves secretas utilizadas para cifrar el tráfico. En ese momento, amenazaba la integridad de nuestros sistemas de banca y comercio en línea. Cientos de miles de sistemas eran vulnerables, y afectó a casi todas las distribuciones de Linux y BSD.

No estoy seguro de qué tan probable es que los servicios de seguridad estuvieran detrás.

Escribir un algoritmo de cifrado sólido es extremadamente difícil. Implementarlo es igualmente difícil. Es inevitable que eventualmente se descubra una vulnerabilidad o falla (a menudo están en OpenSSL. El error masivo en OpenSSL pone en riesgo gran parte de Internet. El error masivo en OpenSSL pone en riesgo gran parte de Internet. Si usted es una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco.) Es tan grave que se debe crear un nuevo algoritmo o reescribir una implementación..

Es por eso que los algoritmos de cifrado han tomado un camino evolutivo, y se crean nuevos cuando se descubren deficiencias en orden..

Alegaciones anteriores de interferencia gubernamental en código abierto

Por supuesto, no es extraño que los gobiernos se interesen en proyectos de código abierto. Tampoco es extraño que los gobiernos sean acusados ​​de influir de manera tangible en la dirección o la funcionalidad de un proyecto de software, ya sea a través de la coerción, la infiltración o el apoyo financiero..

Yasha Levine es una de las periodistas de investigación que más admiro. Ahora está escribiendo para Pando.com, pero antes de eso se cortó los dientes escribiendo para el legendario Moscovita quincenal, The Exile, que fue cerrado en 2008 por el gobierno de Putin. En su vida útil de once años, se hizo conocido por su contenido grosero e indignante, tanto como lo hizo por los feroces informes de investigación de Levine (y cofundador Mark Ames, quien también escribe para Pando.com).

Este talento para el periodismo de investigación lo ha seguido hasta Pando.com. Durante el último año, Levine ha publicado una serie de artículos que destacan los lazos entre el Proyecto Tor y lo que él llama el complejo de vigilancia militar de los EE. UU., Pero en realidad es la Oficina de Investigación Naval (ONR) y los Proyectos de Investigación Avanzada de Defensa Agencia (DARPA).

Tor (o, The Onion Router) Navegación realmente privada: una guía de usuario no oficial para Tor Navegación realmente privada: una guía de usuario no oficial para Tor Tor proporciona navegación y mensajes verdaderamente anónimos e imposibles de rastrear, así como acceso a los llamados “Red profunda”. Tor no puede ser roto por ninguna organización en el planeta. , para aquellos que no están al día, es una pieza de software que anonimiza el tráfico al rebotarlo a través de múltiples puntos finales cifrados. La ventaja de esto es que puede usar Internet sin revelar su identidad o estar sujeto a la censura local, lo cual es útil si vive en un régimen represivo, como China, Cuba o Eritrea. Una de las formas más fáciles de obtenerlo es con el navegador Tor basado en Firefox, del que hablé hace unos meses. Cómo navegar por Facebook sobre Tor en 5 pasos Cómo navegar por Facebook sobre Tor en 5 pasos Desea mantenerse seguro cuando usa Facebook ? ¡La red social ha lanzado una dirección .onion! Aquí se explica cómo usar Facebook en Tor. .

Por cierto, el medio en el que te encuentras leyendo este artículo es en sí mismo un producto de la inversión de DARPA. Sin ARPANET, no habría Internet.

Para resumir los puntos de Levine: dado que TOR obtiene la mayoría de sus fondos del gobierno de los EE. UU., Por lo tanto, está inexorablemente vinculado a ellos y ya no puede operar de forma independiente. También hay una serie de contribuyentes TOR que han trabajado previamente con el gobierno de los EE. UU. De una forma u otra.

Para leer los puntos de Levine en su totalidad, lea “Casi todos los involucrados en el desarrollo de Tor fueron (o están) financiados por el gobierno de los EE. UU.”, publicado el 16 de julio de 2014.

Luego lea esta refutación, de Micah Lee, quien escribe para The Intercept. Para resumir los contraargumentos: el DOD es tan dependiente de TOR para proteger a sus operativos, el proyecto TOR siempre ha sido abierto sobre de dónde provienen sus finanzas.

Levine es un gran periodista, uno por el que tengo mucha admiración y respeto. Pero a veces me preocupa que caiga en la trampa de pensar que los gobiernos, cualquier gobierno, son entidades monolíticas. No lo son Más bien, es una máquina compleja con diferentes engranajes independientes, cada uno con sus propios intereses y motivaciones, que trabaja de forma autónoma..

Sus totalmente plausible que un departamento del gobierno estaría dispuesto a invertir en una herramienta para emancipar, mientras que otro se involucraría en un comportamiento anti-libertad y anti-privacidad.

Y tal como lo demostró Julian Assange, es notablemente simple suponer que hay una conspiración, cuando la explicación lógica es mucho más inocente.

Los teóricos de la conspiración son aquellos que reclaman encubrimientos cada vez que existen datos insuficientes para respaldar lo que están seguros es cierto..

- Neil deGrasse Tyson (@neiltyson) 7 de abril de 2011

Hemos llegado a Peak WikiLeaks?

¿Soy solo yo o pasaron los mejores días de WikiLeaks??

No hace mucho tiempo que Assange estaba hablando en eventos de TED en Oxford y conferencias de hackers en Nueva York. La marca WikiLeaks era fuerte y descubrían cosas realmente importantes, como el lavado de dinero en el sistema bancario suizo y la corrupción desenfrenada en Kenia.

Ahora, WikiLeaks ha sido eclipsado por el personaje de Assange, un hombre que vive en un exilio autoimpuesto en la embajada ecuatoriana de Londres, después de haber huido de algunas acusaciones penales bastante graves en Suecia..

El propio Assange aparentemente no ha podido superar su notoriedad anterior, y ahora ha hecho declaraciones extravagantes a cualquiera que lo escuche. Es casi triste Especialmente cuando consideras que WikiLeaks ha hecho un trabajo bastante importante que desde entonces se ha descarrilado por el espectáculo secundario de Julian Assange.

Pero lo que sea que pienses de Assange, hay una cosa que es casi segura.. No hay absolutamente ninguna evidencia de que EE. UU. Se haya infiltrado en Debian. O cualquier otra distribución de Linux, para el caso.

Créditos de las fotos: 424 (XKCD), Código (Michael Himbeault)




Nadie ha comentado sobre este artículo todavía.

Ahora puedes escuchar Spotify en Xbox One
Noticias tecnológicas
Apple lanza un Instagram para fotos de iPhone
Noticias tecnológicas
YouTube agrega mensajería en la aplicación en Android e iOS
Noticias tecnológicas
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.