米国政府はDebianプロジェクトに侵入しましたか? (いいえ)
Debianは最も人気のあるLinuxディストリビューションの1つです。しっかりしていて信頼性が高く、ArchやGentooと比較すると、初心者でも比較的簡単に把握できます。 Ubuntuはその上に構築されており、RaspberryPiに電力を供給するためによく使用されます。
ウィキリークスの創設者ジュリアン・アサンジによれば、それはまた、アメリカの諜報機関の把握下にあると言われています。
それとも?
2014年のWorldHostingDays会議で、ジュリアンアサンジは、特定の国がどのように述べているかを説明しました(名前を付けない、咳アメリカ 咳 )監視ドラッグネットの制御下に置くために、特定のLinuxディストリビューションを意図的に安全でないものにしました。ここで20分のマークの後に完全な見積もりを見ることができます:
しかし、アサンジは正しいですか?
Debianとセキュリティの概要
アサンジの講演の中で、彼は無数の配布物が意図的に妨害された方法に言及しています。しかし彼はDebianを名前で言及しています 、だから私たちはそれに焦点を当てたほうがいいでしょう。
過去10年間で、Debianには多くの脆弱性が確認されています。これらのいくつかは、システム全体に影響を与える深刻なゼロデイスタイルの脆弱性です。他の人は、リモートシステムと安全に通信する能力に影響を与えています。
Assangeが明示的に言及している唯一の脆弱性は、2008年に発見されたDebianのOpenSSL乱数ジェネレーターのバグです。
乱数(または、少なくとも疑似乱数。コンピューターで真のランダム性を取得することは非常に困難です)は、RSA暗号化の重要な部分です。乱数ジェネレーターが予測可能になると、暗号化の有効性が急落し、トラフィックを復号化できるようになります。
確かに、過去にNSAは、ランダムに生成された数値のエントロピーを減らすことにより、商用グレードの暗号化の強度を意図的に弱めてきました。それはずっと前でした 、強力な暗号化が米国政府によって疑わしいと見なされ、武器の輸出法の対象となったとき。 SimonSinghのTheCodeBookは、PhilipZimmermanのPrettyGood Privacyの初期の頃と、彼が米国政府と戦った法廷闘争に焦点を当てて、この時代をかなりよく説明しています。
しかし、それはかなり前のことであり、2008年のバグは悪意によるものではなく、驚くべき技術的無能さによるもののようです。
ValgrindおよびPurifyビルドツールで警告メッセージを生成していたため、DebianのOpenSSLパッケージから2行のコードが削除されました。行が削除され、警告が消えました。しかし、DebianによるOpenSSLの実装の整合性は、根本的に機能不全に陥っていました 。
ハンロンのかみそりが指示するように、無能と同じくらい簡単に説明できるものを悪意に帰することは決してありません。ちなみに、この特定のバグはWebコミックXKCDによって風刺されました。
この件について書いているIgnorantGuruブログは、最近のHeartbleedバグ(昨年取り上げた)もセキュリティサービスの産物である可能性があると推測しています Linuxで暗号化を弱体化させようとしています。
Heartbleedは、OpenSSLライブラリのセキュリティの脆弱性であり、脆弱なサーバーのメモリを読み取り、トラフィックの暗号化に使用される秘密鍵を取得することにより、SSL/TLSで保護された情報を悪意のあるユーザーが盗む可能性があります。当時、それは私たちのオンラインバンキングとコマースシステムの完全性を脅かしていました。数十万のシステムが脆弱であり、ほぼすべてのLinuxおよびBSDディストリビューションに影響を及ぼしました。
セキュリティサービスがその背後にあった可能性がどれほどあるかはわかりません。
確実な暗号化アルゴリズムを作成することは非常に困難です 。それを実装することも同様に困難です。非常に深刻な脆弱性または欠陥が最終的に発見されることは避けられません(多くの場合、OpenSSLにあります)。新しいアルゴリズムを作成するか、実装を書き直す必要があります。
そのため、暗号化アルゴリズムは進化の道を歩み、欠陥が順番に発見されると新しいアルゴリズムが構築されます。
もちろん、政府がオープンソースプロジェクトに関心を持つことは前例のないことではありません。また、政府が、強制、浸透、または財政的支援のいずれかを通じて、ソフトウェアプロジェクトの方向性や機能に具体的に影響を与えていると非難されることも前例のないことではありません。
Yasha Levineは、私が最も尊敬している調査ジャーナリストの1人です。彼は現在Pando.comのために書いていますが、その前に彼は隔週で伝説的な白雲母、プーチン政府によって2008年に閉鎖された亡命者のために彼の歯を切りました。 11年間の寿命の中で、Levine(およびPando.comにも寄稿している共同創設者のMark Ames)の激しい調査報道と同様に、粗雑でとんでもない内容で知られるようになりました。
調査ジャーナリズムに対するこの才能は、彼をPando.comに引き継いでいます。過去1年ほどにわたって、Levineは、Torプロジェクトと、彼が米軍監視複合施設と呼んでいるものとの関係を強調する多数の記事を公開していますが、実際には海軍研究局(ONR)と国防高等研究計画です。エージェンシー(DARPA)。
Tor(またはオニオンルーター)は、速度があまり良くない人のために、複数の暗号化されたエンドポイントを介してトラフィックをバウンスすることによってトラフィックを匿名化するソフトウェアです。これの利点は、身元を明かしたり、地元の検閲を受けたりすることなくインターネットを使用できることです。これは、中国、キューバ、エリトリアなどの抑圧的な政権に住んでいる場合に便利です。それを取得する最も簡単な方法の1つは、数か月前に話したFirefoxベースのTorブラウザを使用することです。
ちなみに、この記事を読んでいることに気付く媒体は、それ自体がDARPAの投資の産物です。 ARPANETがなければ、インターネットはありません。
Levineのポイントを要約すると、TORはその資金の大部分を米国政府から得ているため、容赦なくそれらにリンクされており、もはや独立して運用することはできません。以前に何らかの形で米国政府と協力したことのあるTOR寄稿者も多数います。
Levineのポイントを完全に読むには、2014年7月16日に公開された「Torの開発に関与するほとんどすべての人が米国政府から資金提供を受けた(または資金提供された)」を読んでください。
次に、TheInterceptの執筆者であるMicahLeeによるこの反論を読んでください。反論を要約すると、国防総省は工作員を保護するためにTORに依存しているのと同じように、TORプロジェクトは彼らの財政がどこから来たのかについて常に開かれています。
Levineは素晴らしいジャーナリストであり、私はたまたま多くの称賛と尊敬を持っています。しかし、私は時々、彼が政府(どの政府も)が一枚岩の実体であると考える罠に陥るのではないかと心配します。そうではありません。むしろ、それは、それぞれが独自の興味と動機を持ち、自律的に動作する、異なる独立した歯車を備えた複雑な機械です。
完全に妥当 政府のある部門は解放するためのツールに積極的に投資し、別の部門は反自由と反プライバシーの行動に従事するだろうと。
そして、ジュリアンアサンジが示したように、論理的な説明がはるかに無実である場合、陰謀があると想定するのは非常に簡単です。
ウィキリークスのピークに達しましたか?
それは私だけですか、それともウィキリークスの最高の日が過ぎましたか?
アサンジがオックスフォードでのTEDイベントやニューヨークでのハッカー会議で講演していたのはそれほど昔のことではありません。ウィキリークスのブランドは強力で、スイスの銀行システムでのマネーロンダリングやケニアでの横行する汚職など、非常に重要なものを発見していました。
現在、ウィキリークスは、ロンドンのエクアドル大使館に自主的に亡命し、スウェーデンでのかなり深刻な刑事告発から逃れたアサンジの性格に影を落としています。
アサンジ自身は、彼の以前の悪名を超えることができなかったようであり、今では、耳を傾けるだれにでも風変わりな主張をするようになりました。それはほとんど悲しいです。特に、ウィキリークスがジュリアン・アサンジのサイドショーによって狂わされた非常に重要な仕事をしたことを考えると。
しかし、アサンジについてどのように考えても、ほぼ確実なことが1つあります。 米国がDebianに侵入したという証拠はまったくありません。 または、その他のLinuxディストリビューション。
写真クレジット:424(XKCD)、コード(Michael Himbeault)
-
英国のインターネット検閲-なぜそれが機能しないのか
私は親ではありません。私は自分の小さなバージョンを作成してそれを世界に持ち込んだ経験がありません。私は、小さな無実の赤ちゃんに責任を負い、あなたが知っている最善の方法で彼らを育てることがどのようなものかを経験したことがありません。しかし、親子関係の基本的な概念は私に失われていません。あなたには子供がいて、それを愛し、幸せで生産的な大人を作ることを目的として、子供を傷つけないようにしています。 このため、DavidwebcameronCameronが提案した成人向け素材の必須のISPレベルのフィルタリングの背後にある動機を理解できます。本当です。なぜ親が熱狂するのか理解できます。ポルノはかなり
-
Friday Essential:Microsoft は Apple に取って代わり、新しいイノベーターになりましたか?
テクノロジー企業はイノベーションを利用してベンチマークを以前よりも高く設定し、この業界のリーダーになるための最大のレースの 1 つに取り組んできました。 Apple の CEO である Steve Jobs が率いる有名な発売イベントと、その後の数年間を振り返ると、Apple が依然として最高であると考えられている理由を想像するのは難しいことではありません。しかし、この主張はとてつもないものでしょうか? 昨日、Microsoft は最高の発表イベントの 1 つを主催し、タブ、ラップトップ、電話、およびマルチタスクのエクスペリエンスを組み合わせた 2 つの新しいデバイスを発表しました。 Mic