Debian est l'une des distributions Linux les plus populaires. C'est solide, fiable et comparé à Arch et Gentoo, relativement facile à saisir pour les nouveaux arrivants. Ubuntu est basé sur Debian vs Ubuntu: Jusqu'où Ubuntu est-il arrivé depuis 10 ans? Debian vs Ubuntu: Jusqu'où Ubuntu est-il arrivé depuis 10 ans? Ubuntu a maintenant 10 ans! Le roi des distributions Linux a parcouru un long chemin depuis sa création en 2004, alors regardons comment il s'est développé différemment à Debian, la distribution sur ... Read More, et il est souvent utilisé pour alimenter le Raspberry Pi. Système d'exploitation à votre Raspberry Pi Comment installer un système d'exploitation à votre Raspberry Pi Voici comment obtenir un nouveau système d'exploitation installé et en cours d'exécution sur votre Pi - et comment cloner votre installation parfaite pour la récupération d'urgence rapide. Lire la suite .
Selon le fondateur de Wikileaks, Julian Assange, il serait également à la merci de l'appareil de renseignement américain.
Ou est-ce?
S'exprimant lors de la conférence World Hosting Days de 2014, Julian Assange a décrit comment certains États-nations (nommant tous les noms, tousser contre l' Amérique ) ont délibérément rendu certaines distributions Linux peu sûres, afin de les placer sous le contrôle de leur surveillance. Vous pouvez voir la citation complète après la marque de 20 minutes ici:
Mais Assange a-t-il raison?
Un regard sur Debian et la sécurité
Dans le discours d'Assange, il mentionne combien d'innombrables distributions ont été délibérément sabotées. Mais il mentionne Debian par son nom, alors nous pourrions nous concentrer sur celui-là.
Au cours des 10 dernières années, un certain nombre de vulnérabilités ont été identifiées dans Debian. Certains d'entre eux ont été sévères, les vulnérabilités de style zero-day Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explique] Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explains] Lire la suite qui a affecté le système en général. D'autres ont affecté sa capacité à communiquer en toute sécurité avec des systèmes distants.
La seule vulnérabilité mentionnée explicitement par Assange est un bug dans le générateur de nombres aléatoires OpenSSL de Debian découvert en 2008.
Les nombres aléatoires (ou, au moins pseudo-aléatoires, il est extrêmement difficile d'obtenir un caractère aléatoire réel sur un ordinateur) sont une partie essentielle du cryptage RSA. Lorsqu'un générateur de nombres aléatoires devient prévisible, l'efficacité du chiffrement s'effondre et il devient possible de décrypter le trafic.
Certes, dans le passé, la NSA a intentionnellement affaibli la puissance du chiffrement de qualité commerciale en réduisant l'entropie des nombres générés de manière aléatoire. C'était il y a longtemps, quand un cryptage fort était considéré avec suspicion par le gouvernement américain, et même soumis à la législation sur l'exportation d'armes. The Code Book de Simon Singh décrit assez bien cette période, en se concentrant sur les débuts de Pretty Good Privacy de Philip Zimmerman, et sur la bataille juridique rangée qu'il a menée avec le gouvernement américain.
Mais c'était il y a longtemps, et il semble que le bug de 2008 était moins dû à la malveillance, mais plutôt à l'incompétence technologique.
Deux lignes de code ont été supprimées du paquet OpenSSL de Debian car elles produisaient des messages d'avertissement dans les outils de construction Valgrind et Purify. Les lignes ont été supprimées et les avertissements ont disparu. Mais l'intégrité de la mise en œuvre de OpenSSL par Debian a été fondamentalement paralysée .
Comme le dicte le Razor de Hanlon, n'attribuez jamais à la malice ce qui peut tout aussi bien être expliqué que l'incompétence. Incidemment, ce bug particulier a été satirisé par la bande dessinée XKCD.
En écrivant sur le sujet, le blog IgnorantGuru spécule aussi le récent bug Heartbleed (que nous avons couvert l'année dernière) pourrait avoir été aussi un produit de: http://www.ArticleStreet.com/profile/davidantguru.html Heartbleed - Qu'est-ce que vous pouvez faire pour rester en sécurité? les services de sécurité tentent intentionnellement de miner la cryptographie sous Linux.
Heartbleed était une vulnérabilité de sécurité dans la bibliothèque OpenSSL qui pouvait potentiellement voir un utilisateur malveillant voler des informations protégées par SSL / TLS, en lisant la mémoire des serveurs vulnérables et en obtenant les clés secrètes utilisées pour chiffrer le trafic. À l'époque, cela menaçait l'intégrité de nos systèmes bancaires et commerciaux en ligne. Des centaines de milliers de systèmes étaient vulnérables et affectaient presque toutes les distributions Linux et BSD.
Je ne suis pas certain de la probabilité que les services de sécurité soient derrière.
L'écriture d'un algorithme de chiffrement solide est extrêmement difficile . La mise en œuvre est également difficile. Il est inévitable que finalement une faille ou une faille soit découverte (ils sont souvent dans OpenSSL). Un gros bogue dans OpenSSL met beaucoup d'Internet en danger Si vous êtes de ceux qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous êtes dans une surprise, lisez la suite) si grave, un nouvel algorithme doit être créé, ou une implémentation réécrite.
C'est pourquoi les algorithmes de cryptage ont pris un chemin évolutif, et de nouveaux sont construits lorsque des déficiences sont découvertes dans l'ordre.
Allégations précédentes d'interférence gouvernementale dans l'Open Source
Bien sûr, il n'est pas rare que les gouvernements s'intéressent aux projets open source. Il n'est pas rare non plus que les gouvernements soient accusés d'influencer de manière tangible la direction ou la fonctionnalité d'un projet logiciel, que ce soit par la coercition, l'infiltration ou en le soutenant financièrement.
Yasha Levine est l'une des journalistes d'investigation que j'admire le plus. Il écrit maintenant pour Pando.com, mais avant cela, il s'est fait des dents en écrivant pour le bi-hebdomadaire moscovite légendaire, The Exile, qui a été fermé en 2008 par le gouvernement de Poutine. Au cours de ses onze ans de vie, il est devenu connu pour son contenu grossier et scandaleux, autant que pour Levine (et co-fondateur Mark Ames, qui écrit aussi pour Pando.com) rapports d'enquête féroce.
Ce flair pour le journalisme d'investigation l'a suivi à Pando.com. Au cours de la dernière année, Levine a publié un certain nombre de documents soulignant les liens entre le projet Tor, et ce qu'il appelle le complexe de surveillance militaire américain, mais il est vraiment l'Office of Naval Research (ONR) et le Defense Advanced Research Projects Agence (DARPA).
Tor (ou, le routeur d'oignon) La navigation vraiment privée: Un guide d'utilisateur non officiel de Tor La navigation vraiment privée: Un guide d'utilisateur non officiel de Tor Tor fournit une navigation et une messagerie vraiment anonymes et introuvables, ainsi qu'un accès au "Deep Web" . Tor ne peut vraisemblablement être brisé par aucune organisation sur la planète. En savoir plus, pour ceux qui ne sont pas tout à fait à jour, est un logiciel qui anonymise le trafic en le faisant rebondir sur plusieurs points de terminaison chiffrés. L'avantage est que vous pouvez utiliser Internet sans révéler votre identité ou être soumis à la censure locale, ce qui est pratique si vous vivez dans un régime répressif, comme la Chine, Cuba ou l'Érythrée. L'un des moyens les plus faciles de l'obtenir est avec le navigateur Tor basé sur Firefox, dont j'ai parlé il y a quelques mois. Comment vous pouvez officiellement naviguer sur Facebook Comment naviguer officiellement sur Facebook sur Tor Remarquablement, Facebook a lancé une adresse .onion pour les utilisateurs de Tor pour accéder au réseau social populaire. Nous vous montrons comment y accéder dans le Tor-Browser. Lire la suite .
Incidemment, le média dans lequel vous vous retrouvez à lire cet article est lui-même un produit de l'investissement DARPA. Sans ARPANET, il n'y aurait pas Internet.
Pour résumer les arguments de Levine: puisque TOR reçoit la majorité de son financement du gouvernement américain, il est inexorablement lié à eux et ne peut plus fonctionner de façon indépendante. Il y a aussi un certain nombre de contributeurs au TOR qui ont déjà travaillé avec le gouvernement américain sous une forme ou une autre.
Pour lire les points de Levine dans leur intégralité, lisez: «Presque toutes les personnes impliquées dans le développement de Tor ont été (ou sont) financées par le gouvernement américain», publié le 16 juillet 2014.
Lisez ensuite cette réfutation de Micah Lee, qui écrit pour The Intercept. Pour résumer les contre-arguments: le DOD est tout aussi dépendant des TOR pour protéger leurs agents, le projet TOR a toujours été ouvert sur l'origine de leurs finances.
Levine est une grande journaliste, pour laquelle j'ai beaucoup d'admiration et de respect. Mais je m'inquiète parfois qu'il tombe dans le piège de penser que les gouvernements - tout gouvernement - sont des entités monolithiques. Ils ne le sont pas. Au contraire, c'est une machine complexe avec différents rouages indépendants, chacun avec leurs propres intérêts et motivations, travaillant de manière autonome.
Il est tout à fait plausible qu'un ministère du gouvernement soit prêt à investir dans un outil d'émancipation, tandis qu'un autre adopterait un comportement anti-liberté et anti-vie privée.
Et tout comme l'a démontré Julian Assange, il est remarquablement simple de supposer qu'il y a une conspiration, quand l'explication logique est beaucoup plus innocente.
Les théoriciens du complot sont ceux qui réclament des dissimulations chaque fois que des données insuffisantes existent pour soutenir ce qu'ils sont sûrs.
- Neil deGrasse Tyson (@neiltyson) 7 avril 2011
Avons-nous frappé Peak WikiLeaks?
Est-ce juste moi, ou est-ce que les meilleurs jours de WikiLeaks sont passés?
Il n'y a pas si longtemps, Assange parlait aux événements TED à Oxford et aux conférences hacker à New York. La marque WikiLeaks était forte et révélait des choses très importantes, comme le blanchiment d'argent dans le système bancaire suisse et la corruption rampante au Kenya.
Maintenant, WikiLeaks a été éclipsé par le personnage d'Assange - un homme qui vit dans un exil auto-imposé à l'ambassade de l'Équateur à Londres, ayant fui certaines allégations criminelles assez sévères en Suède.
Assange lui-même a apparemment été incapable de combler sa notoriété antérieure, et a maintenant pris pour faire des revendications extravagantes à quiconque écoutera. C'est presque triste. Surtout quand vous considérez que WikiLeaks a fait un travail assez important qui a depuis été déraillé par le sidehow de Julian Assange.
Mais quoi que vous pensiez d'Assange, il y a une chose qui est presque certaine. Il n'y a absolument aucune preuve que les États-Unis ont infiltré Debian. Ou n'importe quelle autre distribution Linux, d'ailleurs.
Crédits photo: 424 (XKCD), Code (Michael Himbeault)