Anuncio
Debian es una de las distribuciones de Linux más populares. Es sólido, confiable y comparado con Arch y Gentoo, relativamente fácil de entender para los recién llegados. Ubuntu es construido sobre ella Debian vs Ubuntu: ¿Hasta dónde ha llegado Ubuntu en 10 años?¡Ubuntu ahora tiene 10 años! El rey de las distribuciones de Linux ha recorrido un largo camino desde su creación en 2004, así que veamos cómo se ha desarrollado de manera diferente a Debian, la distribución en ... Lee mas , y a menudo se usa para alimentar la Raspberry Pi Cómo instalar un sistema operativo en una Raspberry PiAquí le mostramos cómo instalar un sistema operativo en su Raspberry Pi y cómo clonar su configuración perfecta para una recuperación rápida ante desastres. Lee mas .
También se alega que está al alcance del aparato de inteligencia de Estados Unidos, según el fundador de Wikileaks, Julian Assange.
¿O es eso?
Hablando en la conferencia de los Días de Alojamiento Mundial de 2014, Julian Assange describió cómo ciertos estados nacionales (sin nombrar nombres,
tos America tos) han hecho que ciertas distribuciones de Linux sean inseguras intencionalmente para ponerlas bajo el control de su red de vigilancia. Puede ver la cotización completa después de la marca de 20 minutos aquí:Pero, ¿tiene razón Assange?
Una mirada a Debian y la seguridad
En la charla de Assange, él menciona cómo innumerables distribuciones han sido saboteadas intencionalmente. Pero él menciona a Debian por nombre, así que podríamos centrarnos en eso.
En los últimos 10 años, se han identificado varias vulnerabilidades en Debian. Algunos de estos han sido severos, vulnerabilidades de estilo de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] Lee mas que afectó al sistema en general. Otros han afectado su capacidad de comunicarse de forma segura con sistemas remotos.
La única vulnerabilidad que Assange menciona explícitamente es un error en el generador de números aleatorios OpenSSL de Debian que fue descubierto en 2008.
Números aleatorios (o, al menos, pseudoaleatorio; es extremadamente difícil obtener una verdadera aleatoriedad en una computadora) son una parte esencial del cifrado RSA. Cuando un generador de números aleatorios se vuelve predecible, la eficacia del cifrado se desploma y es posible descifrar el tráfico.
Es cierto que en el pasado, la NSA ha debilitado intencionalmente la fuerza del cifrado de grado comercial al reducir la entropía de los números generados aleatoriamente. Eso fue un hace mucho tiempo, cuando el gobierno de EE. UU. consideró sospechoso el cifrado seguro, e incluso estaba sujeto a la legislación sobre exportación de armas. Simon Singh's El libro de códigos describe esta era bastante bien, centrándose en los primeros días de la Pretty Good Privacy de Philip Zimmerman, y la batalla legal que libró con el gobierno de los Estados Unidos.
Pero eso fue hace mucho tiempo, y parece que el error de 2008 fue menos un resultado de la malicia, sino una incompetencia tecnológica sorprendente.
Se eliminaron dos líneas de código del paquete OpenSSL de Debian porque estaban produciendo mensajes de advertencia en las herramientas de compilación Valgrind y Purify. Se eliminaron las líneas y desaparecieron las advertencias. Pero la integridad de la implementación de OpenSSL de Debian fue fundamentalmente lisiado.
Como Navaja de Hanlon dicta, nunca atribuya a la malicia lo que puede explicarse tan fácilmente como la incompetencia. Por cierto, este error en particular fue satirizado por web comic XKCD.
Escribiendo sobre el tema, el IgnoranteGuru Blog también especula el reciente error de Heartbleed (que nosotros cubierto el año pasado Heartbleed: ¿qué puede hacer para mantenerse a salvo? Lee mas ) también podría haber sido un producto de los servicios de seguridad intencionalmente tratando de socavar la criptografía en Linux.
Heartbleed era una vulnerabilidad de seguridad en la biblioteca OpenSSL que podría ver a un usuario malicioso robar información protegido por SSL / TLS, leyendo la memoria de los servidores vulnerables y obteniendo las claves secretas utilizadas para cifrar el tráfico. En ese momento, amenazaba la integridad de nuestros sistemas de banca y comercio en línea. Cientos de miles de sistemas eran vulnerables y afectaba a casi todas las distribuciones de Linux y BSD.
No estoy seguro de qué tan probable es que los servicios de seguridad estuvieran detrás.
Escribir un algoritmo de cifrado sólido es extremadamente difícil. Implementarlo es igualmente difícil. Es inevitable que eventualmente se descubra una vulnerabilidad o falla (ellos a menudo están en OpenSSL Error masivo en OpenSSL pone en riesgo gran parte de InternetSi eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco. Lee mas ) que es tan grave, se debe crear un nuevo algoritmo o reescribir una implementación.
Es por eso que los algoritmos de cifrado han tomado un camino evolutivo, y se crean otros nuevos cuando se descubren deficiencias en orden.
Alegaciones anteriores de interferencia gubernamental en código abierto
Por supuesto, no es extraño que los gobiernos se interesen en proyectos de código abierto. Tampoco es extraño que los gobiernos sean acusados de influir tangiblemente en la dirección o Funcionalidad de un proyecto de software, ya sea a través de la coerción, la infiltración o el apoyo financialmente.
Yasha Levine Es uno de los periodistas de investigación que más admiro. Ahora está escribiendo para Pando.com, pero antes de eso se cortó los dientes escribiendo para el legendario Moscovita quincenal, El exilio que fue cerrado en 2008 por el gobierno de Putin. En su vida útil de once años, se hizo conocido por su contenido grosero e indignante, tanto como lo hizo por Levine (y cofundador Mark Ames, que también escriben para Pando.com) informes feroces de investigación.
Este talento para el periodismo de investigación lo ha seguido hasta Pando.com. Durante el último año, Levine ha publicado una serie de artículos que destacan los lazos entre el Proyecto Tor y lo que él llama el complejo de vigilancia militar de los Estados Unidos, pero es realmente el Oficina de Investigación Naval (ONR) y el Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA).
Tor (o, el enrutador de cebolla) Navegación realmente privada: una guía de usuario no oficial para TorTor proporciona navegación y mensajes verdaderamente anónimos e imposibles de rastrear, así como acceso a la llamada "Deep Web". Tor no puede ser roto por ninguna organización en el planeta. Lee mas , para aquellos que no están al día, es una pieza de software que anonimiza el tráfico al rebotarlo a través de múltiples puntos finales cifrados. La ventaja de esto es que puede usar Internet sin revelar su identidad o estar sujeto a la censura local, lo cual es útil si vive en un régimen represivo, como China, Cuba o Eritrea. Una de las formas más fáciles de obtenerlo es con el navegador Tor basado en Firefox, que Hablé hace unos meses Cómo navegar por Facebook sobre Tor en 5 pasos¿Quieres estar seguro cuando usas Facebook? ¡La red social ha lanzado una dirección .onion! Aquí se explica cómo usar Facebook en Tor. Lee mas .
Por cierto, el medio en el que te encuentras leyendo este artículo es en sí mismo un producto de la inversión de DARPA. Sin ARPANET, no habría internet.
Para resumir los puntos de Levine: dado que TOR obtiene la mayoría de sus fondos del gobierno de los EE. UU., Por lo tanto, está inexorablemente vinculado a ellos y ya no puede operar de forma independiente. También hay una serie de contribuyentes TOR que han trabajado previamente con el gobierno de los EE. UU. De una forma u otra.
Para leer los puntos de Levine en su totalidad, lea "Casi todos los involucrados en el desarrollo de Tor fueron (o están) financiados por el gobierno de los Estados Unidos", publicado el 16 de julio de 2014.
Entonces lee esta refutación, por Micah Lee, quien escribe para The Intercept. Para resumir los contraargumentos: el DOD es tan dependiente de TOR para proteger a sus operativos, el proyecto TOR siempre ha sido abierto sobre de dónde provienen sus finanzas.
Levine es un gran periodista, uno por el que tengo mucha admiración y respeto. Pero a veces me preocupa que caiga en la trampa de pensar que los gobiernos, cualquier gobierno, son entidades monolíticas. No lo son Más bien, es una máquina compleja con diferentes engranajes independientes, cada uno con sus propios intereses y motivaciones, que trabaja de forma autónoma.
Sus totalmente plausible que un departamento del gobierno estaría dispuesto a invertir en una herramienta para emancipar, mientras que otro se involucraría en un comportamiento anti-libertad y anti-privacidad.
Y tal como lo demostró Julian Assange, es notablemente simple suponer que hay una conspiración, cuando la explicación lógica es mucho más inocente.
Los teóricos de la conspiración son aquellos que reclaman encubrimientos cada vez que existen datos insuficientes para respaldar lo que están seguros es cierto.
- Neil deGrasse Tyson (@neiltyson) 7 de abril de 2011
¿Hemos llegado a Peak WikiLeaks?
¿Soy solo yo o pasaron los mejores días de WikiLeaks?
No hace mucho tiempo que Assange estaba hablando en eventos de TED en Oxford y conferencias de hackers en Nueva York. La marca WikiLeaks era fuerte y estaban descubriendo cosas realmente importantes, como el lavado de dinero en el sistema bancario suizo y la corrupción desenfrenada en Kenia.
Ahora, WikiLeaks ha sido eclipsado por el personaje de Assange, un hombre que vive en un autoimpuesto exiliado en la embajada ecuatoriana de Londres, habiendo huido de algunas acusaciones criminales bastante severas en Suecia.
Assange mismo aparentemente no ha podido superar su notoriedad anterior, y ahora se ha dedicado a hacer declaraciones extravagantes a cualquiera que escuche. Es casi triste Especialmente cuando consideras que WikiLeaks ha hecho un trabajo bastante importante que desde entonces ha sido desbaratado por el espectáculo secundario de Julian Assange.
Pero lo que sea que pienses de Assange, hay una cosa que es casi segura. No hay absolutamente ninguna evidencia de que EE. UU. Se haya infiltrado en Debian. O cualquier otra distribución de Linux, para el caso.
Créditos fotográficos: 424 (XKCD), Código (Michael Himbeault)
Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Raramente se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puedes leer su blog en http://www.matthewhughes.co.uk y síguelo en twitter en @matthewhughes.