Debian es una de las distribuciones de Linux más populares. Es sólido, confiable y comparado con Arch y Gentoo, relativamente fácil de entender para los recién llegados. Ubuntu se basa en Debian vs Ubuntu: ¿Hasta dónde ha llegado Ubuntu en 10 años? Debian vs Ubuntu: ¿Hasta dónde ha llegado Ubuntu en 10 años? ¡Ubuntu ahora tiene 10 años! El rey de las distribuciones de Linux ha recorrido un largo camino desde su creación en 2004, así que veamos cómo se ha desarrollado de forma diferente a Debian, la distribución en ... Leer más, y a menudo se utiliza para alimentar la Raspberry Pi. Cómo instalar una Raspberry Pi Sistema operativo para su Raspberry Pi Cómo instalar un sistema operativo para su Raspberry Pi A continuación, le mostramos cómo instalar y poner en funcionamiento un nuevo sistema operativo en su Pi, y cómo clonar su configuración perfecta para la recuperación rápida de desastres. Lee mas .
También se alega que está al alcance del aparato de inteligencia de Estados Unidos, según el fundador de Wikileaks, Julian Assange.
¿O es eso?
Hablando en la conferencia World Hosting Days de 2014, Julian Assange describió cómo ciertos estados-nación (sin nombrar nombres, tos tos Estados Unidos ) intencionalmente han hecho inseguras ciertas distribuciones de Linux, para ponerlas bajo el control de su red de vigilancia. Puede ver la cita completa después de la marca de 20 minutos aquí:
Pero es Assange cierto?
Una mirada a Debian y seguridad
En la charla de Assange, menciona cómo innumerables distribuciones han sido intencionalmente saboteadas. Pero él menciona a Debian por su nombre, por lo que deberíamos centrarnos en eso.
En los últimos 10 años, se han identificado varias vulnerabilidades en Debian. Algunos de estos han sido severos, vulnerabilidades de estilo de día cero. ¿Qué es una vulnerabilidad de día cero? [MakeUseOf Explains] ¿Qué es una vulnerabilidad de día cero? [MakeUseOf Explains] Read More que afectó al sistema en general. Otros han afectado su capacidad de comunicarse de forma segura con sistemas remotos.
La única vulnerabilidad que Assange menciona explícitamente es un error en el generador de números aleatorios OpenSSL de Debian que se descubrió en 2008.
Los números aleatorios (o, al menos, pseudoaleatorio, es extremadamente difícil obtener la aleatoriedad real en una computadora) son una parte esencial del cifrado RSA. Cuando un generador de números aleatorios se vuelve predecible, la eficacia del cifrado cae en picado, y es posible descifrar el tráfico.
Es cierto que, en el pasado, la NSA ha debilitado intencionalmente la fortaleza del cifrado de grado comercial al reducir la entropía de los números generados aleatoriamente. Eso fue hace mucho tiempo, cuando el gobierno de EE. UU. Consideraba que la encriptación fuerte era sospechosa e incluso estaba sujeta a la legislación de exportación de armas. El libro de códigos de Simon Singh describe esta época bastante bien, centrándose en los primeros días de Pretty Privacy, de Philip Zimmerman, y en la batalla legal que luchó contra el gobierno de EE. UU.
Pero eso fue hace mucho tiempo, y parece que el error de 2008 fue menos resultado de malicia, pero más bien incompetencia tecnológica.
Se eliminaron dos líneas de código del paquete OpenSSL de Debian porque estaban produciendo mensajes de advertencia en las herramientas de compilación de Valgrind y Purify. Las líneas fueron eliminadas y las advertencias desaparecieron. Pero la integridad de la implementación de Debian de OpenSSL fue fundamentalmente paralizada .
Como dictamina Razor de Hanlon, nunca atribuyan a la malicia lo que puede explicarse tan fácilmente como la incompetencia. Por cierto, este error en particular fue satirizado por el cómic web XKCD.
Al escribir sobre el tema, el blog IgnorantGuru también especula que el reciente error Heartbleed (que cubrimos el año pasado Heartbleed - ¿Qué puedes hacer para mantenerte a salvo? Heartbleed - ¿Qué puedes hacer para mantenerte a salvo? Leer más) también podría haber sido un producto de los servicios de seguridad intentan intencionalmente socavar la criptografía en Linux.
Heartbleed era una vulnerabilidad de seguridad en la biblioteca OpenSSL que potencialmente podría ver a un usuario malintencionado robar información protegida por SSL / TLS, leyendo la memoria de los servidores vulnerables y obteniendo las claves secretas utilizadas para cifrar el tráfico. En ese momento, amenazaba la integridad de nuestros sistemas de banca y comercio en línea. Cientos de miles de sistemas eran vulnerables y afectaban a casi todas las distribuciones de Linux y BSD.
No estoy seguro de qué tan probable sea que los servicios de seguridad estuvieron detrás de esto.
Escribir un algoritmo de cifrado sólido es extremadamente difícil . Implementarlo es igualmente difícil. Es inevitable que con el tiempo se descubra una vulnerabilidad o falla (a menudo están en OpenSSL. Error masivo en OpenSSL pone mucho de Internet en riesgo Un error masivo en OpenSSL pone en riesgo gran parte de Internet si eres una de esas personas que siempre creyeron que la criptografía de código abierto es la manera más segura de comunicarse en línea, te sorprende un poco. Esto es tan grave, se debe crear un algoritmo nuevo o reescribir una implementación.
Es por eso que los algoritmos de encriptación han tomado un camino evolutivo, y los nuevos se crean cuando las deficiencias se descubren en orden.
Alegaciones previas de interferencia gubernamental en código abierto
Por supuesto, no es extraño que los gobiernos se interesen por los proyectos de código abierto. Tampoco es extraño que los gobiernos sean acusados de influir de manera tangible en la dirección o la funcionalidad de un proyecto de software, ya sea mediante la coacción, la infiltración o el apoyo financiero.
Yasha Levine es uno de los periodistas de investigación que más admiro. Ahora está escribiendo para Pando.com, pero antes de eso se mordió los dientes escribiendo para el legendario moscovita quincenal, The Exile, que fue cerrado en 2008 por el gobierno de Putin. En su vida útil de once años, se hizo conocida por su contenido tosco e indignante, tanto como lo hizo por el informe de investigación feroz de Levine (y cofundador Mark Ames, que también escribe para Pando.com).
Este talento para el periodismo de investigación lo ha seguido a Pando.com. Durante el último año, Levine ha publicado varias piezas que destacan los vínculos entre el Proyecto Tor y lo que él llama el complejo de vigilancia militar de los EE. UU., Pero en realidad es la Oficina de Investigación Naval (ONR) y los Proyectos de Investigación Avanzada de Defensa. Agencia (DARPA).
Tor (o The Onion Router) Navegación realmente privada: una guía de usuario no oficial para Tor Navegación realmente privada: una guía de usuario no oficial de Tor Tor proporciona navegación y mensajes verdaderamente anónimos e imposibles de rastrear, así como acceso a la llamada "Web profunda" . Tor no puede ser roto plausiblemente por ninguna organización en el planeta. Leer más, para aquellos que no son lo suficientemente veloces, es una pieza de software que anonimiza el tráfico al rebotarlo a través de múltiples puntos finales encriptados. La ventaja de esto es que puedes usar Internet sin revelar tu identidad o estar sujeto a la censura local, lo cual es útil si vives en un régimen represivo, como China, Cuba o Eritrea. Una de las maneras más fáciles de obtenerlo es con el navegador Tor Browser, del que ya he hablado hace unos meses. ¿Cómo se puede navegar en Facebook de forma oficial? ¿Cómo se puede navegar en Facebook de forma oficial? Notablemente, Facebook ha lanzado una dirección .onion para que los usuarios de Tor accedan a la popular red social. Le mostramos cómo acceder a él en el navegador Tor. Lee mas .
Por cierto, el medio en el que te encuentras leyendo este artículo es en sí mismo un producto de la inversión de DARPA. Sin ARPANET, no habría Internet.
Para resumir los puntos de Levine: dado que TOR obtiene la mayoría de sus fondos del gobierno de EE. UU., Está inexorablemente vinculado a ellos y ya no puede operar de manera independiente. También hay un número de contribuyentes TOR que previamente han trabajado con el gobierno de los Estados Unidos de una forma u otra.
Para leer los puntos de Levine en su totalidad, lea "Casi todos los que participaron en el desarrollo de Tor fueron (o están) financiados por el gobierno de EE. UU.", Publicado el 16 de julio de 2014.
Luego lea esta refutación, por Micah Lee, quien escribe para The Intercept. Para resumir los contraargumentos: el Departamento de Defensa también depende de TOR para proteger a sus operativos, el proyecto TOR siempre ha estado abierto sobre el origen de sus finanzas.
Levine es un gran periodista, uno por el que tengo mucha admiración y respeto. Pero a veces me preocupa que caiga en la trampa de pensar que los gobiernos, cualquier gobierno, son entidades monolíticas. Ellos no son Más bien, es una máquina compleja con diferentes engranajes independientes, cada uno con sus propios intereses y motivaciones, trabajando de manera autónoma.
Es totalmente plausible que un departamento del gobierno estaría dispuesto a invertir en una herramienta para emanciparse, mientras que otro se involucraría en un comportamiento anti-libertad y anti-privacidad.
Y al igual que Julian Assange ha demostrado, es notablemente simple suponer que hay una conspiración, cuando la explicación lógica es mucho más inocente.
Los teóricos de la conspiración son aquellos que afirman encubrimiento siempre que no existen datos suficientes para respaldar lo que están seguros de que es cierto.
- Neil deGrasse Tyson (@neiltyson) 7 de abril de 2011
¿Hemos llegado a Peak WikiLeaks?
¿Soy solo yo o pasaron los mejores días de WikiLeaks?
No hace mucho tiempo que Assange estaba hablando en eventos de TED en Oxford y conferencias de hackers en Nueva York. La marca WikiLeaks era fuerte, y estaban descubriendo cosas realmente importantes, como el lavado de dinero en el sistema bancario suizo, y la corrupción desenfrenada en Kenia.
Ahora, WikiLeaks ha sido eclipsado por el personaje de Assange, un hombre que vive en un exilio autoimpuesto en la embajada ecuatoriana de Londres, habiendo huido de algunas acusaciones criminales bastante severas en Suecia.
El propio Assange parece haber sido incapaz de superar su notoriedad anterior, y ahora se ha dedicado a hacer afirmaciones extravagantes a cualquiera que quiera escuchar. Es casi triste. Especialmente cuando se considera que WikiLeaks ha realizado un trabajo bastante importante que desde entonces se ha visto frustrado por el espectáculo secundario Julian Assange.
Pero piense lo que piense de Assange, hay una cosa que es casi segura. No hay absolutamente ninguna evidencia de que los EE. UU. Se hayan infiltrado en Debian. O cualquier otra distribución de Linux, para el caso.
Créditos de las fotos: 424 (XKCD), Código (Michael Himbeault)