데비안은 가장 인기 있는 Linux 배포판 중 하나입니다. 견고하고 신뢰할 수 있으며 Arch 및 Gentoo에 비해 초보자가 비교적 쉽게 이해할 수 있습니다. Ubuntu는 이를 기반으로 하며 종종 Raspberry Pi에 전원을 공급하는 데 사용됩니다.
Wikileaks의 설립자 Julian Assange에 따르면 이 정보는 미국 정보 기관의 손아귀에 있다고 주장합니다.
아니면?
2014년 세계 호스팅의 날 컨퍼런스에서 Julian Assange는 특정 국가(이름 없음, 기침 미국 기침 )은 특정 Linux 배포판을 보안 감시망의 통제 하에 두도록 의도적으로 불안정하게 만들었습니다. 20분이 지나면 전체 견적을 볼 수 있습니다.
하지만 어산지가 맞나요?
데비안과 보안 살펴보기
Assange의 연설에서 그는 어떻게 수많은 배포가 의도적으로 방해를 받았는지 언급합니다. 하지만 그는 데비안을 이름으로 언급합니다. , 그래서 우리는 그것에 집중하는 것이 좋습니다.
지난 10년 동안 데비안에서 많은 취약점이 확인되었습니다. 이들 중 일부는 일반적으로 시스템에 영향을 미치는 심각한 제로데이 스타일의 취약점이었습니다. 다른 것들은 원격 시스템과 안전하게 통신하는 능력에 영향을 미쳤습니다.
Assange가 명시적으로 언급한 유일한 취약점은 2008년에 발견된 Debian의 OpenSSL 난수 생성기 버그입니다.
난수(또는 최소한 의사 난수, 컴퓨터에서 진정한 난수를 얻는 것은 극히 어렵습니다)는 RSA 암호화의 필수적인 부분입니다. 난수 생성기가 예측 가능해지면 암호화의 효율성이 떨어지고 트래픽을 해독할 수 있게 됩니다.
과거에 NSA는 무작위로 생성된 숫자의 엔트로피를 줄여 의도적으로 상용 등급 암호화의 강도를 약화시켰습니다. 오래 전이었습니다. , 강력한 암호화가 미국 정부의 의심을 받고 무기 수출법의 대상이 되었을 때. Simon Singh의 Code Book은 Philip Zimmerman의 Pretty Good Privacy 초기와 그가 미국 정부와 싸운 법적 투쟁에 초점을 맞춰 이 시대를 아주 잘 설명합니다.
그러나 그것은 오래전 일이고 2008년의 버그는 악의가 아니라 놀라운 기술 무능력의 결과인 것 같습니다.
Valgrind 및 Purify 빌드 도구에서 경고 메시지를 생성했기 때문에 두 줄의 코드가 Debian의 OpenSSL 패키지에서 제거되었습니다. 줄이 제거되고 경고가 사라졌습니다. 그러나 Debian의 OpenSSL 구현 무결성은 근본적으로 손상되었습니다. .
Hanlon's Razor가 지시하는 것처럼, 무능함만큼 쉽게 설명될 수 있는 것을 악의로 돌리지 마십시오. 덧붙여서, 이 특정 버그는 웹툰 XKCD에 의해 풍자되었습니다.
IgnorantGuru 블로그에서는 이 주제에 대해 글을 쓰고 있으며 작년에 다룬 최근 Heartbleed 버그도 의도적으로 보안 서비스의 산물일 수 있다고 추측합니다. Linux에서 암호화를 훼손하려고 합니다.
Heartbleed는 취약한 서버의 메모리를 읽고 트래픽 암호화에 사용되는 비밀 키를 획득하여 SSL/TLS로 보호되는 정보를 악의적인 사용자가 훔치는 것을 잠재적으로 볼 수 있는 OpenSSL 라이브러리의 보안 취약점이었습니다. 당시에는 온라인 뱅킹 및 상거래 시스템의 무결성을 위협했습니다. 수십만 개의 시스템이 취약했으며 거의 모든 Linux 및 BSD 배포판에 영향을 미쳤습니다.
그 배후에 보안 서비스가 있었을 가능성이 얼마나 되는지 잘 모르겠습니다.
견고한 암호화 알고리즘을 작성하는 것은 매우 어렵습니다. . 그것을 구현하는 것도 마찬가지로 어렵습니다. 결국에는 매우 심각한 취약점이나 결함이 발견되는 것이 불가피합니다(종종 OpenSSL에 있음). 새 알고리즘을 만들거나 구현을 다시 작성해야 합니다.
이것이 암호화 알고리즘이 진화하는 길을 택한 이유이며 결함이 순서대로 발견될 때 새로운 알고리즘이 구축되는 이유입니다.
오픈 소스에 대한 정부의 간섭에 대한 이전 주장
물론 정부가 오픈 소스 프로젝트에 관심을 갖는 것은 드문 일이 아닙니다. 또한 정부가 강제, 침투 또는 재정적 지원을 통해 소프트웨어 프로젝트의 방향이나 기능에 실질적인 영향을 미친다는 비난을 받는 것도 드문 일이 아닙니다.
Yasha Levine은 내가 가장 존경하는 탐사 저널리스트 중 한 명입니다. 그는 지금 Pando.com에 글을 쓰고 있지만 그 전에는 전설적인 Muscovite, 푸틴 정부에 의해 2008년에 폐쇄된 Exile에 격주로 글을 쓰는 것을 그만뒀습니다. 11년의 수명 동안 Levine(및 Pando.com에 글을 기고하는 공동 창립자 Mark Ames)의 치열한 조사 보고서와 마찬가지로 거칠고 터무니없는 콘텐츠로 유명해졌습니다.
탐사 저널리즘에 대한 이러한 감각은 그를 따라 Pando.com에 도달했습니다. 지난 1년 동안 Levine은 Tor 프로젝트와 그가 미국 군사 감시 단지라고 부르는 것 사이의 관계를 강조하는 여러 편의 기사를 발표했지만 실제로는 해군 연구실(ONR)과 국방 고급 연구 프로젝트입니다. 기관(DARPA).
Tor(또는 The Onion Router)는 속도가 빠르지 않은 사용자를 위해 암호화된 여러 엔드포인트를 통해 트래픽을 수신 거부하여 트래픽을 익명화하는 소프트웨어입니다. 이것의 장점은 당신이 중국, 쿠바, 에리트레아와 같은 억압적인 정권에 살고 있는 경우에 편리합니다. 그것을 얻는 가장 쉬운 방법 중 하나는 내가 몇 달 전에 이야기한 Firefox 기반 Tor 브라우저를 사용하는 것입니다.
덧붙여서 이 글을 읽게 된 매체 자체가 DARPA 투자의 산물입니다. ARPANET이 없었다면 인터넷도 없었을 것입니다.
Levine의 요점을 요약하자면:TOR는 대부분의 자금을 미국 정부로부터 받기 때문에 그들과 가차 없이 연결되어 더 이상 독립적으로 운영할 수 없습니다. 또한 이전에 어떤 형태로든 미국 정부와 협력한 많은 TOR 기여자가 있습니다.
Levine의 요점을 모두 읽으려면 2014년 7월 16일에 출판된 "Tor 개발에 관련된 거의 모든 사람이 미국 정부의 지원을 받았습니다(또는 지원을 받고 있습니다)"를 읽어보십시오.
그런 다음 Intercept를 위해 글을 쓰는 Micah Lee의 이 반박을 읽으십시오. 반론을 요약하자면, DOD는 요원을 보호하기 위해 TOR에 의존하는 것과 마찬가지로 TOR 프로젝트는 자금이 어디에서 왔는지에 대해 항상 열려 있었습니다.
Levine은 제가 존경하고 존경하는 훌륭한 저널리스트입니다. 그러나 나는 때때로 그가 정부, 즉 어떤 정부라도 단일체라는 생각의 함정에 빠지지 않을까 걱정합니다. 그들은 그렇지 않습니다. 오히려 각기 다른 독립적인 톱니가 있고 각자의 관심사와 동기가 있는 복잡한 기계가 자율적으로 작동합니다.
전혀 그럴듯합니다. 정부의 한 부서는 해방을 위한 도구에 기꺼이 투자하고 다른 부서는 반자유 및 사생활 보호에 반대하는 행동에 가담할 것입니다.
그리고 Julian Assange가 보여주듯, 논리적 설명이 훨씬 더 무고할 때 음모가 있다고 가정하는 것은 매우 간단합니다.
WikiLeaks 피크에 도달했습니까?
저만 그런가요, 아니면 WikiLeaks의 전성기가 지나갔나요?
Assang이 옥스포드에서 열린 TED 행사와 뉴욕에서 열린 해커 컨퍼런스에서 연설한 것은 그리 오래되지 않았습니다. WikiLeaks 브랜드는 강력했고 스위스 은행 시스템의 자금 세탁과 케냐의 만연한 부패와 같은 정말 중요한 정보를 폭로하고 있었습니다.
이제 WikiLeaks는 런던 에콰도르 대사관에서 스스로 망명 생활을 하고 스웨덴에서 꽤 심각한 범죄 혐의를 피해 도피한 어산지라는 캐릭터에 가려졌습니다.
어산지 자신은 이전의 악명을 능가할 수 없었던 것 같으며 이제 듣는 사람에게 이상한 주장을 하게 되었습니다. 거의 슬프다. 특히 WikiLeaks가 Julian Assange 사이드쇼로 인해 탈선한 꽤 중요한 작업을 수행했다는 점을 고려할 때
그러나 Assang에 대해 어떻게 생각하든 거의 확실한 한 가지가 있습니다. 미국이 데비안에 침투했다는 증거는 전혀 없습니다. 또는 다른 Linux 배포판도 마찬가지입니다.
사진 제공:424(XKCD), 코드(Michael Himbeault)