รัฐบาลสหรัฐฯ ได้แทรกซึมโครงการเดเบียนหรือไม่ (ไม่)

แต่ Assange ใช่ไหม

ดูเดเบียนและความปลอดภัย

ในการบรรยายของ Assange เขากล่าวว่าการแจกแจงจำนวนนับไม่ถ้วนได้เกิดขึ้นโดยเจตนาก่อวินาศกรรม แต่เขาพูดถึง Debian ตามชื่อ ดังนั้นเราจึงควรมุ่งความสนใจไปที่สิ่งนั้นด้วย

ในช่วง 10 ปีที่ผ่านมา มีการระบุช่องโหว่จำนวนหนึ่งใน Debian สิ่งเหล่านี้บางส่วนเป็นช่องโหว่รูปแบบซีโร่เดย์ที่ร้ายแรง ซึ่งส่งผลกระทบต่อระบบโดยทั่วไป คนอื่นได้รับผลกระทบจากความสามารถในการสื่อสารกับระบบระยะไกลได้อย่างปลอดภัย

ช่องโหว่เดียวที่ Assange กล่าวถึงอย่างชัดเจนคือจุดบกพร่องในตัวสร้างตัวเลขสุ่ม OpenSSL ของ Debian ที่ถูกค้นพบในปี 2008

ตัวเลขสุ่ม (หรืออย่างน้อยก็สุ่มปลอม เป็นการยากมากที่จะสุ่มบนคอมพิวเตอร์) เป็นส่วนสำคัญของการเข้ารหัส RSA เมื่อตัวสร้างตัวเลขสุ่มคาดเดาได้ ประสิทธิภาพของการเข้ารหัสจะลดลง และเป็นไปได้ที่จะถอดรหัสการรับส่งข้อมูล

ในอดีต NSA ได้ตั้งใจทำให้ความแข็งแกร่งของการเข้ารหัสระดับการค้าลดลงโดยเจตนาโดยการลดเอนโทรปีของตัวเลขที่สร้างแบบสุ่ม นั่นมันนานมาแล้ว เมื่อรัฐบาลสหรัฐฯ มองว่าการเข้ารหัสที่รัดกุมอย่างเข้มงวด และแม้กระทั่งอยู่ภายใต้กฎหมายการส่งออกอาวุธ The Code Book ของ Simon Singh อธิบายยุคนี้ได้ค่อนข้างดี โดยเน้นที่ช่วงแรกๆ ของ Pretty Good Privacy ของ Philip Zimmerman และการต่อสู้ทางกฎหมายแบบแหลมที่เขาต่อสู้กับรัฐบาลสหรัฐฯ

แต่นั่นก็นานมาแล้ว และดูเหมือนว่าบั๊กของปี 2008 นั้นไม่ได้เกิดจากความอาฆาตพยาบาท แต่เป็นการไร้ความสามารถทางเทคโนโลยีที่น่าทึ่งมาก

โค้ดสองบรรทัดถูกลบออกจากแพ็คเกจ OpenSSL ของ Debian เนื่องจากสร้างข้อความเตือนในเครื่องมือสร้าง Valgrind และ Purify เส้นถูกลบและคำเตือนหายไป แต่ความสมบูรณ์ของการนำ OpenSSL ของ Debian ไปใช้นั้น พิการโดยพื้นฐาน .

ตามที่มีดโกนของ Hanlon กำหนด อย่าถือว่าความอาฆาตพยาบาทสิ่งที่สามารถอธิบายได้ง่ายๆ เท่ากับการไร้ความสามารถ อนึ่ง จุดบกพร่องนี้ถูกล้อเลียนโดย XKCD เว็บการ์ตูน

การเขียนในหัวข้อนี้ บล็อกของ IgnorantGuru ยังคาดการณ์ว่าจุดบกพร่อง Heartbleed ล่าสุด (ที่เรากล่าวถึงเมื่อปีที่แล้ว) อาจเป็นผลิตภัณฑ์ของบริการรักษาความปลอดภัย โดยเจตนา พยายามบ่อนทำลายการเข้ารหัสบน Linux

Heartbleed เป็นช่องโหว่ด้านความปลอดภัยในไลบรารี OpenSSL ที่อาจเห็นผู้ใช้ที่เป็นอันตรายขโมยข้อมูลที่ได้รับการป้องกันโดย SSL/TLS โดยการอ่านหน่วยความจำของเซิร์ฟเวอร์ที่มีช่องโหว่ และรับคีย์ลับที่ใช้ในการเข้ารหัสการรับส่งข้อมูล ในขณะนั้นคุกคามความสมบูรณ์ของระบบธนาคารและการค้าออนไลน์ของเรา ระบบหลายแสนระบบมีความเสี่ยง และส่งผลกระทบต่อ distro Linux และ BSD เกือบทุกตัว

ฉันไม่แน่ใจว่าบริการรักษาความปลอดภัยอยู่เบื้องหลังเป็นไปได้มากน้อยเพียงใด

การเขียนอัลกอริธึมการเข้ารหัสที่มั่นคง ยากมาก . การดำเนินการก็ยากเช่นเดียวกัน ย่อมหลีกเลี่ยงไม่ได้ที่จะพบช่องโหว่หรือข้อบกพร่องในที่สุด (โดยมากมักอยู่ใน OpenSSL) ที่รุนแรงมาก ต้องสร้างอัลกอริทึมใหม่หรือเขียนการใช้งานใหม่

นั่นเป็นสาเหตุที่อัลกอริธึมการเข้ารหัสใช้เส้นทางวิวัฒนาการ และอัลกอริธึมใหม่ถูกสร้างขึ้นเมื่อมีการค้นพบข้อบกพร่องตามลำดับ

ข้อกล่าวหาก่อนหน้านี้เกี่ยวกับการแทรกแซงของรัฐบาลในโอเพ่นซอร์ส

แน่นอน ไม่ใช่เรื่องแปลกที่รัฐบาลจะให้ความสนใจในโครงการโอเพ่นซอร์ส ไม่ใช่เรื่องแปลกที่รัฐบาลจะถูกกล่าวหาว่ามีอิทธิพลต่อทิศทางหรือการทำงานของโครงการซอฟต์แวร์อย่างเป็นรูปธรรม ไม่ว่าจะผ่านการบีบบังคับ การแทรกซึม หรือโดยการสนับสนุนทางการเงิน

Yasha Levine เป็นหนึ่งในนักข่าวสายสืบสวนที่ฉันชื่นชมมากที่สุด ตอนนี้เขากำลังเขียนบทความให้กับ Pando.com แต่ก่อนหน้านั้นเขาเลิกเขียนหนังสือให้กับ Muscovite ในตำนานทุกสองสัปดาห์ The Exile ซึ่งปิดตัวลงในปี 2008 โดยรัฐบาลของปูติน ในช่วงอายุ 11 ปี เนื้อหาดังกล่าวกลายเป็นที่รู้จักจากเนื้อหาที่หยาบและรุนแรง มากพอๆ กับที่เคยทำกับ Mark Ames ผู้ร่วมก่อตั้ง (และผู้ร่วมก่อตั้ง Mark Ames ผู้ซึ่งเขียนให้กับ Pando.com ด้วย) ด้วยการรายงานเชิงสืบสวนที่ดุเดือด

ความมีไหวพริบในการเขียนข่าวเชิงสืบสวนติดตามเขาไปที่ Pando.com ในช่วงปีที่ผ่านมา Levine ได้ตีพิมพ์ผลงานหลายชิ้นที่เน้นถึงความสัมพันธ์ระหว่างโครงการ Tor กับสิ่งที่เขาเรียกว่าศูนย์เฝ้าระวังทางทหารของสหรัฐฯ แต่จริงๆ แล้วเป็นสำนักงานวิจัยกองทัพเรือ (ONR) และโครงการวิจัยขั้นสูงด้านกลาโหม หน่วยงาน (DARPA)

Tor (หรือ The Onion Router) สำหรับผู้ที่ไม่ค่อยมีความเร็ว เป็นซอฟต์แวร์ชิ้นหนึ่งที่ทำให้การรับส่งข้อมูลไม่ระบุชื่อโดยการตีกลับผ่านจุดปลายที่เข้ารหัสหลายจุด ข้อดีของสิ่งนี้คือ คุณสามารถใช้อินเทอร์เน็ตได้โดยไม่ต้องเปิดเผยตัวตนของคุณหรือถูกเซ็นเซอร์ในท้องที่ ซึ่งสะดวกมากหากคุณอาศัยอยู่ในระบอบการปกครองแบบกดขี่ เช่น จีน คิวบา หรือเอริเทรีย วิธีที่ง่ายที่สุดวิธีหนึ่งคือใช้ Tor Browser ที่ใช้ Firefox ซึ่งฉันพูดไปเมื่อไม่กี่เดือนก่อน

อนึ่ง สื่อที่คุณพบว่าตัวเองกำลังอ่านบทความนี้เป็นผลิตภัณฑ์ของการลงทุน DARPA ถ้าไม่มี ARPANET ก็ไม่มีอินเทอร์เน็ต

เพื่อสรุปประเด็นของ Levine:เนื่องจาก TOR ได้รับเงินทุนส่วนใหญ่จากรัฐบาลสหรัฐฯ จึงเชื่อมโยงกับพวกเขาอย่างไม่ลดละ และไม่สามารถดำเนินการได้อย่างอิสระอีกต่อไป นอกจากนี้ยังมีผู้มีส่วนร่วม TOR จำนวนหนึ่งที่เคยทำงานร่วมกับรัฐบาลสหรัฐฯ ในรูปแบบใดรูปแบบหนึ่งมาก่อน

หากต้องการอ่านประเด็นทั้งหมดของ Levine โปรดอ่าน "เกือบทุกคนที่เกี่ยวข้องในการพัฒนา Tor ได้รับ (หรือเป็น) ได้รับทุนจากรัฐบาลสหรัฐฯ" ซึ่งเผยแพร่เมื่อวันที่ 16 กรกฎาคม 2014

จากนั้นอ่านข้อโต้แย้งนี้โดย Micah Lee ผู้เขียนเรื่อง The Intercept เพื่อสรุปข้อโต้แย้ง:DOD นั้นขึ้นอยู่กับ TOR เพื่อปกป้องผู้ปฏิบัติงานเช่นเดียวกัน โครงการ TOR เปิดเผยเสมอว่าการเงินของพวกเขามาจากไหน

เลวีนเป็นนักข่าวที่ยอดเยี่ยม คนหนึ่งที่ฉันได้รับความชื่นชมและเคารพอย่างมาก แต่บางครั้งฉันก็กังวลว่าเขาตกหลุมพรางของความคิดที่ว่ารัฐบาล ไม่ว่ารัฐบาลใดๆ จะเป็นหน่วยงานขนาดใหญ่ พวกเขาไม่ได้ แต่เป็นเครื่องจักรที่ซับซ้อนซึ่งมีฟันเฟืองที่เป็นอิสระต่างกัน โดยแต่ละอันมีความสนใจและแรงจูงใจในตัวเอง ซึ่งทำงานอย่างอิสระ

เป็นไปได้อย่างยิ่ง ฝ่ายหนึ่งของรัฐบาลเต็มใจที่จะลงทุนในเครื่องมือเพื่อปลดปล่อย ในขณะที่อีกหน่วยงานหนึ่งจะมีส่วนร่วมในพฤติกรรมที่ต่อต้านเสรีภาพและต่อต้านความเป็นส่วนตัว

และดังที่ Julian Assange แสดงให้เห็น การสันนิษฐานว่ามีการสมรู้ร่วมคิดเป็นเรื่องง่ายอย่างน่าทึ่ง เมื่อคำอธิบายเชิงตรรกะนั้นไร้เดียงสากว่ามาก

เราไปถึงจุดสูงสุดของ WikiLeaks แล้วหรือยัง

มันเป็นแค่ฉันหรือวันที่ดีที่สุดของ WikiLeaks ผ่านไปแล้ว?

ไม่นานมานี้ อัสซานจ์กำลังพูดที่งาน TED ในอ็อกซ์ฟอร์ด และการประชุมแฮ็กเกอร์ในนิวยอร์ก แบรนด์ WikiLeaks นั้นแข็งแกร่ง และพวกเขากำลังค้นพบสิ่งที่สำคัญจริงๆ เช่น การฟอกเงินในระบบธนาคารของสวิส และการคอร์รัปชั่นที่ลุกลามในเคนยา

ตอนนี้ WikiLeaks ถูกบดบังด้วยอุปนิสัยของ Assange ชายผู้อาศัยอยู่ในสถานเอกอัครราชทูตเอกวาดอร์ในลอนดอนโดยพลัดถิ่น โดยหนีจากข้อกล่าวหาที่ร้ายแรงบางอย่างในสวีเดน

ดูเหมือนว่า Assange เองก็ไม่สามารถเอาชนะความอื้อฉาวก่อนหน้านี้ของเขาได้ และตอนนี้ก็ได้ใช้คำกล่าวอ้างที่แปลกประหลาดต่อใครก็ตามที่รับฟัง มันเกือบจะเศร้า โดยเฉพาะอย่างยิ่งเมื่อคุณพิจารณาว่า WikiLeaks ได้ทำงานที่สำคัญบางอย่างซึ่งถูกขัดขวางโดยการแสดงด้านข้างของ Julian Assange

แต่สิ่งที่คุณคิดเกี่ยวกับ Assange มีสิ่งหนึ่งที่เกือบจะแน่นอน ไม่มีหลักฐานแน่ชัดว่าสหรัฐฯ ได้แทรกซึม Debian หรือ Linux distro อื่น ๆ สำหรับเรื่องนั้น

เครดิตภาพ:424 (XKCD), Code (Michael Himbeault)