Debian är en av de mest populära Linux-distributionerna. Den är solid, pålitlig och jämfört med Arch och Gentoo, relativt lätt för nykomlingar att förstå. Ubuntu är byggt på det, och det används ofta för att driva Raspberry Pi.
Det påstås också vara i USA:s underrättelseapparats grepp, enligt Wikileaks grundare Julian Assange.
Eller är det?
På 2014 års World Hosting Days-konferens beskrev Julian Assange hur vissa nationalstater (utan namn, hosta Amerika hosta) har avsiktligt gjort vissa Linux-distributioner osäkra, för att få dem under kontroll av deras övervakningsdragnät. Du kan se hela citatet efter 20 minuter här:
Men har Assange rätt?
En titt på Debian och säkerhet
I Assanges tal nämner han hur otaliga distributioner avsiktligt har saboterats. Men han nämner Debian vid namn, så vi kan lika gärna fokusera på det.
Under de senaste 10 åren har ett antal sårbarheter identifierats i Debian. Några av dessa har varit allvarliga sårbarheter i nolldagsstil som påverkat systemet i allmänhet. Andra har påverkat dess förmåga att säkert kommunicera med fjärrsystem.
Den enda sårbarheten Assange uttryckligen nämner är en bugg i Debians OpenSSL slumptalsgenerator som upptäcktes 2008.
Slumpmässiga siffror (eller, åtminstone pseudoslumpmässiga; det är extremt svårt att få sann slumpmässighet på en dator) är en viktig del av RSA-kryptering. När en slumptalsgenerator blir förutsägbar, sjunker effektiviteten av krypteringen, och det blir möjligt att dekryptera trafiken.
Visserligen har NSA tidigare avsiktligt försvagat styrkan hos kryptering av kommersiell kvalitet genom att minska entropin hos de slumpmässigt genererade siffrorna. Det var en för länge sedan, när stark kryptering betraktades med misstänksamhet av den amerikanska regeringen och till och med var föremål för vapenexportlagstiftning. Simon Singhs The Code Book beskriver denna era ganska bra, med fokus på de första dagarna av Philip Zimmermans Pretty Good Privacy, och den rättsliga strid han utkämpade med den amerikanska regeringen.
Men det var länge sedan, och det verkar som om 2008 års bugg var mindre ett resultat av illvilja, utan snarare en fantastisk teknisk inkompetens.
Två rader kod togs bort från Debians OpenSSL-paket eftersom de producerade varningsmeddelanden i byggverktygen Valgrind och Purify. Linjerna togs bort och varningarna försvann. Men integriteten för Debians implementering av OpenSSL var i grunden förlamad.
Som Hanlons Razor dikterar, tillskriv aldrig illvilja vad som lika lätt kan förklaras som inkompetens. Denna speciella bugg satiriserades för övrigt av webbserien XKCD.
När man skriver om ämnet spekulerar IgnorantGuru-bloggen också att den senaste Heartbleed-buggen (som vi täckte förra året) också kan ha varit en produkt av säkerhetstjänsterna avsiktligt försöker undergräva kryptografi på Linux.
Heartbleed var en säkerhetsrisk i OpenSSL-biblioteket som potentiellt kunde se en skadlig användare stjäla information skyddad av SSL/TLS, genom att läsa minnet på de sårbara servrarna och skaffa de hemliga nycklarna som används för att kryptera trafik. På den tiden hotade det integriteten hos våra onlinebanker och handelssystem. Hundratusentals system var sårbara, och det påverkade nästan varje Linux- och BSD-distro.
Jag är inte säker på hur troligt det är att säkerhetstjänsten låg bakom.
Att skriva en solid krypteringsalgoritm är extremt svårt. Att implementera det är lika svårt. Det är oundvikligt att så småningom en sårbarhet eller brist kommer att upptäckas (de är ofta i OpenSSL) som är så allvarlig att en ny algoritm måste skapas eller en implementering skrivas om.
Det är därför krypteringsalgoritmer har tagit en evolutionär väg, och nya byggs när brister upptäcks i ordning.
Tidigare anklagelser om statlig inblandning i öppen källkod
Naturligtvis är det inte ovanligt att regeringar intresserar sig för projekt med öppen källkod. Det är inte heller ovanligt att regeringar anklagas för att påtagligt påverka ett programvaruprojekts riktning eller funktion, antingen genom tvång, infiltration eller genom att stödja det ekonomiskt.
Yasha Levine är en av de undersökande journalister jag beundrar mest. Han skriver nu för Pando.com, men innan dess skar han tänderna för att skriva för den legendariska varannan vecka tidningen The Exile, som lades ner 2008 av Putins regering. Under sin elva år långa livslängd blev den känd för sitt grova, upprörande innehåll, lika mycket som det gjorde för Levines (och medgrundare Mark Ames, som också skriver för Pando.com) hårda undersökande rapportering.
Denna känsla för undersökande journalistik har följt honom till Pando.com. Under det senaste året eller så har Levine publicerat ett antal artiklar som belyser banden mellan Tor-projektet och vad han kallar det amerikanska militärövervakningskomplexet, men är egentligen Office of Naval Research (ONR) och Defense Advanced Research Projects Agency (DARPA).
Tor (eller, The Onion Router), för de som inte riktigt är på farten, är en mjukvara som anonymiserar trafik genom att studsa den genom flera krypterade slutpunkter. Fördelen med detta är att du kan använda Internet utan att avslöja din identitet eller vara föremål för lokal censur, vilket är praktiskt om du lever i en repressiv regim, som Kina, Kuba eller Eritrea. Ett av de enklaste sätten att få det är med den Firefox-baserade Tor Browser, som jag pratade om för några månader sedan.
För övrigt är mediet där du kommer att hitta dig själv att läsa den här artikeln i sig en produkt av DARPA-investeringar. Utan ARPANET skulle det inte finnas något internet.
För att sammanfatta Levines poäng: eftersom TOR får majoriteten av sin finansiering från den amerikanska regeringen, är den därför obönhörligt kopplad till dem och kan inte längre verka självständigt. Det finns också ett antal TOR-bidragsgivare som tidigare har arbetat med den amerikanska regeringen i någon eller annan form.
För att läsa Levines poäng i sin helhet, läs om “Nästan alla som är inblandade i att utveckla Tor var (eller är) finansierade av den amerikanska regeringen”, publicerad den 16 juli 2014.
Läs sedan detta motbevis, av Micah Lee, som skriver för The Intercept. För att sammanfatta motargumenten: DOD är lika beroende av TOR för att skydda sina operatörer, TOR-projektet har alltid varit öppet om var deras ekonomi har kommit ifrån.
Levine är en fantastisk journalist, en jag råkar ha mycket beundran och respekt för. Men jag oroar mig ibland för att han hamnar i fällan att tro att regeringar – vilken regering som helst – är monolitiska enheter. Det är de inte. Det är snarare en komplex maskin med olika oberoende kuggar, var och en med sina egna intressen och motiv, som arbetar självständigt.
Dess helt rimligt att en avdelning av regeringen skulle vara villig att investera i ett verktyg för att frigöra, medan en annan skulle engagera sig i beteende som är anti-frihet och anti-privatliv.
Och precis som Julian Assange har visat, är det anmärkningsvärt enkelt att anta att det finns en konspiration, när den logiska förklaringen är mycket mer oskyldig.
Har vi nått toppen av WikiLeaks?
Är det bara jag, eller har WikiLeaks bästa dagar passerat?
Det var inte länge sedan Assange talade vid TED-evenemang i Oxford och hackerkonferenser i New York. WikiLeaks varumärke var starkt och de avslöjade riktigt viktiga saker, som penningtvätt i det schweiziska banksystemet och skenande korruption i Kenya.
Nu har WikiLeaks hamnat i skuggan av karaktären Assange – en man som lever i en självpåtagen exil i Londons Ecuadorianska ambassad, efter att ha flytt från några ganska allvarliga brottsanklagelser i Sverige.
Assange själv har till synes inte kunnat toppa sin tidigare ryktbarhet och har nu börjat göra besynnerliga anspråk på alla som vill lyssna. Det är nästan sorgligt. Speciellt när man betänker att WikiLeaks har gjort ett ganska viktigt arbete som sedan dess har spårats ur av Julian Assanges sidoshow.
Men vad du än tycker om Assange så finns det en sak som är nästan säker. Det finns absolut inga bevis för att USA har infiltrerat Debian. Eller någon annan Linux-distro, för den delen.
Fotokrediter: 424 (XKCD), Kod (Michael Himbeault)
Om författaren
Matthew Hughes (383 artiklar publicerade)
Matthew Hughes är en mjukvaruutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och fullkomligt avgudar sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följa honom på twitter på @matthewhughes.
Mer från Matthew Hughes
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, free e-böcker och exklusiva erbjudanden!
Klicka här för att prenumerera
