web-dev-qa-db-fra.com

Ubuntu contamine-t-il délibérément ses fichiers binaires pour aider la NSA?

Il y a une semaine, poser cette question à Microsoft ou autre m'aurait qualifié de paranoïaque, et poser cette question à propos d'Ubuntu aurait paru complètement stupide, à la limite de l'offensive.

Ensuite nous avons découvert qu'il y a eu un "programme américain de 250 millions de dollars par an qui travaille secrètement avec des entreprises de technologie pour insérer des faiblesses dans des produits".

C’est un génie (diabolique): si vous insérez des faiblesses secrètes dans des logiciels ou des services, par exemple, La génération de clé SSL, puis votre travail de vol pour voler des données est beaucoup plus facile. En fait, c’est la raison pour laquelle ces agences peuvent maintenant apparemment décrypter une bonne partie du trafic SSL à la volée.

Je me sentais bien, pensant que l'open source sauvait la journée: difficile d'introduire du code qui fait quelque chose de stupide lorsque tout le monde le regarde (beaucoup plus facile dans un monde de sources fermées). Bien que cela puisse encore arriver, par exemple Échec massif de la clé SSH de Debian en 2008 .

À l'époque, les gens de slashdot demandaient qui avait introduit le changement que personne n'avait remarqué et qui laissait le système d'exploitation ouvert.

Avec un budget de 250 millions de dollars, il semble que vous disposiez de plusieurs options pour payer quelqu'un qui tenterait de se faufiler inaperçue dans des vulnérabilités, que ce soit au grand jour ou, comme dans le cas de Debian, plus interne. Ces 250 millions de dollars ont été utilisés pour corrompre des entreprises. Alors qu'en est-il de Canonical? J'adore Ubuntu et j'y ai toujours fait confiance, mais savoir qu'elles étaient (a) une entreprise et (b) à court d'argent, m'a fait penser: en réalité, elles sont assez bien placées pour faire de telles enchères diaboliques. Je veux dire que l'envoi de toutes vos recherches locales sur Amazon ne semble rien comparé à ce qu'elles pourraient faire, après tout, comme le dit Shuttleworth Nous avons root!

Le gouvernement allemand a récemment remarqué qu'il ne pouvait pas faire confiance aux machines Windows 8. Vont-ils migrer vers Ubuntu? (ils sont quand même plutôt partiaux pour Debian.)

J'ai posé la question dans un manoir provocateur, mais je crois que c'est valable; Je ne cherche pas d'opinion, ni de diatribes, mais je voulais voir si quelqu'un pouvait répondre catégoriquement Non (et le prouver par des preuves) .

securitycanonical
3
artfulrobot

Même si cette question est valable, je pense que on ne peut pas le savoir si ces pratiques ont lieu ou non. Après tout, les vulnérabilités cachées conçues dans les logiciels ont pour but de les masquer.

Il y a cependant quelques éléments à prendre en compte:

  • Il est plus difficile de masquer des backports secrets dans des logiciels open source. Ils doivent presque être au niveau des algorithmes.
  • Pourquoi la NSA essaierait-elle d'entrer dans Ubuntu si elle peut déjà lire votre courrier électronique et l'écouter sur votre téléphone?
  • Pourquoi Ubuntu prend-il un tel risque? Après tout, perdre leur crédibilité dans le monde Linux inciterait les gens à utiliser d'autres systèmes Linux.

Franchement, Ubuntu dépend de nombreux logiciels différents. Pour être honnête, je ne pense pas que des contaminations délibérées correspondent à l'esprit Ubuntu. Cela étant dit, qui sait ...

8
don.joey