Julian Assange: Debian Is Owned By The NSA

[Patsche]

Was haltet ihr davon?
-> http://igurublog.wordpress.com/2014/04/ ... y-the-nsa/

[niesommer]

Was haltet ihr davon?
-> http://igurublog.wordpress.com/2014/04/ ... y-the-nsa/

Könntest du mal eine kurze Zusammenfassung geben worauf du abziehlst, dafür reicht mein englisch leider nicht.

[Patsche]

Grob Übersetzt:
Alle Backdoors der NSA, die in Linux eingebauten wurden, werden erst nach und nach als Fehler (bug) veröffentlicht. Das ganze soll gewollt sein, damit eben nicht der Verdacht bestehe, dass es sich wirklich um Backdoors handele.
Einer der Größten Partner von RedHat beispielsweise ist das amerikanische Militär. Und da RedHat großen Einfluss auf die Linuxwelt hat, werden die wohl ihre Geschäftspartner nicht verlieren wollen und lenken die Community in eine Art Überwachte-Sicherheit. Debian hat wohl eine Art SSL-Schlüsselgenerator in den Repos, der nachweislich sabotiert wurde. Auch die Entscheidung von Debian für systemd soll ein Inidiz dafür sein, dass der Druck von RedHat und dem amerikanischen Militär doch größer ist. Es wäre niemals ein anderes init-system genommen worden auch wenn ein anderes besser gewesen wäre.
Perfekt ist mein Englisch jetzt auch nicht und warum jetzt gerade Debian in der Überschrift steht, verstehe ich auch nicht. Vielleicht weil Debian die Mutter der deb-basierten Systeme ist?

[Luxuslurch]

Mich wundert, dass er als "allseits bekannten Fakt" einführt, dass das Debian-SSL-Desaster von 2008 ganz eindeutig böswillig intendiert war. Auch der jetzt kürzlich aufgetretene Fehler soll gewollt inkompetent programmiert gewesen sein.

Für den Zusammenhang NSA und systemd bringt er keine nachvollziehbaren Argumente. Das scheint mir reines Paranoia-Denken. Er sagt sinngemäß, dass die verwässerten Sicherheitskonzepte in allen wichtigen Distros ein klares Anzeichen dafür seien, dass sie vom Konzern-Regierungs-Netzwerk gesteuert werden - und dass sie deswegen systemd einführen wollen.

Hm... ich bin noch nicht paranoid genug, um das alles zu glauben. Allerdings basiert gerade eine Gemeinschaftsdistro wie Debian auf Vertrauen den Entwicklern gegenüber. Das ist ein prinzipiell kompromittierbares Milieu.

[niesommer]

Grob Übersetzt:
Alle Backdoors der NSA, die in Linux eingebauten wurden, werden erst nach und nach als Fehler (bug) veröffentlicht. Das ganze soll gewollt sein, damit eben nicht der Verdacht bestehe, dass es sich wirklich um Backdoors handele.
Einer der Größten Partner von RedHat beispielsweise ist das amerikanische Militär. Und da RedHat großen Einfluss auf die Linuxwelt hat, werden die wohl ihre Geschäftspartner nicht verlieren wollen und lenken die Community in eine Art Überwachte-Sicherheit. Debian hat wohl eine Art SSL-Schlüsselgenerator in den Repos, der nachweislich sabotiert wurde. Auch die Entscheidung von Debian für systemd soll ein Inidiz dafür sein, dass der Druck von RedHat und dem amerikanischen Militär doch größer ist. Es wäre niemals ein anderes init-system genommen worden auch wenn ein anderes besser gewesen wäre.
Perfekt ist mein Englisch jetzt auch nicht und warum jetzt gerade Debian in der Überschrift steht, verstehe ich auch nicht. Vielleicht weil Debian die Mutter der deb-basierten Systeme ist?

Zuerst einmal vielen Dank , für die Zusammenfassung.
Also Vorstellen könnte ich mir das schon, gerade weil es eben nicht so viele Leute gibt die da Fachlich durchsteigen und wirklich begreifen und verstehen was da passiert. Ob Systemd da auch mit reinspielt kann ich genau so wenig beurteilen, wie ich Systemd oder ein anderes init-system haben möchte, abgesehen von dem alten mit dem ich ganz gut klar komme, aus Sicht eines Nutzers. Denn mir fällt es schon schwer bei udev durchzusehen, das war vorher auch einfacher zuverstehen. Und da in meinen Augen Systemd die philosophie auf gibt " ein tool für eine Aufgabe" kann ich mir natürlich vorstellen das das auch immer komplexer wird und damit zunehmend schwieriger zu verstehen sein wird. Und damit haben dann leute von NSA und Co es vielleicht einfacher dort etwas zu verstecken, was man nicht haben möchte.
Ich bin mal gespannt wie Debian/Entwickler darauf reagieren, noch ist mein Vertrauen in Debian ungebrochen.

[Patsche]

So langsam weiß man eben ga nicht mehr, was man überhaupt glauben soll. In einem Interview wurde Linus Torvalds auch gefragt, ob es Backdoors im Linuxkernel gäbe, was er sprachlich verneinte, jedoch bejahende Kopfnickungen machte. Ich habe Assange bisher immer für sehr intelligent gehalten. In Interviews wirkte er, ähnlich wie Snowden, sehr bedacht und wägte stets ab, wie er was sagte. Aber woher nimmt er auf einmal das Recht, Computer-Systeme an den Pranger zu stellen ohne Hintergrundmaterial? Oder wurde er gezwungen das zu sagen? Ist er nicht derzeit immer noch inhaftiert? Vielleicht wurde ihm eine mildere Strafe angeboten, damit er diese Aussagen macht? Allerdings würde ihm das auch wieder nicht ähnlich sehen. Aber was weiß ich als kleiner Bürger schon. Man erfährt ja auch alles nur durch Medien, die alle gefälscht sein könnten.
Ich habe auch viel zu wenig technisches Verständniss um mir Quellcodes durchzulesen und zu verstehen. Ich kann nur hoffen, dass die, die das können, es auch tun. Nichtsdestotrotz ist ein opensource Betriebssystem natürlich immer einem geschlossenen vorzuziehen, weil es da gar keine Möglichkeit eine Hintertür zu finden.
Mein Vertrauen in Debian ist natürlich auch ungebrochen, und doch sollte man die Augen und Ohren stets offen halten.

[uname]

Linux ist bestimmt auch nicht sicher. Aber vielleicht streut man ja nur diese Informationen, damit die Leute eben gerade nicht von Windows abwandern. Ich persönlich vertraue auf jeden Fall einer Community mehr als jede Firma, die meiner Meinung nach eher von Staaten erpressbar sind.

[DeletedUserReAsG]

Linus Torvalds auch gefragt, ob es Backdoors im Linuxkernel gäbe, was er sprachlich verneinte, jedoch bejahende Kopfnickungen machte.

Bitte nichts durcheinanderwerfen! Die Frage war, ob er von jemandem „gebeten“ worden ist, in die Richtung zu agieren. Nicht, ob es welche gibt. Solche Unterschiede halte ich schon für wichtig.

Den Rest des Themas eher nicht, da gibt es schon einige Threads zu.

[Patsche]

Bitte nichts durcheinanderwerfen! Die Frage war, ob er von jemandem „gebeten“ worden ist, in die Richtung zu agieren. Nicht, ob es welche gibt. Solche Unterschiede halte ich schon für wichtig.

Danke für die Aufklärung. Das wusste ich nicht.

Den Rest des Themas eher nicht, da gibt es schon einige Threads zu.

Hier kam es mir vor allem darauf an, dass ein Person, die für Gerechtigkeit steht, eine solche These aufstellt. Hätte die Kanzlerin diese Aussage gemacht, wäre es mir egal gewesen. Oder anders: Man stelle sich vor, dass Snowden die Behauptung aufgestellt hätte, dass Debian von der NSA geführt wird.
Ich stelle hier mal Snowden und Assange auf eine Stufe, da beide Personen wichtige Aufklärungsarbeit geleistet haben, indem sie verschlossene Staatsgeheimnisse an die Öffentlichkeit gebracht haben. Snowden hatte bisher noch Glück mit seinem Asyl in Russland, nur Julian wurde gefasst und muss Einsitzen. Das ist nur meine persönliche Erklärung, warum ich diesem Blogeintrag mehr Aufmerksamkeit geschenkt habe. Denn wie gesagt, Assange ist für mich nicht weniger Held, als Snowden.

[DeletedUserReAsG]

Mit „Person, die für Gerechtigkeit steht“ meinst du Herrn Assange? In meiner Wahrnehmung ist er eher ein recht paranoider Selbstdarsteller. Das Thema selbst, ob Sicherheitslücken als Bug absichtlich in offenem Quellcode eingebaut werden, ist jedenfalls mehr als einmal Gegenstand eines Threads gewesen. Die Antwort ist eigentlich auch recht einfach: möglich ist’s, der Code ist schließlich offen. Ob’s gemacht wird, weiß man nicht mit Sicherheit.

[Patsche]

Mit „Person, die für Gerechtigkeit steht“ meinst du Herrn Assange? In meiner Wahrnehmung ist er eher ein recht paranoider Selbstdarsteller.

Sind wir nicht alle ein wenig paranoid Und suchen wir nicht alle ein wenig Bestätigung, wenn wir etwas Gutes getan haben? Lässt sich sicher drüber streiten, aber verdient gemacht hat er sich, ob du ihn magst oder nicht

[Teddybear]

Also ich finde die Überschrift ist eindeutig falsch gewählt.
Einzig und alleine zielt dieser Beitrag mehr oder minder auf Firmen wie Redhat ab. Debian wird nur wegen dem uralt bug erwähnt.

[Luxuslurch]

Also ich finde die Überschrift ist eindeutig falsch gewählt.
Einzig und alleine zielt dieser Beitrag mehr oder minder auf Firmen wie Redhat ab. Debian wird nur wegen dem uralt bug erwähnt.

Nee, ich finde, der Autor geht schon ziemlich weit mit seinen Ausführungen:

Assange mentions how Debian famously botched the SSL random number generator for years (which was clearly sabotaged – a known fact).

Der Debian-Paketbetreuer hat also für die NSA gearbeitet - und viele Debian-Paketbetreuer machen dies auch heute noch. Das ist doch der Grundtenor. Finde ich schon einen ziemlich harten Brocken.

Dass der Autor nicht konsistent in seiner Zuweisung / Verortung von NSA-Satelliten ("all major distributions", "Debian", "RedHat") ist, wundert mich nicht wirklich. Im Grunde ist es ja ein Rundumschlag gegen alle GNU/Linux-Distros, die von RedHat und der Regierung, dem Militär und den Firmen kontrolliert werden. Dann passt systemd auch irgendwann ins Schema, und dass Microsoft auch Linux-Versionen von Skype rausbringt und Mono, und UEFI und und und...

[Luxuslurch]

Ich wollte nur ein paar Highlights aus diesem Blog rausziehen, damit klar wird, warum es sich meines Erachtens nicht ernsthaft lohnt, diesen Aluhelmträger zu lesen:

Yet the myth continues that Linux is somehow not surreptitiously developed as a product of the military-industrial complex, and that its core engineering is based on open and free contributions.

This [he refers to what obviously is a bug] solidifies my conspiratorial opinions that GTK is deliberately being driven into the ground by Red Hat, alienating users and developers, both to turn the corporate-developed Qt into THE monolithic Linux UI toolkit, and perhaps to convert GTK into some kind of tablet-only nightmare.

To me, all of this powerful corporate drive to support ‘cross-platform’ development is merely a game to turn Linux into Windows – to make it so it doesn’t matter what you run, you’re still running a Google product. Google is the new Microsoft. It amazes me how many Linux users think Google is their friend. The Linux community has really become nothing short of stupid, absorbing corporate press releases like populations absorb propaganda. They can’t see even the most obvious attacks, and give their full support to their own demise.

[dirk11]

Also Vorstellen könnte ich mir das schon, gerade weil es eben nicht so viele Leute gibt die da Fachlich durchsteigen und wirklich begreifen und verstehen was da passiert.

Unter diesem Aspekt betrachtet darf man eigentlich keine Gerätschaften, die mit Software arbeiten, mehr nutzen, denn dieses Risiko besteht potentiell bei allem. Ich jedenfalls kenne niemanden (und würde es auch niemandem zutrauen), den kompletten Quellcode für einen damit zu nutzenden PC zu sichten und auch noch zu verstehen. So jemanden wird es auch nicht geben.

[dirk11]

Ist er nicht derzeit immer noch inhaftiert?

Das du sein Leben in der Botschaft in London als "Haft" bezeichnest, ist aber auch perfide - und irgendwie wahr

[prankenandi]

Also ich finde die Überschrift ist eindeutig falsch gewählt.
Einzig und alleine zielt dieser Beitrag mehr oder minder auf Firmen wie Redhat ab. Debian wird nur wegen dem uralt bug erwähnt.

Bist du dir sicher ?

he discussed how UNIX-like systems like Debian (which he mentioned by name) are engineered by nation-states with backdoors which are easily introduced as ‘bugs’, and how the Linux system depends on thousands of packages and libraries that may be compromised.

J.A. diskutiert wie unixoide OS, wie z.B. Debian (welches auch mit Namen genannt wird), von "Nationalstaaten" mit Hintertüren programmiert (als Übersetzung von "engineered") werden. Diese "Hintertüren" werden einfach als "Bugs" bezeichnet. Ebenso kommt zur Sprache, das ein Linux-OS von tausenden von Paketen und Bibliotheken abhängt, welche genauso kompromittiert sein könnten.

Assange mentions how Debian famously botched the SSL random number generator for years (which was clearly sabotaged – a known fact).

Assange erwähnt in diesem Zusammenhang wie Debian den SSL-Zufallsgenerator über Jahre vermurkst/verpfuscht hat, was eindeutig Sabotage ist.

It’s very hard to believe this wasn’t deliberate, as botching the memory space of private keys is about as completely incompetent as you can get, as this area is ultra-critical to the whole system.

Es ist schwer zu glauben das dies nicht gewollt war, da ein Fehler in diesem Bereich von nicht zu überbietender Inkompetenz zeugt und sich ultra-kritisch auf das gesamte System auswirkt.

blabla....

I noted that all the major distributions used watered-down encryption......This told me then that those who controlled distributions were deeply in the pockets of intelligence networks

Dann schreibt der Blogger noch aus seiner eigenen Erfahrung, das im aufgefallen ist das alle großen Distros nur schwache Verschlüsselungssysteme nutzen obwohl sie es auch besser könnten. Daraus schließt er das die Personen, welche die Distros "kontrollieren", selbst schon in der Hand der Geheimdienste sind.

A computer, and especially hosting services (which often run Linux), are powerful communication and broadcasting systems into today’s world. If you control and have unfettered access to such systems, you basically control the world

Ein PC und vorallem Server, welche oft mit Linux laufen, sind mächtige Kommunikationssysteme in der heutigen Welt. Kontrolliert man diese Systeme, kontrolliert man die Welt.

Google is the new Microsoft. It amazes me how many Linux users think Google is their friend.

In einer netten ironische Weise, kann ich dem nur Zustimmen!
Es erstaunt mich i.A. wieviele Leute Google als ihren "Freund" ansehen.
Hier Googlemail, da Google als Searchengine, Google-Chrome als Browser (und vielleicht noch zusätzlich Facebook obendrauf) und sich dann wegen Datenschutz beschweren.

[niesommer]

Also Vorstellen könnte ich mir das schon, gerade weil es eben nicht so viele Leute gibt die da Fachlich durchsteigen und wirklich begreifen und verstehen was da passiert.

Unter diesem Aspekt betrachtet darf man eigentlich keine Gerätschaften, die mit Software arbeiten, mehr nutzen, denn dieses Risiko besteht potentiell bei allem. Ich jedenfalls kenne niemanden (und würde es auch niemandem zutrauen), den kompletten Quellcode für einen damit zu nutzenden PC zu sichten und auch noch zu verstehen. So jemanden wird es auch nicht geben.

Vielleicht habe ich mich etwas ungünstig ausgedrückt, aber ich ziehlte nicht auf das ganze OS ab sondern meinte viel mehr diesen ganzen Verschlüsselungskram. Ich kann mir auch nicht vorstellen das ein Einzelner das alles versteht, dazu ist das dann doch alles zu komplex. Und wieviele Programmiersprachen müsste, so jemand beherschen, also nicht nur kennen?

[dirk11]

Ich kann mir auch nicht vorstellen das ein Einzelner das alles versteht, dazu ist das dann doch alles zu komplex.

Was man ja fein vorgeführt bekommen hat, als versucht wurde, z.B. Truecrypt aus den Quellen nachzubauen. Allein das hat schon so viel Manpower gebunden...

[pferdefreund]

Linux kommt immer mehr und irgendwie muß man ja die Linux-User davon überzeugen, daß sie ein unsicheres System haben und lieber kommerzielle Systeme nutzen sollen. Außerdem hat es dann die NSA einfacher. In den kommerziellen Systemen sind die Schnittstellen sicherlich schon drin - in Linux müssen sie erst rein.

[CH777]

Die Frage ist doch: Was ist die wirklich sichere Alternative?

Möglichkeit A:
Betriebssystem komplett selber schreiben (schillix lässt grüßen )

Möglichkeit B:
Keinen Computer benutzen.


Als 'normaler' Mensch (der keine der beiden Optionen nutzen kann) nehme ich im Zweifel das OS das funktioniert und nichts kostet

[spiralnebelverdreher]

Es gibt keine wirklich sichere Alternative. Ein Restrisiko bleibt bei so komplexen Systemen mit so vielen LoC immer. Als Nutzer wird man ohne ein gewisses Maß an Vertrauen an die Hersteller der Software (und auch Hardware) nicht auskommen - ganz egal ob Open Source oder Closed Source.
Den Vorteil, den ich bei Open Source sehe ist, dass man da den Entwicklern in die Karten schauen kann. Leider ist aber das, was man da liest, nur für Eingeweihte wirklich zu verstehen.

[stollenreiter]

Die Aussagen von Assange machen einen schon etwas nachdenklich. Sicher, das System ist so komplex das da keine einzelne Person den Überblick mehr hat. Das ist Fakt. Aber meine Hoffnung ist halt, dass da weltweit einige Entwickler daran arbeiten und nicht alle vom Militär gekauft sein können. Ok, es reicht sicherlich, die wichtigsten Pakete zu infiltrieren (SSL, Mail, Web, etc.). Gerade der Serverbereich lohnt sich da sicherlich am meisten.

Aber so lange Snowden nicht ein paar Dokumente auf den Tisch legt, die deutlich zeigen das es zu Manipulationen im Open Source gekommen ist, glaube ich erstmal an die Sicherheit des Systems. Schliesslich hat er ja schon ganz andere Dokumente und Folien veröffentlicht, in denen ganz klar die Verquickung zwischen Geheimdiensten und privaten Unternehmen zu sehen ist.

[Teddybear]

Also ich finde die Überschrift ist eindeutig falsch gewählt.
Einzig und alleine zielt dieser Beitrag mehr oder minder auf Firmen wie Redhat ab. Debian wird nur wegen dem uralt bug erwähnt.

Bist du dir sicher ?

Ja da bin ich mit sehr sicher, ich habe mir das Video angesehen.
Es wird der Debian bug erwähnt, der erst sehr sehr spät gefunden/gefixt wurde. Und wird im Anschluss mit erwähnt wo J.A. über unixoide OpenSource Systeme und deren Masse an Softwarepakete sowie deren Abhängigkeiten spricht.
Der Schreiber übertreibt es einfach nur.

[BongoFury]

Was haltet ihr davon?
http://igurublog.wordpress.com/2014/04/ ... y-the-nsa/