Ubuntu是否故意污染其二进制文件以帮助NSA?
一个星期前问微软这样的问题会让我被标记为偏执狂,并且问这个关于Ubuntu的问题看起来似乎很愚蠢,接近进攻。
然后我们发现 ,有一项“价值250亿美元的美国计划与科技公司秘密合作,将弱点纳入产品”。
这是(邪恶的)天才:如果你将秘密弱点插入到软件或服务中,例如SSL密钥生成,那么你闯入窃取数据的工作就会变得容易多了。 事实上,这就是为什么这些代理商现在可以在运行中明显解密相当多的SSL流量。
我觉得自鸣得意,认为开源节省了一天:很难引入代码,当每个人都在寻找时(在闭源世界中更容易)。 虽然这仍然可能发生,例如Debian的庞大SSH密钥在2008年失败了 。
那时候, slashdot的人们正在询问是谁介绍了没有人注意到的改变,哪些改变了操作系统。
似乎有2.5亿美元的预算,你有各种各样的选择来支付某人试图偷偷摸摸漏洞,无论是在公开场合,还是在Debian案例中,更多内部。 这2.5亿美元已用于贿赂公司。 那么Canonical是什么? 我喜欢Ubuntu并且一直信任它,但是知道他们是(a)公司和(b)缺少现金,让我想到:实际上他们处于这样一个邪恶的竞标中处于相当有利的位置。 我的意思是把你所有的本地搜索发送到亚马逊似乎没什么可比的,毕竟,正如Shuttleworth说我们有根!
德国政府最近发现他们不能信任Windows 8机器,他们会转移到Ubuntu吗? (无论如何,他们对Debian很偏爱。)
我在挑衅庄园中提出了这个问题,但我相信它是有效的; 我不是在寻求意见,也不是咆哮,而是想看看是否有人可以断然回答否(并用证据支持) 。
虽然这是一个有效的问题,但我认为无法知道这些做法是否发生。 毕竟,隐藏在软件中的漏洞的目的是让它们保持隐藏状态。
但有几件事需要考虑:
- 在开源软件中隐藏秘密后端更难。 它们几乎必须处于算法级别。
- 如果NSA已经可以阅读您的电子邮件并通过手机收听,为什么NSA会尝试进入Ubuntu?
- 为什么Ubuntu会冒这样的风险? 毕竟,失去他们在Linux世界中的可信度会煽动人们使用其他Linux系统。
坦率地说,Ubuntu依赖于很多不同的软件。 说实话,我认为故意污染不符合Ubuntu精神。 话虽这么说,谁知道……