डेबियन सबसे लोकप्रिय लिनक्स वितरणों में से एक है। यह ठोस, भरोसेमंद है, और आर्क और जेंटू की तुलना में, नए लोगों के लिए इसे समझना अपेक्षाकृत आसान है। उबंटू इस पर बनाया गया है, और इसका उपयोग अक्सर रास्पबेरी पाई को पावर देने के लिए किया जाता है।
विकीलीक्स के संस्थापक जूलियन असांजे के अनुसार, यह अमेरिका के खुफिया तंत्र की गिरफ्त में होने का भी आरोप है।
या यह है?
2014 के विश्व होस्टिंग दिवस सम्मेलन में बोलते हुए, जूलियन असांजे ने बताया कि कैसे कुछ राष्ट्र राज्यों (बिना किसी नाम के, खाँसी अमेरिका) को बताते हैं। खांसी ) ने जानबूझकर कुछ Linux वितरणों को असुरक्षित बना दिया है, ताकि उन्हें उनके निगरानी जाल के नियंत्रण में लाया जा सके। आप यहां 20 मिनट के निशान के बाद पूरी बोली देख सकते हैं:
लेकिन क्या असांजे सही हैं?
डेबियन और सुरक्षा पर एक नज़र
असांजे की बातचीत में, उन्होंने उल्लेख किया है कि कैसे अनगिनत वितरणों को जानबूझकर तोड़ दिया गया है। लेकिन उन्होंने डेबियन का उल्लेख नाम से . किया है , इसलिए हम उस पर भी ध्यान केंद्रित कर सकते हैं।
पिछले 10 वर्षों में, डेबियन में कई कमजोरियों की पहचान की गई है। इनमें से कुछ गंभीर, शून्य-दिन शैली की कमजोरियां हैं जो सामान्य रूप से सिस्टम को प्रभावित करती हैं। अन्य ने रिमोट सिस्टम के साथ सुरक्षित रूप से संचार करने की इसकी क्षमता को प्रभावित किया है।
एकमात्र भेद्यता असांजे ने स्पष्ट रूप से डेबियन के ओपनएसएसएल यादृच्छिक संख्या जनरेटर में एक बग का उल्लेख किया है जिसे 2008 में खोजा गया था।
यादृच्छिक संख्याएं (या, कम से कम छद्म यादृच्छिक; कंप्यूटर पर वास्तविक यादृच्छिकता प्राप्त करना बेहद मुश्किल है) आरएसए एन्क्रिप्शन का एक अनिवार्य हिस्सा हैं। जब एक यादृच्छिक संख्या जनरेटर अनुमानित हो जाता है, तो एन्क्रिप्शन की प्रभावशीलता कम हो जाती है, और ट्रैफ़िक को डिक्रिप्ट करना संभव हो जाता है।
बेशक, अतीत में एनएसए ने बेतरतीब ढंग से उत्पन्न संख्याओं की एन्ट्रापी को कम करके जानबूझकर वाणिज्यिक-ग्रेड एन्क्रिप्शन की ताकत को कमजोर कर दिया है। वह बहुत समय पहले . था , जब अमेरिकी सरकार द्वारा मजबूत एन्क्रिप्शन को संदेह के साथ माना जाता था, और यहां तक कि हथियार निर्यात कानून के अधीन भी। साइमन सिंह की द कोड बुक इस युग का बहुत अच्छी तरह से वर्णन करती है, जिसमें फिलिप ज़िम्मरमैन की प्रिटी गुड प्राइवेसी के शुरुआती दिनों और अमेरिकी सरकार के साथ लड़ी गई कानूनी लड़ाई पर ध्यान केंद्रित किया गया है।
लेकिन यह बहुत समय पहले की बात है, और ऐसा लगता है कि 2008 का बग दुर्भावना का कम परिणाम था, बल्कि आश्चर्यजनक तकनीकी अक्षमता का परिणाम था।
डेबियन के ओपनएसएसएल पैकेज से कोड की दो पंक्तियों को हटा दिया गया था क्योंकि वे वालग्रिंड और प्यूरिफाई बिल्ड टूल्स में चेतावनी संदेश तैयार कर रहे थे। लाइनें हटा दी गईं, और चेतावनियां गायब हो गईं। लेकिन ओपनएसएसएल के डेबियन के कार्यान्वयन की अखंडता मौलिक रूप से अपंग . थी ।
जैसा कि हैनलॉन का रेजर निर्देश देता है, कभी भी द्वेष का गुण न दें जिसे आसानी से अक्षमता के रूप में समझाया जा सकता है। संयोग से, इस विशेष बग पर वेब कॉमिक XKCD द्वारा व्यंग्य किया गया था।
इस विषय पर लिखते हुए, इग्नोरेंटगुरु ब्लॉग यह भी अनुमान लगाता है कि हाल ही में हार्टब्लिड बग (जिसे हमने पिछले साल कवर किया था) भी सुरक्षा सेवाओं का एक उत्पाद हो सकता है जानबूझकर Linux पर क्रिप्टोग्राफी को कमजोर करने की कोशिश कर रहा है।
ओपनएसएसएल लाइब्रेरी में हार्टब्लिड एक सुरक्षा भेद्यता थी जो संभावित रूप से एक दुर्भावनापूर्ण उपयोगकर्ता को एसएसएल / टीएलएस द्वारा संरक्षित जानकारी चोरी करते हुए देख सकती थी, कमजोर सर्वरों की मेमोरी को पढ़कर, और ट्रैफ़िक को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली गुप्त कुंजी प्राप्त कर सकती थी। उस समय, इसने हमारे ऑनलाइन बैंकिंग और वाणिज्य प्रणालियों की अखंडता के लिए खतरा पैदा कर दिया था। सैकड़ों हज़ारों प्रणालियाँ असुरक्षित थीं, और इसने लगभग हर Linux और BSD वितरण को प्रभावित किया।
मुझे यकीन नहीं है कि इसके पीछे सुरक्षा सेवाओं का हाथ होने की कितनी संभावना है।
एक ठोस एन्क्रिप्शन एल्गोरिथम लिखना बेहद कठिन है . इसे लागू करना भी उतना ही मुश्किल है। यह अपरिहार्य है कि अंततः एक भेद्यता या दोष का पता लगाया जाएगा (वे अक्सर ओपनएसएसएल में होते हैं) जो इतना गंभीर है, एक नया एल्गोरिदम बनाया जाना चाहिए, या एक कार्यान्वयन फिर से लिखा जाना चाहिए।
यही कारण है कि एन्क्रिप्शन एल्गोरिदम ने एक विकासवादी रास्ता अपनाया है, और जब कमियों को क्रम में खोजा जाता है तो नए बनाए जाते हैं।
ओपन सोर्स में सरकारी हस्तक्षेप के पिछले आरोप
बेशक, सरकारों के लिए ओपन सोर्स प्रोजेक्ट्स में दिलचस्पी लेना अनसुना नहीं है। सरकारों के लिए यह भी अनसुना नहीं है कि किसी सॉफ़्टवेयर प्रोजेक्ट की दिशा या कार्यक्षमता को प्रत्यक्ष रूप से प्रभावित करने का आरोप लगाया जाए, या तो जबरदस्ती, घुसपैठ के माध्यम से या इसे आर्थिक रूप से समर्थन देकर।
यशा लेविन उन खोजी पत्रकारों में से एक हैं जिनकी मैं सबसे अधिक प्रशंसा करता हूँ। वह अब Pando.com के लिए लिख रहे हैं, लेकिन इससे पहले उन्होंने पौराणिक मस्कोवाइट द्विसाप्ताहिक, द एक्साइल के लिए लेखन में कटौती की, जिसे 2008 में पुतिन की सरकार द्वारा बंद कर दिया गया था। अपने ग्यारह साल के जीवनकाल में, यह अपने मोटे, अपमानजनक सामग्री के लिए जाना जाता है, जितना कि लेविन (और सह-संस्थापक मार्क एम्स, जो पांडो.com के लिए भी लिखते हैं) के लिए भयंकर खोजी रिपोर्टिंग के लिए जाना जाता है।
खोजी पत्रकारिता के इस शौक ने उन्हें Pando.com पर फॉलो किया है। पिछले एक या दो वर्षों में, लेविन ने टोर प्रोजेक्ट के बीच संबंधों पर प्रकाश डालते हुए कई टुकड़े प्रकाशित किए हैं, और जिसे वह अमेरिकी सैन्य-निगरानी परिसर कहते हैं, लेकिन वास्तव में नौसेना अनुसंधान कार्यालय (ONR) और रक्षा उन्नत अनुसंधान परियोजनाएं हैं। एजेंसी (DARPA)।
टोर (या, द ओनियन राउटर), उन लोगों के लिए जो गति तक नहीं हैं, सॉफ्टवेयर का एक टुकड़ा है जो ट्रैफ़िक को कई एन्क्रिप्टेड एंडपॉइंट्स के माध्यम से बाउंस करके अज्ञात करता है। इसका लाभ यह है कि आप अपनी पहचान का खुलासा किए बिना या स्थानीय सेंसरशिप के अधीन इंटरनेट का उपयोग कर सकते हैं, जो कि चीन, क्यूबा या इरिट्रिया जैसे दमनकारी शासन में रहने पर आसान है। इसे प्राप्त करने के सबसे आसान तरीकों में से एक फ़ायरफ़ॉक्स-आधारित टोर ब्राउज़र है, जिसके बारे में मैंने कुछ महीने पहले बात की थी।
संयोग से, जिस माध्यम से आप इस लेख को पढ़कर खुद को पाते हैं, वह स्वयं DARPA निवेश का एक उत्पाद है। ARPANET के बिना इंटरनेट नहीं होता।
लेविन के बिंदुओं को संक्षेप में प्रस्तुत करने के लिए:चूंकि टीओआर को अपनी अधिकांश धनराशि अमेरिकी सरकार से प्राप्त होती है, इसलिए यह उनके साथ अनिवार्य रूप से जुड़ा हुआ है, और अब स्वतंत्र रूप से काम नहीं कर सकता है। ऐसे कई टीओआर योगदानकर्ता भी हैं जिन्होंने पहले किसी न किसी रूप में अमेरिकी सरकार के साथ काम किया है।
लेविन के बिंदुओं को पूरा पढ़ने के लिए, 16 जुलाई, 2014 को प्रकाशित "टॉर को विकसित करने में शामिल लगभग सभी लोग अमेरिकी सरकार द्वारा वित्त पोषित थे (या हैं)" का एक पठन पढ़ें।
फिर मीका ली द्वारा इस खंडन को पढ़ें, जो द इंटरसेप्ट के लिए लिखते हैं। प्रतिवादों को संक्षेप में प्रस्तुत करने के लिए:डीओडी अपने ऑपरेटरों की सुरक्षा के लिए टीओआर पर निर्भर है, टीओआर परियोजना हमेशा इस बारे में खुली रही है कि उनका वित्त कहां से आया है।
लेविन एक महान पत्रकार हैं, जिनके लिए मेरे मन में बहुत प्रशंसा और सम्मान है। लेकिन मुझे कभी-कभी चिंता होती है कि वह इस सोच के जाल में पड़ जाता है कि सरकारें - कोई भी सरकार - अखंड संस्थाएं हैं। वे नहीं हैं। बल्कि, यह एक जटिल मशीन है जिसमें अलग-अलग स्वतंत्र कोग होते हैं, जिनमें से प्रत्येक की अपनी रुचियां और प्रेरणाएँ होती हैं, जो स्वायत्तता से काम करती हैं।
यह पूरी तरह से प्रशंसनीय है कि सरकार का एक विभाग मुक्ति के लिए एक उपकरण में निवेश करने को तैयार होगा, जबकि दूसरा विभाग स्वतंत्रता-विरोधी और गोपनीयता-विरोधी व्यवहार में संलग्न होगा।
और जैसा कि जूलियन असांजे ने प्रदर्शित किया है, यह मान लेना बहुत आसान है कि कोई साजिश है, जब तार्किक व्याख्या बहुत अधिक निर्दोष है।
क्या हमने पीक विकीलीक्स को मारा है?
क्या यह सिर्फ मैं हूं, या विकीलीक्स के सबसे अच्छे दिन बीत गए हैं?
बहुत समय पहले की बात नहीं है जब असांजे ऑक्सफोर्ड में टेड कार्यक्रमों और न्यूयॉर्क में हैकर सम्मेलनों में बोल रहे थे। विकीलीक्स ब्रांड मजबूत था, और वे स्विस बैंकिंग प्रणाली में मनी लॉन्ड्रिंग, और केन्या में बड़े पैमाने पर भ्रष्टाचार जैसी वास्तव में महत्वपूर्ण चीजों को उजागर कर रहे थे।
अब, विकीलीक्स पर असांजे का चरित्र छाया हुआ है - एक ऐसा व्यक्ति जो लंदन के इक्वाडोर के दूतावास में स्व-निर्वासित निर्वासन में रहता है, स्वीडन में कुछ गंभीर आपराधिक आरोपों से भाग गया है।
असांजे खुद अपनी पहले की कुख्याति से ऊपर उठने में असमर्थ रहे हैं, और अब जो कोई भी सुनेगा, उसके लिए अजीबोगरीब दावे करने लगे हैं। यह लगभग दुखद है। विशेष रूप से जब आप मानते हैं कि विकीलीक्स ने कुछ बहुत ही महत्वपूर्ण काम किया है जो तब से जूलियन असांजे के साइडशो से पटरी से उतर गया है।
लेकिन आप असांजे के बारे में जो भी सोचते हैं, एक बात लगभग तय है। इस बात का कोई सबूत नहीं है कि अमेरिका ने डेबियन में घुसपैठ की है। या कोई अन्य लिनक्स डिस्ट्रो, उस मामले के लिए।
<छोटा> फोटो क्रेडिट:424 (एक्सकेसीडी), कोड (माइकल हिम्बॉल्ट)