Christian Engström, Pirat

17 november 2013

NSA kontaktade Linus Torvalds om bakdörrar i Linux

Filed under: NSA — Christian Engström @ 13:24

Se klippet med EU-parlamentarikern Nils Torvalds från tidskod 3:09:06

Se klippet med EU-parlamentarikern Nils Torvalds från tidskod 3:09:06

Linus Torvalds’ pappa Nils Torvalds är EU-parlamentariker för Finland. I veckan deltog Nils Torvalds i EU-parlamentets utfrågning om massövervakningen, och kom med ett avslöjande:

Den amerikanska säkerhetstjänsten NSA har kontaktat Linus om att lägga in bakdörrar i det fria och öppna operativsystemet Linux.

Hela utfrågningen finns att se på Youtube här (upplagt av Hax).

Nils Torvalds avslöjande kom i ett avsnitt av utfrågningen som inleddes (på tidskod 3:06:58) med att jag påpekade för Microsofts representant i panelen att i system som Linux, som bygger på öppen källkod, går det att undersöka koden för att se att det inte finns några bakdörrar. I Microsofts system finns det ingen möjlighet att göra det, eftersom källkoden är hemlig för utomstående.

Min fråga till Microsofts representant var om hon skulle få berätta att det finns bakdörrar i deras system om det nu är så att det gör det. Den frågan svarade hon aldrig på, men det behövde hon förstås inte göra heller. Från andra källor vet vi att NSA alltid förbjuder de privata företag de tvingar eller försöker tvinga till samarbete att berätta om den saken.

Nils Torvalds fick ordet efter mig, och med början på tidskod 3:09:06 sa han:

När min äldsta son [Linus Torvalds] fick samma fråga: ”Har han blivit kontaktad av NSA om bakdörrar?” svarade han ”Nej”, men samtidigt nickade han. På så sätt var han någorlunda fri juridiskt. Han hade givit rätt svar, [men] alla förstod att NSA hade kontaktat honom.

Vad Linus Torvalds svarade NSA förtäljer inte historien, men jag gissar att han påpekade för NSA att han inte skulle kunna lägga in bakdörrar ens om han ville, eftersom koden är öppen och alla förändringar granskas av många oberoende personer. Det är ju det som är själva poängen med öppen källkod, och skälet till att det bara är öppen källkod man kan lita på när det gäller säkerhet.

Men att NSA ändå har försökt attackera även Linux är intressant att få bekräftat.

…………

Update: This blog post in English

17 kommentarer

  1. Just det, alla kan granska koden, NSA likväl som kinesiska motvarigheter, ryska GRU eller vad de nu heter idag. Så någon kod som skulle gynna NSA skulle likväl kunna användas av deras ”fiender” och ”de där andra” säkerhetsjänsterna och data-spionerna skulle ha väldigt roligt om de fick dra ned brallorna på NSA. Att datorkod kan granskas öppet när som helst av vem som helst, är precis lika viktigt som att kunna granska våra folkvaldas göranden och låtanden, av i grunden samma orsaker.

    Detta är också en aspekt som avslöjar säkerhetstjänsterna som närmast rena otjänster. När såg du senast att någon av dessa avrådde från program med sluten källkod? Knalla in på vilken polisstation som helst, sjukhus, bank, politikers kontor osv.. Det används nästan uteslutande program med sluten källkod, oftast på spelplattformen Windows! Det här säger egnetligen allt.

    Dock så är jag tämligen övertygad om att NSA mfl. har lyckats smyga in bakdörrar i en del mer obskyra öppna program där koden inte har så många ögon på sig. Jag väntar bara på de första avslöjandena.

    Kommentar av steelneck — 17 november 2013 @ 14:29

  2. I slutändan är det en fråga om tillit; skall vi lita på att de som skriver våra datorsystem inte lagt in några uppenbara bakdörrar?

    Vad man måste förstå är att alla populära mjukvaruprojekt – öppna som stängda – blir attackerade med att folk lägger in bakdörrar. Linuxutvecklarna är mer paranoida än de flesta, men även deras ögon kan luras, då de bara är människor. Det har dessutom funnits s.k. ”zero day exploits”, dvs säkerhetshål som upptäckts först när någon attackerat ett Linux-system. Buggar händer och är en del av alla mjukvaruprojekt. Tyvärr.

    Dock litar jag mycket mer på system som vem som helst kan granska, än ett system som bara utvecklarna kan granska som i fallet Windows och OSX till mindre del. Varför? Jo, för att de öppna systemen börjar stinka om allvarliga brister upptäcks!

    NSA har helt rubbat tilliten till alla stängda projekt dock – alla system byggda på propreitär mjukvara måste nu betraktas som osäkra. NSA kunde inte ha främjat öppen källkod mer om de så hade kriminaliserat Windows. Det kommer ta några år innan svallvågorna av dessa avslöjanden kommer, men var så säkra, de kommer. Vilken regeringsmyndighet vill nu sitta på ett system som de vet kan vara avlyssnat ex?

    Kommentar av Per "wertigon" Ekström — 17 november 2013 @ 15:11

  3. Detta förefaller vara ytterst osannolikt, speciellt som att källkoden är öppen. Nej, det är helt enkelt en av många konspirationsteorier som ni pirater sprider för få folk att rösta på ett parti som är på väg bort ur historien, åtminstone i Sverige.

    ”Men att NSA ändå har försökt attackera även Linux är intressant att få bekräftat.”

    Men ännu så länge så förefaller detta INTE vara bekräftat, alltså bara en grundlös teori.

    Kommentar av nejtillpirater — 17 november 2013 @ 15:55

  4. Här påstås det att Linus Torvalds själv sagt att det där med att NSA frågat om en bakdörr bara var ett skämt:

    ”Oh, Christ. It was obviously a joke, no government agency has ever asked me for a backdoor in Linux,” Torvalds told Mashable via email. ”Really. Cross my heart and hope to die, really.”

    http://mashable.com/2013/09/19/linus-torvalds-backdoor-linux/

    Men för all del, det går väl hitta på nya konspirationsteorier om att även det där med skämtet är en konspiration via NSA osv…

    Kommentar av nejtillpirater — 17 november 2013 @ 16:48

  5. nejtillpirater: Du förstår att det är Nils Torvalds, finsk MEP (som inte är pirat), och inte piratpartiet eller någon som har koppling till piratpartiet, som säger detta i videon…?

    Kommentar av exscape — 17 november 2013 @ 18:49

  6. Om de pressat för att få in en bakdörr i Linux, då vet vi att de garanterat pressat även Microsoft och Apple. Deras tystnad om det avslöjar tydligt om de vek sig eller inte…

    Kommentar av Anders Troberg — 17 november 2013 @ 19:07

  7. Det är egentligen irrelevant om koden är öppen eller inte då tävlingar visar att man mycket väl kan gömma säkerhetshål i kod på sådant sätt att koden kan se ut att göra något men i själva verket göra något helt annat.

    Att alltså avfärda denna risk bara med hänvisning till att Linux källkod är öppen är naivt.

    I övrigt finns det andra störe risker involverade. En möjlighet är att NSA har petat i koden för större kompilatorer. Om de har så kan de mycket väl injicera bakdörrar i allt som kompileras med dem och alltså därigenom introducera säkerhetsrisker i kompilerad kod. Dessa säkerhetsrisker blir mycket svåra att spåra då hålen inte finns i koden utan i det kompilerade programmet.

    Kommentar av Brooke — 17 november 2013 @ 19:38

  8. @exscape

    ”Du förstår att det är Nils Torvalds, finsk MEP (som inte är pirat), och inte piratpartiet eller någon som har koppling till piratpartiet, som säger detta i videon…?”

    Ja men det är Christian som skriver om det här, alltså om något som Linus Torvalds, hans son, redan avfärdat som ett skämt.
    Varför för då Nils Torvalds fram det? För att han inte visste om att det var ett skämt eller för att han har en agenda liknande PP?

    Kommentar av nejtillpirater — 17 november 2013 @ 21:53

  9. Suck. Det är så väldigt typisk skämt från Linus att jag är förundrad att denna amsagan fortfarande sprids.

    Kommentar av Anders S Lindbäck — 17 november 2013 @ 22:38

  10. Skämt eller inte. Situationen är allvarlig då allt fler kommuner använder molntjänster för att lagra personuppgifter som vi medborgare enligt lag är skyldiga att lämna ifrån oss.

    Kommentar av Johan Tjäder — 17 november 2013 @ 23:28

  11. Det kan vara bra att veta:

    http://www.gergely.risko.hu/debian-dsa1571.en.html

    Kommentar av René Malmgren — 18 november 2013 @ 10:12

  12. @Johan Tjäder

    ”Skämt eller inte”

    Det är faktiskt viktigt vad som är vad. Christian Engström presenterar detta som om det vore fakta och tyvärr kommer många att tro honom. Eftersom det verkar vara belagt att det var ett skämt så kan en dementi vara på sin plats om Christian vill verka seriös i sin framtoning.

    Kommentar av nejtillpirater — 18 november 2013 @ 17:01

  13. @Per ”wertigon” Ekström som skrev: ”Linuxutvecklarna är mer paranoida än de flesta”

    Det där är att vända bak å fram på begreppet paranoid, som du vet så är det inte linuxutvecklarna som sysslar med den paranoida övervakningen.

    Linuxutvecklarna försöker bara skriva bra källkod så gott de kan, något de sk. säkerhetstjänsterna borde hjälpa till med på ett precis lika öppet vis om de ville göra skäl för namnet säkerhetstjänst, men de gör inte detta. Dessutom, att inte de sk. säkerhetstjänsterna aktivt hjälper politik, administration, polis, myndigheter och stora företag att komma bort från datorprogram som inte kan kontrolleras, bevisar att ordet ”säkerhetstjänst” bara är en fasad.

    Kommentar av steelneck — 18 november 2013 @ 18:22

  14. Med tanke på NSA, FRA mfls agerande bör de snarare kallas för osäkerhetstjänster.

    Kommentar av Brooke — 18 november 2013 @ 20:50

  15. Steelneck, ”paranoid” i detta fall indikerar en person som är väldigt säkerhetsmedveten. Vilket jag anser att linuxutvecklarna är. Men visst, det är slarvigt använt.🙂

    Kommentar av Per "wertigon" Ekström — 18 november 2013 @ 20:53

  16. Men det finns skydd som fungerar. Flera säkerhetslösningar med öppen källkod – programvaror vars kod kan granskas av alla – har fortfarande inte knäckts av någon underrättelsetjänst.

    Kommentar av Wilfredo T. Miles — 22 november 2013 @ 9:42

  17. @Wilfredo T. Miles: Hur vet du det? Om de har saboterat slumptalsgeneratorerna i hårdvara är väl all mjukvara chanslös? Eller är det möjligt att öka ”slumpaktigheten” på mjukvarunivå?

    Kommentar av Ano Nym — 24 november 2013 @ 22:03


RSS feed for comments on this post.

Skapa en gratis webbplats eller blogg på WordPress.com.

%d bloggare gillar detta: