web-dev-qa-db-ja.com

Linuxはユーザーをスパイしていますか?

コンピュータに何らかのLinuxディストリビューションをインストールする場合、それらの所有者があなたをスパイしている可能性はありますか?

たとえば、Ubuntu、Kali、またはArch Linuxは、あなたがしていることに関するデータをその所有者に送信できますか?カーリーについて言えば、NSAまたは他の企業にとって、なぜそれが必要なのか、それを使って何をしているのかを知ることは興味深いでしょう...それは単にセキュリティの問題ですそれら...

7
Alex

十分に確認していない誰かから取得したコードを実行し、インターネットに接続されたシステムで実行すると、そのコードを書いたりデプロイした人が、使用状況に関するデータを別のシステムに送信する危険性があります。 OSに関係なくそうです。そう、それは可能です。

質問は、「過去にこれが発生したか」、「将来発生する可能性があるか」となります。人々が誤ってLinuxディストリビューションからサードパーティにデータを送信していた可能性がある場所に思い浮かんだ唯一のケースは、ubuntu linux Shopping Lens whichcouldスパイウェアと見なされ、一部の人が使用した。

それ以外では、言及されたLinuxディストリビューションからの大規模なスパイ行為の例は知りません。あなたが言うように、kaliのようなペンテストディストリビューションは魅力的なターゲットですが、ユーザーはシステムからの無差別なデータの送信に気づく可能性が高くなります。

結局、それは信頼に帰着します。他の誰かが所有するコードを実行することにより、そのシステムに入力するすべてのデータでそれらを信頼します(このコンテキストにおける信頼を「裏切る力」と考えてください)。

システムに対する信頼をどのように確立するかは本当に良い質問であり、私が見る限りでは、答えはほど遠いものです。

26
Rory McCune

ビジネスモデルの異なるLinuxディストリビューションはたくさんあります。それらのほとんどはおそらく積極的にユーザーをスパイしていないが、一部は故意にそれをしている:

北朝鮮のRed Star Linuxが卑劣なシリアルコンテンツトラッカーを挿入

ERNWのセキュリティアナリストであるFlorian Grunowは、北朝鮮のRed Star Linuxオペレーティングシステムがコンテンツに一意の非表示タグを付けてユーザーを追跡していると述べています。

2
Steffen Ullrich

あなたの質問に答えるために、Linuxや他のオープンソースプロジェクトと並列にするために、他のオープンソース製品(OpenSSL)について言及する必要があります;それで、私はあなたにそれについての短い物語を紹介させてください、そしてうまくいけばあなたは論理を理解します:

HeartBleed脆弱性 です Stephen Hensonによって最初に導入されました2011年の大晦日。より正確に言うと、それは Robin Seggelmann であり、当時Ph.Dでした。 OpenSSL( HeartBeat はすでに SSL2. 仕様に含まれていました)のHeartBeat拡張機能を開発し、それを OpenSSL に提案したデュースブルクエッセン大学の学生=バグを見つけられず、リポジトリにコミットした開発者プロジェクトの主導者、Stephen Henson。他の人は、この脆弱性が既知であり、公に発表されるずっと前に悪用されたと示唆しています。

しかし、なぜ私はこれについて言及するのですか?オープンソースソフトウェアを使用すると、少なくともこのセキュリティ分野で作業している場合、何か問題がある場合は特に、いつでも自分で確認できます。 HeartBleedのバグは常に確認されています 公的に 2014年4月7日 Google Security researcher その前に理論的に言えば、興味のある人なら誰でもそれを検出できます。しかし、実際には誰もしませんでした(またはそれを開示していないことを発見した人であり、彼らの個人的な目標のためにそれを利用することを好んだ).

この短編はすべてのオープンソースソフトウェアに適用されます。理論的には、自分で、またはチームですべてをチェックする可能性があり、それを妨げるものは何もありません。これはすでに大きな利点であり、慈善団体によって多くのセキュリティの脆弱性が防止されています。しかし実際には、何人の人(私はセキュリティの分野で働いている人たちについて話している)がそれを行うのに時間と必要なスキルを持っているのか?そして、誰かがオープンソースプロジェクトのセキュリティの脆弱性を発見した場合、彼/彼女はそれを開示する意志があるのでしょうか、それとも単にそれを利用するのでしょうか?ただし、HeartBleedについて重要な点が1つあります。恒久的な開発者であるのはStephenのみであり、OpenSSLプロジェクトの他の11人のメンバーはコンピュータサイエンスとは何の関係もありません。あなたが言及したUbuntuのような他の大きなオープンソースプロジェクトなので、理論的にはこのようなリスクの性質はこの場合は少ないかもしれません。

1
user45139