Se installi qualche tipo di distribuzione Linux sul tuo computer, è una loro possibilità che i loro proprietari possano spiarti?
Ad esempio, Ubuntu, Kali o Arch linux possono inviare i dati ai propri proprietari su ciò che si sta facendo? Parlando di Kali, immagino che sarebbe interessante per l'NSA o qualsiasi altra società sapere perché ne hai bisogno e che cosa stai facendo con esso ... È solo questione di sicurezza per loro ...
Ogni volta che esegui codice acquisito da qualcuno che non hai completamente rivisto e gira su un sistema connesso a Internet, c'è il rischio che la persona che ha scritto o implementato quel codice possa trasmettere dati sul tuo utilizzo a un altro sistema. Questo è vero indipendentemente dal sistema operativo. Quindi sì è possibile.
La domanda diventa quindi "è successo in passato" e "è probabile che accada in futuro". L'unico caso che mi viene in mente dove le persone potrebbero aver inviato inavvertitamente dati di una distribuzione linux a terze parti era l'ubuntu linux Shopping Lens che potrebbe essere considerato come spyware ed era di alcuni.
Al di fuori di questo, non sono a conoscenza di casi di spionaggio su larga scala dalle citate distribuzioni di Linux. Come dici tu, le distro importanti come kali sono ovviamente un bersaglio invitante, ma i loro utenti hanno più probabilità di notare una trasmissione indiscriminata di dati dai loro sistemi.
In fin dei conti si tratta di fiducia. Eseguendo un codice appartenente a qualcun altro ti stai fidando (pensa alla fiducia in questo contesto come "il potere di tradire") con tutti i dati che inserisci in quel sistema.
Il modo in cui crei fiducia in un sistema è una domanda davvero buona e che, per quanto posso vedere, è tutt'altro che una risposta.
Ci sono molte distribuzioni Linux con diversi modelli di business. Mentre molti di loro probabilmente non spiano attivamente ai loro utenti, alcuni lo fanno deliberatamente:
North Korea's Red Star Linux inserts sneaky serial content tracker
ERNW security analyst Florian Grunow says North Korea's Red Star Linux operating system is tracking users by tagging content with unique hidden tags....
Per rispondere alla tua domanda, ho bisogno di menzionare un altro prodotto opensource (OpenSSL) per fare un parallelo con Linux e altri progetti opensource ; quindi lascia che ti presenti una breve storia e spero tu capisca la logica:
HeartBleed è un vulnerabilità introdotta per la prima volta Stephen Henson solo un'ora prima del 2011, capodanno . Per essere più precisi è Robin Seggelmann , che era allora un dottorato di ricerca. studente dell'Università di Duisburg-Essen che ha sviluppato l'estensione HeartBeat per OpenSSL ( HeartBeat era già presente in SSL2.0 specifica) e l'ho suggerito al comando OpenSSL progetto dello sviluppatore Stephen Henson che non è riuscito a trovare il bug e lo ha commesso sul suo repository. Altri suggeriscono che questa vulnerabilità era conosciuta e sfruttata molto tempo fa prima di essere annunciata pubblicamente.
Ma perché dico questo? Per farti sapere che con il software open source almeno puoi sempre controllare da solo, specialmente se lavori in questo campo di sicurezza, se c'è qualcosa di sbagliato. Il bug HeartBleed è sempre stato visto pubblicamente quindi, in teoria, qualsiasi persona interessata potrebbe rilevarlo prima di Ricercatore di Google Security il 7 aprile 2014. Ma in pratica nessuno lo ha fatto (o forse è stato lui a scoprirlo a non divulgarlo e ha preferito approfittane per i loro obiettivi personali.
Questo breve racconto si applica a tutti i software open source: in teoria ti offre la possibilità di controllare tutto da solo o con il tuo team e nulla può impedirti di farlo. Questo è già un grande vantaggio e così tante vulnerabilità di sicurezza sono state prevenute dalle comunità benevoli. Ma in pratica: quante persone (sto parlando di quelli che lavorano nel campo della sicurezza) hanno tempo e competenze richieste per farlo? E nel caso qualcuno scoprisse una vulnerabilità di sicurezza in un progetto open source: avrebbe la volontà di rivelarlo o semplicemente approfittarne? Tuttavia, c'è una cosa importante da ricordare su HeartBleed: solo Stephen è stato uno sviluppatore permanente, 11 altri membri del progetto OpenSSL non hanno nulla a che fare con l'informatica, e solo un altro sviluppatore lo ha aiutato di volta in volta direttamente, a differenza altri grandi progetti opensource come Ubuntu che hai citato, quindi teoricamente tale natura dei rischi potrebbe essere inferiore in questo caso.
Leggi altre domande sui tag operating-systems linux kali-linux