我电脑中的英特尔无线网络适配器需要非免费驱动程序才能工作。我不想在我的 debian 系统上安装非自由软件。但是它是一个笔记本,没有无线网络,对我来说不是很有用。
我想知道安装此驱动程序的监控风险有多大。我的意思是,您认为无线网络驱动程序是否真的有可能恶意行为并让某些权威或第三方收集我的计算机通过无线网络传输的数据?
我怀疑这种行为如果被发现会引起丑闻,因此在某种程度上我似乎不太可能。另一方面,我们对近年来大型 IT 公司的丑闻越来越熟悉。
还是这个问题根本没有意义,因为硬件本身可能会进行恶意操作,而我们对此无能为力,这使得使用非免费或免费驱动程序无关紧要?
你认为不使用安装到我的笔记本电脑上的无线网络硬件而是因为这个非免费驱动程序而尝试寻找另一个解决方案有意义吗?
封闭的二进制文件比你有来源的东西更难审计,所以从技术上讲,这样做会增加一些风险。
但是,您可能已经承担了同等或更大的风险:
与往常一样,您必须评估您的威胁模型并为自己评估风险。
商业软件,如封闭源代码一样,没有受到与其免费(和开源)对应物相同的审查。除非每条指令或每一行代码都经过审查,否则可能存在被归类为恶意的辅助功能。
Richard Stallman 阐明了 Ubuntu 的一项功能,即默认情况下将用户搜索上传到第三方,无需征得同意。
我能想到的另一个例子是联想机器附带的广告软件。在同一制造商提供的一些盒子上还发现了硬件后门。
您不太可能需要专有的无线驱动程序才能工作。你用的是什么笔记本?
让我们重新表述您的问题:您害怕安装软件驱动程序,但不害怕将闭源硬件插入您的网络。软件驱动程序可以很容易地进行逆向工程,而对硬件设备进行逆向工程则需要更多的努力和设备。泄露数据的实际决定可能会采取任何一种方式。
我对您的建议是非常仔细地阅读 EULA 和隐私政策,包括设备和驱动程序。大多数拥有半胜任法律部门的公司会将免责声明和警告以小字体打印,以保护他们免受诉讼,实际上应该提醒用户注意可能的危险。
您还应该最小化您安装的闭源软件:驱动程序包,但不是多余的花哨的 GUI 前端,例如。
更重要的是,您应该检查驱动程序的来源:下载时需要 TLS 安全连接,检查证书以防 MITM 攻击,验证签名是否与包匹配,并在论坛上阅读其他人的经验。
注意:如果您处理的数据非常敏感,以至于您不相信 NSA/GCHQ 会处理它们,那么购买一台连接到 Internet 并带有无线网卡的笔记本电脑本身就是一种鲁莽的行为。