Исследователи извиняются за свои исследования

В миру обычных людей существует аналог - «тайный покупатель»

Заранее договорись о процедуре исследования и флаг тебе в руки. Разработчики могут сидеть на стороже неделю, может месяц. Договорись о рассылке патчей в течении полугода и получишь своё чистое исследование.

Как это не было? ) Проявить дефекты системы.

Эти дефекты системы были известны и их прекрасно можно было изучить на уже добавленных в ядро патчах. Об этом в курсе были и сами исследователи.

Что за детсад - «трепать нервы»? Это не институт благородных девиц.

Люди тратят время на ревью и нервы на разборки. Хотели бы посраться, пошли бы на лор. В рабочей обстановке это неуместно.

Они смогли обратить внимание на то, что в ядро имеет огромный шанс попасть любой хлам, в том числе и от настоящих злоумышелнников.

Там этого хлама хоть жопой жуй, это всегда было известно. Хватит на несколько выпусков студентов с подобными исследованиями.

Заранее договорись о процедуре исследования и флаг тебе в руки

Пропадает весь смысл - «проверяйте нас особо тщательно, потому что мы будем вам отправлять дырявый софт»

Разработчики могут сидеть на стороже неделю, может месяц.

А в другое время им никто подобного не присылает и они могут проверять тяп-ляп.

Там этого хлама хоть жопой жуй, это всегда было известно

Были лишь догадки, а теперь конкретный результат.

Заранее договорись о процедуре исследования и флаг тебе в руки. Разработчики могут сидеть на стороже неделю, может месяц.

Разве разработчики не должны быть настороже всегда и без всяких предупреждений?

С одной стороны, над разработчиками провели эксперимент изначально не поставив их в известность, что закономерно разозлило их.

С другой стороны - предупреждение об эксперименте испортило бы его чистоту.

Какой вариант не выбери - получается все равно плохо. Впрочем, в статье указано, что после приема патчей все обо всем были предупреждены.

С другой стороны - предупреждение об эксперименте испортило бы его чистоту.

Такие эксперименты проводятся сплошь и рядом, с разрешения верховного чингачгука.
Чингачгук единственный в курсе, и имеет возможность в последний момент изъять тестовые изменения.
Теорема дырявости доказана, все довольны.

С одной стороны, над разработчиками провели эксперимент изначально не поставив их в известность, что закономерно разозлило их.

Я бы сказал, что с университетскими ещё крайне политкорректно обошлись. Практически с нежностью.
Часть работы Грега — это отказываться от кода. Грег откатил код и выдвинул какие-то встречные требования к универу.

Не ахти какое отклонение от ежедневной рутины.

Пропадает весь смысл - «проверяйте нас особо тщательно, потому что мы будем вам отправлять дырявый софт»

Они с подставных емейлов изменения отправляли. Нельзя тщательно проверять всех всё время, повысить уровень внимания можно на короткий промежуток времени.

А в другое время им никто подобного не присылает и они могут проверять тяп-ляп.

Я про то, что нельзя увеличить концентрацию внимания из-за ожидания возможной подставы на длительный срок. Можно получить те же чистые результаты и без вредительства.

Были лишь догадки, а теперь конкретный результат.

У теоретиков с форума? Такие баги находят постоянно и известно кто запостил, кто принял. Об этом в курсе были и сами исследователи.

С другой стороны - предупреждение об эксперименте испортило бы его чистоту.

В том то и дело, что не испортило было. А вот проведение подобных экспериментов без предупреждения и заранее обговоренных рамок поставит клеймо на «исследователях». Доверять им в последствии никогда не будут и при каждой ошибке с их стороны будут припоминать эксперимент.

Они с подставных емейлов изменения отправляли. Нельзя тщательно проверять всех всё время, повысить уровень внимания можно на короткий промежуток времени.

То есть в ядро пихают все подряд, по сути без проверки. Это они и показали наглядно.

Такие баги находят постоянно и известно кто запостил, кто принял.

А теперь есть статистический результат - вероятность принятия вредоноса выше 50 процентов

Это они и показали наглядно.

Они ничего не показали, просто для кого-то это больная тема. Выявленные сообществом косяки не имеют (по заявлениям «исследователей») отношения к исследованию. Выявить эти ошибки исследователи не помогали.

Правдоподобного объяснения этим косякам они тоже не дали, поэтому уже само сообщество приписало эти ошибки к уже завершенному (со слов «исследователей») эксперименту, так как они один в один повторяли описанные в нём косяки.

В обычной ситуации ядрописатели попытались бы разъяснить контрибьютеру его ошибки, так как косяки - обычное дело и через них проходит каждый. Но они решили, что этот человек прикидывается шлангом и умышленно тратит их время в пустую. Что естественно, человек накидывает друг за другом сомнительные патчи, не отвечает на заданные ему и причастен к группе, которая занимается подобными действиями.

После объяснения в духе «это мой экспериментальный стат. анализатор, в коде я ничего не понимаю, идите на хер» для ядрописателей ситуация стала выглядеть так: они либо имеют дело с конченными отморозками (врут до последнего и не следуют положениям собственного исследования), либо с клиническими идиотами (шлют патчи от экспериментального анализатора под видом фиксов, не читают их перед отправкой, не отвечают на комментарии).

Вот суть этого горячего топика. Были бы это патчи от другого разработчика, их бы обнаружили, объяснили бы в чем он не прав и как в следующий раз надо делать. Не было бы расправы над вредителями и смотреть бы было не на что.

Они ничего не показали

Если не читать статью, то конечно вы ничего не увидите

Но они решили, что этот человек прикидывается шлангом и умышленно тратит их время в пустую. Что естественно, человек накидывает друг за другом сомнительные патчи, не отвечает на заданные ему и причастен к группе, которая занимается подобными действиями.

а, и поэтому поместили эти патчи в ядро, да?

Были бы это патчи от другого разработчика, их бы обнаружили, объяснили бы в чем он не прав и как в следующий раз надо делать.

а эти разработчики оказались такими отморозками, что им назло патчи проверять не стали. Вы еще не устали выдумывать глупости?

А теперь есть статистический результат - вероятность принятия вредоноса выше 50 процентов

из чего ты сделал такой вывод ? исследование проводили ламеры которые не разбираются в ядре

https://lore.kernel.org/lkml/YIEqt8iAPVq8sG t@sol.localdomain/

единственный баг который прошёл ревью

https://lore.kernel.org/lkml/20200821070537.30317-1-jameslouisebond@gmail.com/

то что попало в ядро не ошибка - ламеры не разобрались что этот бесполезный патч вреда не имеет

https://lore.kernel.org/lkml/20200821031209.21279-1-acostag.ubuntu@gmail.com/

но стаью написали, только измеили в ней код чтобы его невозможно было идентифицировать и опровергнуть их враньё

Вы еще не устали выдумывать глупости?

Тоже решил шлангом прикинуться и съехать с темы?

Разработчики сами нашли эти патчи-пустышки, сами устранили и до живых систем эти патчи не дошли. Горе исследователи показали только то, что проведение пентеста на людях без их согласия приведет к полной потере доверия с их стороны. И что без доверия сомнительные действия в будущем будут рассматриваться как саботаж и вредительство.

из чего ты сделал такой вывод ?

из их статьи.

исследование проводили ламеры которые не разбираются в ядре

https://lore.kernel.org/lkml/YIEqt8iAPVq8sG t@sol.localdomain/

как вы определили, что это ламеры, которые не разбираются в ядре?

единственный баг который прошёл ревью

а они пишут не о единственном

то что попало в ядро не ошибка - ламеры не разобрались что этот бесполезный патч вреда не имеет

бесполезен значит, но в ядро попал. тоже хорошо.

Разработчики сами нашли эти патчи-пустышки, сами устранили и до живых систем эти патчи не дошли.

Естественно не дошли, они же не злоумышленники. А устранять можно то, что уже прошло проверку и попало в ядро.

И что без доверия сомнительные действия в будущем будут рассматриваться как саботаж и вредительство.

Значит на доверии в ядро вставляли то, что присылалсь от имени «джеймсов бондов». И в будущем тоже продолжат.

как вы определили, что это ламеры, которые не разбираются в ядре?

посмотрел на их патчи

бесполезен значит, но в ядро попал

бесполезен в том смыле что ничего не меняет - выдаёт отладочную инфу. Настоящие исследователи должны были предоставить пруфы а они их наоборот скрыли. Но тебе же всё равно, верно ? Главное в интернете написано по-английски.

как вы определили, что это ламеры, которые не разбираются в ядре?

посмотрел на их патчи

То есть вы разбираетесь в ядре лучше них. Позвольте выразить вам глубокое уважение и снять перед вами шляпу.

Главное в интернете написано по-английски.

Вот именно. Надеюсь, вы и саму статью прочтете.

Надеюсь, вы и саму статью прочтете.

в отличии от тебя статью я прочитал - они исказили код до неузнаваемости в примерах где демонстрировали атаки c внедрением UAF

Unfortunately they obfuscated the code in their paper for some bizarre reason and don't provide a proper list, so it's hard to know for sure though

а ты просто веришь написанному на заборах

в отличии от тебя статью я прочитал - они исказили код до неузнаваемости в примерах где демонстрировали атаки c внедрением UAF

И правильно что исказили. Это не руководство по написанию или использованию багов, а исследование дырявости оргструктуры написания ядра.

Unfortunately they obfuscated the code in their paper for some bizarre reason and don’t provide a proper list, so it’s hard to know for sure though

а ты просто веришь написанному на заборах

вы процитировали стон обиженных, а не профессионалов, ответственных за безопасность.

Это не руководство по написанию или использованию багов, а исследование дырявости оргструктуры написания ядра

https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceIns...

вместо кода они в статье разместили псевдокод который и есть руководство по написанию а не пруф на реальное внедрение

вы процитировали стон обиженных

он в отличии от тебя прочитал статью, попытался найти что было в реальности. А там ничего не было. Даже формально не замеченый баг не пропустили а сказали переделать и не известно чем бы это закончилось - «атакующий» слился

вместо кода они в статье разместили псевдокод который и есть руководство по написанию а не пруф на реальное внедрение. он в отличии от тебя прочитал статью, попытался найти что было в реальности. А там ничего не было. Даже формально не замеченый баг не пропустили а сказали переделать и не известно чем бы это закончилось - «атакующий» слился

Ясно, в статье все ложь, не стоит обращать внимание. Спасибо, что помогли разобраться

Ясно, в статье все ложь, не стоит обращать внимание.

не всё - там есть пример реального CVE с UAF но его нашёл KASAN еще в 2019 и это такой CVE что хрен им воспользуешься

А они значит должны были отправлять реальные бомбы, которыми можно воспользоваться. Спасибо, что разъясняете их ошибки.

А они значит должны были отправлять реальные бомбы

не должны но отправляли, только бомбы не дошли, но на весь мир растрезвонили что только благодаря им не произошло страшное несчастье, вот такие герои - можешь сосать им теперь пожизненно в знак благодарности

не должны но отправляли, только бомбы не дошли, но на весь мир растрезвонили что только благодаря им не произошло страшное несчастье, вот такие герои - можешь сосать им теперь пожизненно в знак благодарности

благодаря им либо перестанут принимать патчи от джеймсовбондов, либо начнут качественнее проверять присылаемое - чтобы в ядро не попадал хлам или опасный продукт

Всё останется как было, по физиономии шпика не определишь, на проверку патчей нужны квалифицированные люди и деньги для их найма.

Единственно что другие институты будут больше опасаться проведения всяких экспериментов.

Опасаться надо не экспериментов, а того, что присылают по-настоящему опасные штуки

на проверку патчей нужны квалифицированные люди и деньги для их найма.

нет людей и денег - нет безопасности

Нет, с теми людьми что есть безопасность вполне достижима и делается она за счёт того, что из проекта исключают людей с подорваной репутацией или просто замусоривающих процесс разработки.

И в любом случае, разработка линукса ведётся частными лицами и в частных репозитариях, кто не согласен может сделать свой репозитарий и сам принимать в него патчи так как посчитает это нужным делать.

И раз никто этого не делает значит это не очень то и нужно.

нет людей и денег - нет безопасности

Языком чесать - все умные. Что ты тут сидишь, я не понял? Беги, пропихивай патч в апстрим доказывай, что нет безопасности. Там же никто ничего не смотрит, ни у кого денег нет. Исследователи просто так свои жопы подставили думаешь? Давай. Ждём от тебя массовых взломов амазона.

Нет, с теми людьми что есть безопасность вполне достижима и делается она за счёт того, что из проекта исключают людей с подорваной репутацией или просто замусоривающих процесс разработки.

и поэтому в проекте остаются лишь люди с кристально чистой репутацией. другие туда ничего не присылают

Языком чесать - все умные. Что ты тут сидишь, я не понял? Беги, пропихивай патч в апстрим доказывай, что нет безопасности. Там же никто ничего не смотрит, ни у кого денег нет. Исследователи просто так свои жопы подставили думаешь?

Огласите свою версию - зачем исследователи подставили жопы?

Ждём от тебя массовых взломов амазона.

От меня? Вы не перегрелись, часом?

и поэтому в проекте остаются лишь люди с кристально чистой репутацией. другие туда ничего не присылают

И это хорошо.

Совет нечестивых будь далек от меня!

Блажен муж, который не ходит на совет нечестивых и не стоит на пути грешных и не сидит в собрании развратителей,

И это хорошо.

главное - верьте

Огласите свою версию - зачем исследователи подставили жопы?

Чтобы ты занялся делом, пошел, протолкнул говнопатч в прод и этим эпично затролил весь ЛОР. Тут один анон успешно подбирал в npm пароли разрабов брутом из топ 100 паролей 2к19. У тебя тоже всё получится, давай, за дело, нечего тут языком чесать.

Чтобы ты занялся делом, пошел, протолкнул говнопатч в прод и этим эпично затролил весь ЛОР

вы бредите? какие-то странные у вас потребности

какие-то странные у вас потребности

Нормальные потребности. Так ты только языком чешешь, а так бы делом доказал.

а так бы делом доказал.

вам? зачем это вам нужно?

Чтобы были твёрдые доказательства дырявости, а не очередная трепотня, для чего же еще?

главное - верьте

смех в том что верующий ты - тебе говно на лопате без пруфов подсунули а ты нахлебался даже не прочитав. То что в ядре уязвимости могут быть это и так известно - кому нужно меры придпринимают чтобы смягчить последствия от возможных уязвимостей

Статью вы значит так и не прочитали

Статью вы значит так и не прочитали

цитаты приведи с тексом уязвимых патчей которые заслали они или ссылки на них

Вы даже содержания статьи не знаете, а все текст патчей ищете.

Вы даже содержания статьи не знаете, а все текст патчей ищете

может перестанешь идиотом прикидываться - в статье вместо патчей псевдокод, чувак нашёл очень похожие и по времени и по содержанию на то что они описывали и все они не прошли ревью

https://lore.kernel.org/lkml/YIEqt8iAPVq8sG t@sol.localdomain/

а здесь говорят, что прошли )

https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/

а здесь говорят, что прошли

прошли говнопатчи с реального аккаунта

From: Aditya Pakki <pakki001@umn.edu>

I took a look on 4
accepted patches from Aditya and 3 of them added various severity security

в статье они явно указали что уязвимые патчи засылали с фейковых адресов

Thethree cases represent three different kinds of hypocrite commits:(1) a coding-improvement change that simply prints an error message, (2) a patch for fixing a memory-leak bug, and (3) a patch for fixing a refcount bug. We submit the three patches using a random Gmail account to the Linux community and seek their feedback—whether the patches look good to them

в извинении говорят что ни один уязвимый патч не дошел до дерева исходников - эти клоуны даже не знали что назасылали говнопачей с ошибками с реального аккаунта потому что ламеры - нельзя просто так придти со стороны и начинать патчить не разбравшись а что вообще этот код делает

прошли говнопатчи с реального аккаунта

да какая разница, откуда они прошли. говнопатчи прошли - все.

да какая разница, откуда они прошли

для тебя очевидно никакой разницы - 3 из 200 или 3 из 4

А теперь есть статистический результат - вероятность принятия вредоноса выше 50 процентов
из чего ты сделал такой вывод ?
из их статьи

Исследователи извиняются за свои исследования (комментарий)

главное говнеца поесть :)

для тебя очевидно никакой разницы - 3 из 200 или 3 из 4

3 из 4 - 75%

главное говнеца поесть :)

статью вы значит так и не прочитали или не поняли

статью вы значит так и не прочитали

да прочитал я её и всё понял в отличии от тебя - ей можно подтереться, а ты кушать начал :)

вам прямым текстом на кернеле пишут, что говнопатчи прошли, а вы только себя слышите, куда уж тут надеяться, что вы статью прочтете.

We submit the three patches using a random Gmail account

accepted patches from Aditya
Aditya Pakki <pakki001@umn.edu>

где ты тут увидел gmail ? счас все патчи с уязвимостями будешь считать что они из статьи и проценты считать ?

о чем вы вообще, я разве что-нибудь говорил про gmail?

я разве что-нибудь говорил про gmail?

а ты тут при чём - ты чтоли статью написал

еще раз - вам люди с кернела сами подтверждают, что говнопатчи прошли, а вы какой-то фигней маетесь - «а вот с этого адреса не прошли», «а вот это с не гмэйл почты писали»

люди с кернела сами подтверждают, что говнопатчи прошли

там много говнопатчей но как они связаны с опубликованной статьёй ? ты написал что проценты посчитал на основании статьи

Исследователи извиняются за свои исследования (комментарий)

патчи из статьи не прошли ревью - их в принципе нет в ядре

да вы статью наконец прочитайте, о чем она вообще

да вы статью наконец прочитайте, о чем она вообще

так о чём же она вообще на ваш вкус ?

Вот тебе для старта

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/drive...

	if (!dev) {
		dev_err(dev, "unable to find platform device for %pOF\n", node);
		goto out;
	}

результат говнокода когда что-то пошло не так

Драйвера (комментарий)

беги скорей статью писать - прославишься крутым исследователем уязвимостей.

Вам видимо кажется, что если цепляться к коду, к почтовому адресу отправителей, то это изменит суть - в ядре оказались одобренные, но непроверенные говнопатчи. Попробуйте еще покопаться в прошлом авторов статьи, возможно вы обнаружите, что у кого-нибудь из них бабушка вышла замуж за родственника. Это должно помочь не обращать внимания на происшедшее