LINUX.ORG.RU
ФорумTalks

Исследователи извиняются за свои исследования

 


0

1

В продолжении Исследователям удалось добавить в ядро Linux уязвимый код

https://www.phoronix.com/scan.php?page=news_item&px=Hypocrite-Commit-Open-Letter

https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u

"All the other 190 patches being reverted and re-evaluated were submitted as part of other projects and as a service to the community; they are not related to the “hypocrite commits” paper. These 190 patches were in response to real bugs in the code and all correct--as far as we can discern--when we submitted them."

The public letter ends with, "While this issue has been painful for us as well, and we are genuinely sorry for the extra work that the Linux kernel community has undertaken, we have learned some important lessons about research with the open source community from this incident. We can and will do better, and we believe we have much to contribute in the future, and will work hard to regain your trust." 
★★★★★

we are genuinely sorry

Залупу им на воротник за то что 0-day выложили. Группой лиц по предварительному сговору, создали угрозу наступления тяжких последствий, 273.3, до 7 лет. Получили бы по трешке условно, в Штатах наверняка тоже что-то такое есть, надо подавать в суд против этих гавриков (сино-русских шпионов) и против допустившего это универа в целом.

shimshimshim
()
Последнее исправление: shimshimshim (всего исправлений: 1)
Ответ на: комментарий от shimshimshim

Да что вы мелочитесь, товарищ! К стенке их, к стенке, как предателей родины! А команде ядра премию выпишем.

InterVi ★★★★★
()
Ответ на: комментарий от shimshimshim

Хотя возможно тем, кто стоит за этими гнидами, именно это и надо - чтобы подали в суд и шумиха вокруг этого. А там и до попечительского комитета недалеко.

shimshimshim
()

Ну и пусть извиняются, сами виноваты. А прощать бы я их не стал.

fernandos ★★★
()

может им стоит выстраивать линию защиты словами NO BRO ITS A PRANK BRO ITS A PRANK AWW SHIEEEET

Spoofing ★★★★★
()

Это все, что требуется знать о безопасности линукса в частности и опенсорса вообще. Спасибо им.

vaddd ★☆
()

Извиняться надо было до публикации, стоя на коленях с башкой в пол вымаливать прощение. Они до сих пор членовредительство называют исследованием.

altwazar ★★★★
()
Ответ на: комментарий от InterVi

Почему если? Нет патчей - нет патчей. Все баги вновь в строю.

Если я правильно понял переписку разработчиков, они будут досконально изучать каждый из патчей и заново его добавлять. Но могу и ошибаться, потому что читать это нагромождение самоповторяющегося текста очень тяжело.

Leupold_cat ★★★★★
()
Последнее исправление: Leupold_cat (всего исправлений: 1)
Ответ на: комментарий от InterVi

Тем не менее, он прав: иск тут совершенно уместен.

Linux — это часть критической инфраструктуры.
Отношение к этому «научному исследованию» тут должно быть таким же, как если бы университет внёс изменения в план конструкции подвесного моста так, чтобы он упал от бокового метра в 5м/с.

aidaho ★★★★★
()
Ответ на: комментарий от aidaho

Тем не менее, он прав: иск тут совершенно уместен.

Иск будет уместен юридически, но позорен по сути. Потому что иного способа привлечь внимание и показать дырявость организационной структуры линукса и субъективность анализа присылаемого просто не существует. Сколько там еще сидит подобных уязвимостей, присланных настоящими профессиональными злоумыщленниками - только им самим известно

vaddd ★☆
()
Ответ на: комментарий от InterVi

вот будет угар, если из-за отката 190 нормальных коммитов вновь открылись уязвимости

потому что надо не откатывать нормальные коммиты, а чинить конкретно указанные )

vaddd ★☆
()
Ответ на: комментарий от vaddd

Этих хотя бы спалили. А сколько засланных агентов намеренно коммитят баги в проприетарщину, страшно подумать.

Harald ★★★★★
()
Ответ на: комментарий от vaddd

Ну, у мейнтейнеров подозрения определённо возникли, они покопались, и нашли публикации этих исследований. Сами исследователи в LKML не писали, «как мы ловко вас нае^Wобманули»

Harald ★★★★★
()
Ответ на: комментарий от Harald

А сколько засланных агентов намеренно коммитят баги в проприетарщину, страшно подумать.

Только это тогда не засланные агенты, а профессионалы и в проприетарщине это не баги, а фичи.

vaddd ★☆
()
Ответ на: комментарий от Harald

Ну, у мейнтейнеров подозрения определённо возникли, они покопались, и нашли публикации этих исследований.

То есть они попросту вообще не скрывали? И вся фишка лишь в том, что они не сообщили ядрописателям? О, так это еще круче.

vaddd ★☆
()
Ответ на: комментарий от vaddd

Какая разница, скрывали или не скрывали, факт, что их спалили. Значит, опенсорс коммюнити стронг, тыщи глаз на страже безопасности, все дела.

Harald ★★★★★
()
Ответ на: комментарий от Harald

Спалили? ) Если они в открытую где-то писали о том, что вот мы добавили дырок и запустили таймер - когда наконец эти тысячи глаз обнаружат? Где-нибудь вообще можно прочитать объективное описание того, что произошло, с раскладкой по времени? Так чтобы без эмоциональных воплей и покаяний?

vaddd ★☆
()
Ответ на: комментарий от vaddd
  1. ребята добавили дырок
  2. ребята вместо responsible disclosure выложили, блин, статью
  3. ребята пошли в бан
  4. ребята плачут

Остальное — шелуха.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Ребятам за эту статью надо низко кланяться всем сообществом и вручить им вполне заслуженные ордена и премии

https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

а вот остальное - в самом деле эмоциональная шелуха

vaddd ★☆
()
Последнее исправление: vaddd (всего исправлений: 1)
Ответ на: комментарий от vaddd

Если бы они связались с мэйнтейнерами, закрыли дырки, и только потом её выложили, тогда да. Их дырки, не их дырки — не важно.

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от vaddd

Да, это вопрос морали, и они в него с треском проиграли.

Нет, так получилось эффектнее, не путать с эффективнее. Ну, смотря какая у них была цель. Если нагадить альма-матер, то эффективнее, да. За аппрув социальных экспериментов над людьми, не дававшими согласия, да ещё и публично идентифицируемыми, их комиссии по этике грядёт большая «радость».

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)

Это третья фаза исследования – «мы им сказали, что оставшиеся 190 патчей не относятся к исследованию, и они нам поверили».

Zeta_Gundam
()
Ответ на: комментарий от vaddd

То есть они попросту вообще не скрывали?

Их давно спалили и не раз просили перестать присылать заранее сломанные патчи и тратить время ядрописателей. Но они продолжали это делать и при обнаружении лепили нелепые отмазки в списках рассылки

Привлекла внимание не вскрытая исследователями информация, а то, что ядрописателей задолбала эта ситуация и они решили, что в плане человеко-часов и нервотрепки проще вообще не принимать патчи от втянутых в это личностей.

altwazar ★★★★
()
Ответ на: комментарий от t184256

Да, это вопрос морали, и они в него с треском проиграли.

Игры в мораль - даже не вторичны, а третичны по сравнению с главной целью - осознанию необходимости пересмотра подхода к безопасности линукса

Нет, так получилось эффектнее, не путать с эффективнее.

И эффектно и эффективно. Есл бы статью опубликовали постфактум, по закрытию дырок - ее бы скучая полистало пару сотен человек. А так, после громкого взрыва цистерны с овном, игнорировать происшедшее уже тяжело

vaddd ★☆
()
Ответ на: комментарий от altwazar

Их давно спалили и не раз просили перестать присылать заранее сломанные патчи и тратить время ядрописателей. Но они продолжали это делать и при обнаружении лепили нелепые отмазки в списках рассылки

Где-то это описано? Потому что в статье есть таблица, где упоминается вроде как процент обнаруженных уязвимостей. То есть при том, что их якобы спалили, все равно обнаруживали от силы половину присылаемых ими дырок? Молодцы, че, чем дальше - тем больше их уважаю

vaddd ★☆
()
Последнее исправление: vaddd (всего исправлений: 2)
Ответ на: комментарий от vaddd

Ребятам за эту статью надо низко кланяться всем сообществом и вручить им вполне заслуженные ордена и премии

За статью может быть и да, но вот за публикацию собственноручно привнесённой уязвимости до сообщения о ней монтейнерам наказать следовало и им ещё повезло что никто этой уязвимостью не воспользовался чтобы что-то украсть что либо значительное, как минимум им бы пришлось доказывать уже не сообществу, а полиции то, что они не состоят в сговоре с ворами.

Вообще хорошо бы сообщнству написать разъяснение, что

  1. проводить такие исследования можно, но баги должны сообщаться куда следует и точно в определённый срок.
  2. эксперементы доожны проводится только в случае недрсиаточности уже имеющегося материала.
    (истории ужачных и неудачных попыток отправить в ядро коммит)
torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 4)

Из цитаты видно что они извиняются лишь за то, что нагрузили дополнительной работой, собственно ни за что другое они и не могли бы извиниться, да и за это скорее всего бы не следовало, т.к. это непосредственная работа которую надо сделать, т.е. это самый быстрый способ на пальцах показать места уязвимости через их непосредственное внесение. Честно считаю, что сообществу оказали услугу этим исследованием, при этом совершенно бесплатно.

За что действительно они могли бы извиниться, это за вынесение сора из избы. Нужно было тихонько сообщить нужным людям что их ревью и система принятия кода в ядро не выдерживает никакой критики, и указать места и действия повлекшие к этому плачевному состоянию. Но сдается мне, не меньше сор из избы начало выносить само core team надув щеки и с каждой колокольни порицая как само исследование, так и тех кто принимал в нем участие.

abcq ★★
()
Ответ на: комментарий от InterVi

Их же не просто откатили, а откатили, чтобы проверить их вредоносность.

fernandos ★★★
()
Ответ на: комментарий от abcq

Как я прнимаю их бы не стали особо упрекать если бы они сообщили о уязвимостях в ветку безопасности и выдержали положенный до публикации срок.

Вообще такие эксперементы не доожны одобряться, так как нельзя точно узнать то, действительно ли веедрили уязвимость с целью исследование или само исследование использовали как прикрытие для того чтобы что-то украсть.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

Может быть, может нет. После драки кулаками не машут. Есть перегибы с обоих сторон, но со стороны разработчиков ядра, имхо, сейчас перегибы больше, потому что все прекрасно знают что любая проблема вынесенная на широкую публику почти со 100% вероятностью породит еще больше проблем, в виде хейта, травли, и прочих малоприятных вещей. Это нужно было замять тихо, и просто поблагодарить за содействие в поиске уязвимостей, поглубже засунув свое возмущение и эго.

Вообще такие эксперементы не доожны одобряться, так как нельзя точно узнать то, действительно ли веедрили уязвимость с целью исследование или само исследование использовали как прикрытие для того чтобы что-то украсть.

тогда бы не было логики вообще вскрываться, могли бы и дальше портить код ядра.

abcq ★★
()
Последнее исправление: abcq (всего исправлений: 1)
Ответ на: комментарий от vaddd

Где-то это описано?

Мейлинг лист: https://lore.kernel.org/linux-nfs/20210407001658.2208535-1-pakki001@umn.edu/

Разработчики уже были в курсе об этом исследовании и о присылаемых ранее заведомо кривых патчах в ядро. Когда один из них, в очередной раз, спалился за этим занятием, то он даже не сказал что-то типа «упс, попался, звиняйте», а продолжил мазаться, врать и заявил, что он больше не будет отсылать патчи такому убогому комьюнити.

Ядрописатели пришли к выводу, что иметь дело с такими людьми себе дороже.

altwazar ★★★★
()
Ответ на: комментарий от aidaho

В этой истории нехватает признания мейтейнерами своего обсёра. Выглядит так, будто они и дальше собираются халтурить, а во всём виноваты плохие исследователи.

InterVi ★★★★★
()
Ответ на: комментарий от abcq

Нет, отшельмовали их правильно, потому что правильно они сообщат о уязвимости или нет, что надо думать если за время пребывания в продакшене именно этой уязвимостью кто-то воспользовался?

Лучше сразу сказать что сознательное внедрение уязвимостей в продакшн запрещено, это надо не столько для этого случая, сколько для будущего вообще.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от InterVi

В этой истории нехватает признания мейтейнерами своего обсёра. Выглядит так, будто они и дальше собираются халтурить,

Три вопроса:

  1. сколько надо рабочего времени и специалистов чтобы "не халтурить"?
  2. деньги можно напечатать, но есть ли нужно количество специалистов на нашей планете вообще?
  3. кто всё это "не халтурить" будет оплачивать?
torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 5)
Ответ на: комментарий от torvn77

Нет, отшельмовали их правильно, потому что правильно они сообщат о уязвимости или нет, что надо думать если за время пребывания в продакшене именно этой уязвимостью кто-то воспользовался?

Думаю все же, о том что уязвимости просочились в релиз было доложено тут же, и скорее всего узкому кругу лиц. Опять же в продакшене никто не сидит на последнем релизном ядре в общем все не так страшно. Ну и последнее что можно об этом сказать, это то, что скорее всего в ядре есть и другие уязвимости и по сути они ничем не отличаются от этих, просто за них вряд ли кто-то побежит, как вы выразились «отшельмовывать» тех, чьи коммиты привели к этим уязвимостям, просто в виду того, что они не в поле резонанса.

Лучше сразу сказать что сознательное внедрение уязвимостей в продакшн запрещено, это надо не столько для этого случая, сколько для будущего вообще.

Тогда бы исследование потеряло смысл. В данной ситуации все-таки core team должно уступить, имхо, это их работа, они прекрасно знают какая на них ответственность и что тоже самое может происходить прямо сейчас без вообще какого-либо уведомления, но почему-то именно на тех, кто им помогает с этим бороться, они полкана спустили и очень обиделись, опять же имхо, это глупость.

abcq ★★
()
Последнее исправление: abcq (всего исправлений: 1)
Ответ на: комментарий от abcq

Думаю все же, о том что уязвимости просочились в релиз было доложено тут же, и скорее всего узкому кругу лиц.

Нет, почитай новости о это исследовании, они о уязвимостях сообщили публично до их устранения или истечения срока.

torvn77 ★★★★★
()
Ответ на: комментарий от abcq

Опять же в продакшене никто не сидит на последнем релизном ядре в общем все не так страшно.

Как я понимаю это зависит от содержания и смысла патча: в отличии от патчей с новым функционалом исправления багов и уязвимостей могут попать непосредственно в продакшн.

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

я бы предпочел цитаты ). Но, даже если так, в любом случает я уже говорил что у обоих сторон есть перегибы. И согласен с тем что так делать нельзя, это минимум неэтично. Тем не менее они хотя бы вскрылись сами, т.е. злого умысла у них определенно не было.

abcq ★★
()
Ответ на: комментарий от torvn77

это могло бы стать проблемой, хорошо что весь этот балаган прекратили вовремя. И сразу как только вывалился релиз, а не через месяц после него, дав время растащить такие патчи.

abcq ★★
()
Ответ на: комментарий от abcq

скорее всего в ядре есть и другие уязвимости и по сути они ничего не отличаются от этих

  1. о одних уяхвимостях может не знать даже их автор.
  2. рано или поздно автору придётся давать объяснения сообщетву, причём это сообщество будет разбираться в коде не хуже, а может итлучше него.
torvn77 ★★★★★
()
Ответ на: комментарий от t184256

Ничего не изменится, статья капитанская, так было, так будет.

Хоть что-нибудь, да изменится. Как минимум спадет розовое настроение у многих пользователей «это же опенсорс! значит все проверяется и все безопасно!»

vaddd ★☆
()
Ответ на: комментарий от altwazar

Разработчики уже были в курсе об этом исследовании и о присылаемых ранее заведомо кривых патчах в ядро. Когда один из них, в очередной раз, спалился за этим занятием, то он даже не сказал что-то типа «упс, попался, звиняйте», а продолжил мазаться, врать и заявил, что он больше не будет отсылать патчи такому убогому комьюнити.Ядрописатели пришли к выводу, что иметь дело с такими людьми себе дороже.

И вместо этого они будут продолжать иметь дело с теми, кто об этом просто не сообщает. Гы.

vaddd ★☆
()
Ответ на: комментарий от torvn77

в общем-то ошибки были всегда, но бомбануло почему-то именно сейчас. Скорее все же банально это вопрос эго. Кортим щелкнули по носу, обличили в том, что на всех уровнях проверки кода, вышестоящий уровень полагается на то, что ниже стоящий уже проделал всю работу и по факту просматривают код по диагонали. Да, исследователи могли бы сообщить на этапе последнего рц, дав возможность самой верхушке команды ревью сохранить лицо и сказать что они еще не смотрели код, но тогда бы это подпортило картину самого исследования.

В общем, не настаиваю, но все-таки это дело лучше замять побыстрее и сделать выводы, как одной, так и другой стороне.

abcq ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.