Исследователи извиняются за свои исследования

Наоборот, я таким никогда не был, и всегда подобным разъяснял что скрывается за понятием «опенсорс». Таких уверенных в высоком уровне безопасности огромное просто количество.

В общем, не настаиваю, но все-таки это дело лучше замять побыстрее и сделать выводы, как одной, так и другой стороне.

Нет здесь никакой «другой стороны». Бесформенное сообщство писателей софта - это не сторона.

увы или нет, сторона. Из этого бесформенного сообщества мы с вами получаем какой-никакой продукт, а как оно организовывается это дело третье.

Линукс хорошо спонсируется. Это проблема организации, а не финансирования: не могут ревьювить - значит не надо принимать. И похоже проблему никто не собирается исправлять, от неё просто отмахнулись.

увы или нет, сторона. Из этого бесформенного сообщества мы с вами получаем какой-никакой продукт, а как оно организовывается это дело третье.

Это не сторона и не может ею быть, потому как оно вообще никак не организовывается. То, что эти два минесотчика уйдут, покаются или продолжат - вообще никак не скажется на остальных производителях продукта.

Они лишь пример того, что [могло]/[есть]/[может быть] в общем массе. Я согласен, что до фактически безликой толпы сложно будет донести что есть другие способы указать на проблему, но тем не менее любой хороший патч со стороны не должен отвергаться лишь потому, что нужно его ревьюить. Сообщество - такая, же сторона и с ней надо работать.

А как работать с сообществом? Фактически все сводится к тому, что единственная сторона должна как-то реорганизовать свой подход к присылаемому сообществом. Что они конкретно могут сделать - это большой вопрос. Разве что принимать гораздо меньше изменений, создавая очередь для более длительной проверки

вы забываете, что «единственная» сторона, сама часть сообщества, даже учитывая что они занимаются этим будучи на зарплате.

Как работать, наверное как и с любым сообществом, культивировать идеи того, что не нужно «гадить там где ешь». Более чутко обрабатывать любые сообщения о проблемах в разработке и возможных угрозах, а не отмахиваться от них и прятаться за щитом бюрократии, создавать за пределами core team, доверенные сообщества тех, кто готов так же ревьюить код и проводить его аудит. В общем-то способы есть и можно придумать что-то еще.

Вообще вы уводите смысл моих слов в другое русло, в конкретном случае под двумя сторонами имелось в виду, что кортим перестанет наезжать на исследователей, а исследователи в следующий раз, по крайней мере скажут о своих исследованиях тихо, так чтобы это не стало достоянием общественности и не подрывало ничье доверие и авторитет.

И вместо этого они будут продолжать иметь дело с теми, кто об этом просто не сообщает. Гы.

Не вместо, а без них. Что поделать, если от работы с кем-то больше вреда, чем пользы.

скажут о своих исследованиях тихо

Если я правильно понял, то исследователи просто опубликовали статью и мнение команды разработчиков пока те не разозлились их никак не интересовало. Они, судя по всему, ничего и никому и объяснять то не планировали.

Скандал устроили сами разработчики, когда они осознали, что их обыграли как по нотам, а ядро Linux - поле экспериментов.

вы забываете, что «единственная» сторона, сама часть сообщества, даже учитывая что они занимаются этим будучи на зарплате.

Они противостоят остальной программерской массе в связи с их аддминистративными функциями.

по крайней мере скажут о своих исследованиях тихо, так чтобы это не стало достоянием общественности и не подрывало ничье доверие и авторитет.

Вот это как раз точно не нужно. Доверие, держащееся на сокрытии фактов и на авторитете - ну его нафиг. Правильнее такое доверие называть обманом.

Не вместо, а без них.

То есть вы уверены, что эти «присылатели уязвимостей» были единственными? Еще раз гы.

Что поделать, если от работы с кем-то больше вреда, чем пользы.

От этих ребят пользы больше пожалуй чем от тысячи остальных.

То есть вы уверены, что эти «присылатели уязвимостей» были единственными?

Все прекрасно знают, что другие были, есть и будут. Но наличие одних вредителей не оправдывает наличие других.

так чтобы это не стало достоянием общественности и не подрывало ничье доверие и авторитет.

Ещё раз, дело не в ущемлённом авторитете, а в том, что и засланная уязвимость зашла слишком далеко, и сообщили о ней неподобающим образом с помощью открытой публикации.

Ну а Хартман отреагировал скорее всего так, как отреагировал бы на любого засылающего хитрожопые патчи вороватого нахала.
(Линуксойды чем то похожи на крепких крестьян, которые в своё пойманых конокрадов отводили в лес и где медленно, чтобы сразу не умер, сжигали на огне пойманного конокрада.
Ну или в бородах и свилами врывались в поместье к черезмерно эксплуатирующему их помещику.)

наличие одних вредителей не оправдывает наличие других.

Люди, указывающие на наличие дыр в системе обеспечения безопасности - не вредители, а благодетели

за публикацию собственноручно привнесённой уязвимости до сообщения о ней монтейнерам наказать следовало и им ещё повезло что никто этой уязвимостью не воспользовался

В статье они утверждают обратное. Кому верить?

Our goal is not to introduce vulnerabilities to harm OSS. Therefore, we safely conduct the experiment to make sure that the introduced UAF bugs will not be merged into the actual Linux code. ...

Once a maintainer confirmed our patches, e.g., an email reply indicating “looks good”, we immediately notify the maintainers of the introduced UAF and request them to not go ahead to apply the patch. ...

In all the three cases, maintainers explicitly acknowledged and confirmed to not move forward with the incorrect patches.

Извиняться надо было до публикации, стоя на коленях с башкой в пол вымаливать прощение. Они до сих пор членовредительство называют исследованием

Вопрос: сколько сотен багов сейчас находятся в ядре, и по ним нет аналогичных публикаций? Второй вопрос: сколько из этих багов внесены в ядро умышленно? Linux — это дырявый друшлаг, каким была бы любая крупная софтина, написанная целиком на языке Си.

Ещё раз, дело не в ущемлённом авторитете, а в том, что и засланная уязвимость зашла слишком далеко, и сообщили о ней неподобающим образом с помощью открытой публикации

А как по мне — нужно было довести до логичного финала: довести 0-day эксплойт плана DOS/ACE до самой стабильной ветки, чтобы потом положить все сервера гугла и амазона. Вот весело было бы.

Скандал устроили сами разработчики, когда они осознали, что их обыграли как по нотам, а ядро Linux - поле экспериментов

Ты так пишешь, будто линукс без «экспериментов» не был решетом.

Люди, указывающие на наличие дыр в системе обеспечения безопасности - не вредители, а благодетели

Так их не за это гонят. Если интересно, то читай переписку в списке рассылки:

1. Они провели исследование без согласования с разработчиками. Нет, никакой необходимости «для чистоты эксперимента» в этом не было, ожидать подставу со случайных почтовых адресов можно только короткий промежуток времени.

2. Самой необходимости в эксперименте не было. Можно было не тратить время разработчиков на бесполезные патчи. Это же они сами доказали своим исследованием, достаточно было просто зайти и посмотреть на код других патчей.

3. Когда «исследователя» еще раз спалили и попросили прекратить он прикинулся дурачком и продолжил трепать нервы разработчикам, стращая тем, что прекратит присылать патчи в ядро.

Поведение этих «исследователей» привело к тому, что с ними невозможно иметь продуктивных отношений, даже если у них на самом деле были благие побуждения.

Вопрос: сколько сотен багов сейчас находятся в ядре, и по ним нет аналогичных публикаций?

Подобных может и тысяча наберется, кто его знает.

В статье они утверждают обратное. Кому верить?

Как я понимаю события приведшие к скандалу начались присылкой этого патча:
https://lore.kernel.org/linux-nfs/20210407001658.2208535-1-pakki001@umn.edu/

Который сразу же, следующим постом вызвал вопросы:
https://lore.kernel.org/linux-nfs/20210407153458.GA28924@fieldses.org/

Далее следует сугубо техническое обсуждение итогом которого стало замечание того, что такие бредовые патчи присылаются уже не первый раз:
https://lore.kernel.org/linux-nfs/YH5%2Fi7OvsjSmqADv@kroah.com/

Если вы посмотрите на код, это невозможно.

Пожалуйста, прекратите отправлять заведомо недействительные исправления. Ваш профессор играет вокруг процесса обзора, чтобы получить документ в некоторых странным и причудливым образом.

Это не нормально, это напрасная трата времени, и нам придется сообщить об этом, ОПЯТЬ , в ваш университет …

Грег Кх

На что Леон Романовский дал пояснение:
https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/

Эти коммиты являются частью следующего исследования: https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

Они намеренно вносят ошибки в ядро. Вчера смотрел на 4 приняты патчи от Адитьи и 3 из них добавили безопасности различной степени серьезности «дыры».

Спасибо

Собственно от этого момента и отсчитывается баб-бах.

Лично моё впечатление: Адитья, который продвигал патчи этих сабжей многократно дурил людей и никакого разъяснения до начала скандала по патчам не дал и ввиду общей запутанности ситуации полный откат и перерецензирование всех патчей мне представляется логичным.

Они провели исследование без согласования с разработчиками.

Не только не наказуемо, но и вообще оптимально. В миру обычных людей существует аналог - «тайный покупатель»

Самой необходимости в эксперименте не было.

Как это не было? ) Проявить дефекты системы.

Когда «исследователя» еще раз спалили и попросили прекратить он прикинулся дурачком и продолжил трепать нервы разработчикам

Что за детсад - «трепать нервы»? Это не институт благородных девиц.

Поведение этих «исследователей» привело к тому, что с ними невозможно иметь продуктивных отношений, даже если у них на самом деле были благие побуждения.

Это не существенно. Они своим экспериментом уже принесли пользы больше, чем сотни или тысячи обычных софтописателей и заслуживают установки бюстов на родине. Они смогли обратить внимание на то, что в ядро имеет огромный шанс попасть любой хлам, в том числе и от настоящих злоумышелнников.

Они своим экспериментом уже принесли пользы больше, чем

Они оценивали коллектив переписывающихся индивидуалистов по лекалам обезличенной корпоративной бюрократии что в принципе не верно и потому хоть сколько-то ценного результата дать не могли, там другие мерки и способы защиты.

Что за детсад - «трепать нервы»?

ИМХО это вопрос терминологии и переписывание в более точных терминах ситуацию не поменяет.

В миру обычных людей существует аналог - «тайный покупатель»

Заранее договорись о процедуре исследования и флаг тебе в руки. Разработчики могут сидеть на стороже неделю, может месяц. Договорись о рассылке патчей в течении полугода и получишь своё чистое исследование.

Как это не было? ) Проявить дефекты системы.

Эти дефекты системы были известны и их прекрасно можно было изучить на уже добавленных в ядро патчах. Об этом в курсе были и сами исследователи.

Что за детсад - «трепать нервы»? Это не институт благородных девиц.

Люди тратят время на ревью и нервы на разборки. Хотели бы посраться, пошли бы на лор. В рабочей обстановке это неуместно.

Они смогли обратить внимание на то, что в ядро имеет огромный шанс попасть любой хлам, в том числе и от настоящих злоумышелнников.

Там этого хлама хоть жопой жуй, это всегда было известно. Хватит на несколько выпусков студентов с подобными исследованиями.

Они оценивали коллектив переписывающихся индивидуалистов по лекалам обезличенной корпоративной бюрократии

Они оценивали по результату и это единственно правильный способ

Заранее договорись о процедуре исследования и флаг тебе в руки

Пропадает весь смысл - «проверяйте нас особо тщательно, потому что мы будем вам отправлять дырявый софт»

Разработчики могут сидеть на стороже неделю, может месяц.

А в другое время им никто подобного не присылает и они могут проверять тяп-ляп.

Там этого хлама хоть жопой жуй, это всегда было известно

Были лишь догадки, а теперь конкретный результат.

Есть перегибы с обоих сторон, но со стороны разработчиков ядра, имхо, сейчас перегибы больше

Коммитерам коммитящим заведомо деструктивные патчи ограничили возможность коммитить.

More breaking news at 11.

Заранее договорись о процедуре исследования и флаг тебе в руки. Разработчики могут сидеть на стороже неделю, может месяц.

Разве разработчики не должны быть настороже всегда и без всяких предупреждений?

С одной стороны, над разработчиками провели эксперимент изначально не поставив их в известность, что закономерно разозлило их.

С другой стороны - предупреждение об эксперименте испортило бы его чистоту.

Какой вариант не выбери - получается все равно плохо. Впрочем, в статье указано, что после приема патчей все обо всем были предупреждены.

С другой стороны - предупреждение об эксперименте испортило бы его чистоту.

Такие эксперименты проводятся сплошь и рядом, с разрешения верховного чингачгука.
Чингачгук единственный в курсе, и имеет возможность в последний момент изъять тестовые изменения.
Теорема дырявости доказана, все довольны.

С одной стороны, над разработчиками провели эксперимент изначально не поставив их в известность, что закономерно разозлило их.

Я бы сказал, что с университетскими ещё крайне политкорректно обошлись. Практически с нежностью.
Часть работы Грега — это отказываться от кода. Грег откатил код и выдвинул какие-то встречные требования к универу.

Не ахти какое отклонение от ежедневной рутины.

Пропадает весь смысл - «проверяйте нас особо тщательно, потому что мы будем вам отправлять дырявый софт»

Они с подставных емейлов изменения отправляли. Нельзя тщательно проверять всех всё время, повысить уровень внимания можно на короткий промежуток времени.

А в другое время им никто подобного не присылает и они могут проверять тяп-ляп.

Я про то, что нельзя увеличить концентрацию внимания из-за ожидания возможной подставы на длительный срок. Можно получить те же чистые результаты и без вредительства.

Были лишь догадки, а теперь конкретный результат.

У теоретиков с форума? Такие баги находят постоянно и известно кто запостил, кто принял. Об этом в курсе были и сами исследователи.

С другой стороны - предупреждение об эксперименте испортило бы его чистоту.

В том то и дело, что не испортило было. А вот проведение подобных экспериментов без предупреждения и заранее обговоренных рамок поставит клеймо на «исследователях». Доверять им в последствии никогда не будут и при каждой ошибке с их стороны будут припоминать эксперимент.

На ЛОРе уже определились достигли их говнопатчи прода или нет?

Они с подставных емейлов изменения отправляли. Нельзя тщательно проверять всех всё время, повысить уровень внимания можно на короткий промежуток времени.

То есть в ядро пихают все подряд, по сути без проверки. Это они и показали наглядно.

Такие баги находят постоянно и известно кто запостил, кто принял.

А теперь есть статистический результат - вероятность принятия вредоноса выше 50 процентов

Возьми да доведи вместе с vaddd'ом. Делов-то.

И вместе с этим запустили машину общественного порицания и давления, которое до сих пор только притворяется цивилизованным, которая еще непонятно во что выльется. Да и ограждение это настолько же бессмысленное, как и вообще реакция на это исследование. Изначально надо было не раздувать щеки, а просто взять коммиты от исследователей на карандаш и исправить то, что проглядели + что-то менять в системе ревью и акцептирования кода, а вместо этого устроили марш обиженных, все в духе и ноте современности. А по хорошему вообще надо было пригласить исследователей на зарплату в виде тестеров.

Это они и показали наглядно.

Они ничего не показали, просто для кого-то это больная тема. Выявленные сообществом косяки не имеют (по заявлениям «исследователей») отношения к исследованию. Выявить эти ошибки исследователи не помогали.

Правдоподобного объяснения этим косякам они тоже не дали, поэтому уже само сообщество приписало эти ошибки к уже завершенному (со слов «исследователей») эксперименту, так как они один в один повторяли описанные в нём косяки.

В обычной ситуации ядрописатели попытались бы разъяснить контрибьютеру его ошибки, так как косяки - обычное дело и через них проходит каждый. Но они решили, что этот человек прикидывается шлангом и умышленно тратит их время в пустую. Что естественно, человек накидывает друг за другом сомнительные патчи, не отвечает на заданные ему и причастен к группе, которая занимается подобными действиями.

После объяснения в духе «это мой экспериментальный стат. анализатор, в коде я ничего не понимаю, идите на хер» для ядрописателей ситуация стала выглядеть так: они либо имеют дело с конченными отморозками (врут до последнего и не следуют положениям собственного исследования), либо с клиническими идиотами (шлют патчи от экспериментального анализатора под видом фиксов, не читают их перед отправкой, не отвечают на комментарии).

Вот суть этого горячего топика. Были бы это патчи от другого разработчика, их бы обнаружили, объяснили бы в чем он не прав и как в следующий раз надо делать. Не было бы расправы над вредителями и смотреть бы было не на что.

Они ничего не показали

Если не читать статью, то конечно вы ничего не увидите

Но они решили, что этот человек прикидывается шлангом и умышленно тратит их время в пустую. Что естественно, человек накидывает друг за другом сомнительные патчи, не отвечает на заданные ему и причастен к группе, которая занимается подобными действиями.

а, и поэтому поместили эти патчи в ядро, да?

Были бы это патчи от другого разработчика, их бы обнаружили, объяснили бы в чем он не прав и как в следующий раз надо делать.

а эти разработчики оказались такими отморозками, что им назло патчи проверять не стали. Вы еще не устали выдумывать глупости?

А теперь есть статистический результат - вероятность принятия вредоноса выше 50 процентов

из чего ты сделал такой вывод ? исследование проводили ламеры которые не разбираются в ядре

https://lore.kernel.org/lkml/YIEqt8iAPVq8sG t@sol.localdomain/

единственный баг который прошёл ревью

https://lore.kernel.org/lkml/20200821070537.30317-1-jameslouisebond@gmail.com/

то что попало в ядро не ошибка - ламеры не разобрались что этот бесполезный патч вреда не имеет

https://lore.kernel.org/lkml/20200821031209.21279-1-acostag.ubuntu@gmail.com/

но стаью написали, только измеили в ней код чтобы его невозможно было идентифицировать и опровергнуть их враньё

Вы еще не устали выдумывать глупости?

Тоже решил шлангом прикинуться и съехать с темы?

Разработчики сами нашли эти патчи-пустышки, сами устранили и до живых систем эти патчи не дошли. Горе исследователи показали только то, что проведение пентеста на людях без их согласия приведет к полной потере доверия с их стороны. И что без доверия сомнительные действия в будущем будут рассматриваться как саботаж и вредительство.

из чего ты сделал такой вывод ?

из их статьи.

исследование проводили ламеры которые не разбираются в ядре

https://lore.kernel.org/lkml/YIEqt8iAPVq8sG t@sol.localdomain/

как вы определили, что это ламеры, которые не разбираются в ядре?

единственный баг который прошёл ревью

а они пишут не о единственном

то что попало в ядро не ошибка - ламеры не разобрались что этот бесполезный патч вреда не имеет

бесполезен значит, но в ядро попал. тоже хорошо.

И вместе с этим запустили машину общественного порицания и давления

Не заметил требований смещения всего руководящего состава университета, обвинений в сексуальных домогательствах и расизме.

Изначально надо было не раздувать щеки, а просто взять коммиты от исследователей на карандаш и исправить то, что проглядели + что-то менять в системе ревью и акцептирования кода, а вместо этого устроили марш обиженных, все в духе и ноте современности.

Ну вот их взяли на карандаш и поменяли политику акцептирования кода.
Вся остальная драма от СМИ и комментаторов.

Разработчики сами нашли эти патчи-пустышки, сами устранили и до живых систем эти патчи не дошли.

Естественно не дошли, они же не злоумышленники. А устранять можно то, что уже прошло проверку и попало в ядро.

И что без доверия сомнительные действия в будущем будут рассматриваться как саботаж и вредительство.

Значит на доверии в ядро вставляли то, что присылалсь от имени «джеймсов бондов». И в будущем тоже продолжат.

как вы определили, что это ламеры, которые не разбираются в ядре?

посмотрел на их патчи

бесполезен значит, но в ядро попал

бесполезен в том смыле что ничего не меняет - выдаёт отладочную инфу. Настоящие исследователи должны были предоставить пруфы а они их наоборот скрыли. Но тебе же всё равно, верно ? Главное в интернете написано по-английски.

На правах теории заговора.

Вся эта шумиха запланирована и осуществляется целенаправленно, чтобы втоптать в грязь Linux, а конкретнее - рассеять уверенность людей в его состоятельности для применения в какой-либо серьезной области, где требования надежности и безопасности выше, чем для самодельного роутера дяди Васи.

Линукс, конечно же, выживет, но конечная цель заговорщиков - переход Линукса целиком с С на Раст, и соответственно, полный отказ от GCC в разработке ядра и драйверов, переход на LLVM/clang.

Атака на Столлмана - это звено той же цепочки, сам старпер никому не нужен, а нужно поставить на его место конформистскую давалку с философией «пусть расцветут 1000 цветов» и одобрением рабских пермиссивных лицензий, типа той, под которой разрабатывается LLVM/clang.

как вы определили, что это ламеры, которые не разбираются в ядре?

посмотрел на их патчи

То есть вы разбираетесь в ядре лучше них. Позвольте выразить вам глубокое уважение и снять перед вами шляпу.

Главное в интернете написано по-английски.

Вот именно. Надеюсь, вы и саму статью прочтете.

Надеюсь, вы и саму статью прочтете.

в отличии от тебя статью я прочитал - они исказили код до неузнаваемости в примерах где демонстрировали атаки c внедрением UAF

Unfortunately they obfuscated the code in their paper for some bizarre reason and don't provide a proper list, so it's hard to know for sure though

а ты просто веришь написанному на заборах

в отличии от тебя статью я прочитал - они исказили код до неузнаваемости в примерах где демонстрировали атаки c внедрением UAF

И правильно что исказили. Это не руководство по написанию или использованию багов, а исследование дырявости оргструктуры написания ядра.

Unfortunately they obfuscated the code in their paper for some bizarre reason and don’t provide a proper list, so it’s hard to know for sure though

а ты просто веришь написанному на заборах

вы процитировали стон обиженных, а не профессионалов, ответственных за безопасность.

Это не руководство по написанию или использованию багов, а исследование дырявости оргструктуры написания ядра

https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceIns...

вместо кода они в статье разместили псевдокод который и есть руководство по написанию а не пруф на реальное внедрение

вы процитировали стон обиженных

он в отличии от тебя прочитал статью, попытался найти что было в реальности. А там ничего не было. Даже формально не замеченый баг не пропустили а сказали переделать и не известно чем бы это закончилось - «атакующий» слился

вместо кода они в статье разместили псевдокод который и есть руководство по написанию а не пруф на реальное внедрение. он в отличии от тебя прочитал статью, попытался найти что было в реальности. А там ничего не было. Даже формально не замеченый баг не пропустили а сказали переделать и не известно чем бы это закончилось - «атакующий» слился

Ясно, в статье все ложь, не стоит обращать внимание. Спасибо, что помогли разобраться