LINUX.ORG.RU

Исследователям удалось добавить в ядро Linux уязвимый код

 , ,


4

1

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

>>> Ссылка на исследование

anonymous

Проверено: xaizek ()

Ревью конечно шерето, но эти ребята тоже неправильно себя ведут. Подобное тестирование нужно либо обсуждать с «руководством» списка рассылки, либо хотя бы сразу же после приема патча сообщать, что он вредоносный. А тут патчи до stable дошли (судя по сообщениям с LKML).

balsoft ★★ ()
Ответ на: комментарий от balsoft

Да суть же не в этом. Хотя моральный облик этих людей вызывает сомнения, они всё же показали реальную проблему. И когда такое будут повторять иные люди уже с преступными целями, если уже не делали такого — вопрос времени.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

С этим полностью согласен, но мне кажется если университет одобряет подобные «исследования» (которые допустили настоящие уязвимости в стабильных ветках), и не привносит ничего полезного – то бан вполне логичен, и уже после этого нужно разбираться с проблемами ревью.

balsoft ★★ ()
Ответ на: комментарий от LamerOk

Не в этом суть. Суть в том, что люди вносят уязвимости в ядро, после этого они доходят до stable, и затем эти же люди публикуют whitepaper об этих уязвимостях, не откатив их и даже не сообщив предварительно в ядро. Это неэтично и вредоносно. Если ты намеренно делаешь тысячи компьютеров по всему миру уязвимыми, то бан – это ещё слабое наказание, если бы Linux был коммерческой организацией вполне оправданно можно было бы в суд подать.

balsoft ★★ ()

По сути, разработчики ядра обиделись, что считали себя офигеть какими умными, а тут какие-то студиозы опровергнули весь этот пафос про «1000 зорких глаз».

Инфантильная и вредоносная позиция. Но плохо даже не это. Плохо то, что это показывает какой там подход к разработке и тестированию.

anonymous ()

Ох, чуваки попали… Сколько раз на конфах слышал тихое шипение: «Смотри… Это тот ПИ-РАС!…». И лично у меня был случай, когда я передавал ночальству слухи, что вот этот вот соискатель на нашу открытую позицию был назвал ПИ-СОМ на линуксовой конфе. И чувак пролетал, несмотря на сладкое резюме и хорошо прошедшие собеседования.

Универ тоже влетел. Очевидно, что он с computer science связан, и с вечным баном в главном проекте CS нашего времени он очевидно потеряет ранк и, как следует, деньги. От декана и вниз по лестнице всех насадят и провернут.

mv ★★★★★ ()
Ответ на: комментарий от Vsevolod-linuxoid

Открываем whitepaper (https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf)

We are also grateful to <…> IRB at UMN for providing feedback in our experiments and findings.

Т.е. Institutional review board в этом университете (комиссия, которая отвечает за этичность подобных экспериментов) одобрила этот эксперимент или во всяком случае закрыла на него глаза.

balsoft ★★ ()

Надеюсь, это смотивирует их лучше проверять код. Я,в принципе, не против,если ядро будет обновляться не раз в неделю, а раз в месяц-два, но зато все изменения будут не на отгребись проверены,а проверены,перепроверены,и переперепроверены. И еще пару раз пере.

Эх, не те нынче времена уже, когда Линус лично каждую строчку каждого патча читал,не те.

Dog ()
Ответ на: комментарий от balsoft

Суть в том, что люди вносят уязвимости в ядро, после этого они доходят до stable, и затем эти же люди публикуют whitepaper об этих уязвимостях, не откатив их и даже не сообщив предварительно в ядро. Это неэтично и вредоносно.

Для чистоты эксперимента они не могли сообщить заранее о своих намерениях. Даже сразу после принятия ещё не было смысла. Нужно было подождать, чтобы убедиться что дыры не обнаружат. А вот теперь, когда они в этом убедились, надо было не paper публиковать, а сначала обратиться к сообществу (в закрытой security рассылке), что мы провели вот такой вот эксперимент, что вот там-то и там-то прошли уязвимости, и что мы после выпуска исправленных ядер опубликуем отчёт. Ну, т.е. так, как это обычно делают исследователи безопасности.

gag ★★★★★ ()

Это часть второго исследования, которое должно показать, что если где-то систематически гадить, то поймают и выкинут на мороз.

Так же сюда можно добавить пасту про уязвимость солонок в столовой.

anonymous ()
Ответ на: комментарий от shleemypants

Дурашка ты. Это не универ влетел, а те, кто допустил.

Универ-универ. Я знаю, я тут давно живу. Школа обосралась, через два года в списке сдвинулась ближе к концу, цены на жильё поднялись меньше, чем в окресностях, прибыль недополучена или деньги переплачены, общественные массы негодуют. Амно в учебном заведении всегда за собой тянет изменение в денежных потоках.

mv ★★★★★ ()
Ответ на: комментарий от balsoft

Наоборот, слепой тест более эффективен. И подождать тоже надо, должна же существовать периодическая проверка проекта на дыры и норы. А то будет как у нас в армии, когда рота ждёт внезапную ночную тревогу одетой в бушлаты и под одеялами.

kirill_rrr ★★★★★ ()

Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

Молодцы. Надеюсь, в следующий раз сотрудники этого университета примут решение вместо того чтобы указывать на фактическое отсутствие ревью, так же надобавляют дыр и выложат эксплоит.

slovazap ★★★★★ ()
Ответ на: комментарий от balsoft

Из этого университета вроде бы кроме этой команды, которая вредоносный код засылает, никаких участников разработки и не было

Можно же легко сделать поиск по коммитам на github и узнать, что были.

anonymous ()
Ответ на: комментарий от gag

Да, именно так. Хотя вообще-то с Грегом можно было бы обсудить подобный эксперимент, я думаю он мог бы и согласиться если обосновать свою позицию. Тогда он лично не ревьювил бы эти патчи, но сразу после merge window откатил бы их. Было бы гораздо безопаснее и этичнее. Но да, мне кажется если они перед публикацией сообщили бы о проведенном эксперименте пост-фактум тоже скандала бы никто не устроил.

balsoft ★★ ()
Ответ на: комментарий от gag

Для чистоты эксперимента они не могли сообщить заранее о своих намерениях. Даже сразу после принятия ещё не было смысла. Нужно было подождать, чтобы убедиться что дыры не обнаружат.

White hat всегда оговаривают условия эксперимента с высшим руководством, буквально с несколькими людьми. Все остальные пребывают в неведении. Тут они себя повели, как grey hat. За что по hat и получили.

mv ★★★★★ ()
Ответ на: комментарий от gag

Обычно, легальные исследователи как минимум участвуют в программах bug bounty, или же просто имеют партнерские/договорные отношения с теми, кого они тестируют, т.е. кто-от в «жертве» знает, что такой процесс идет и возможны некоторые негативные последствия.

А тут был абсолютный нежданчик.

CaveRat ★★ ()

Держите годноту:

From: Greg KH Date: Wed Apr 21 2021 - 04:15:55 EST

On Wed, Apr 21, 2021 at 02:56:27AM -0500, Aditya Pakki wrote:

Greg,

I respectfully ask you to cease and desist from making wild accusations that are bordering on slander.

These patches were sent as part of a new static analyzer that I wrote and it’s sensitivity is obviously not great. I sent patches on the hopes to get feedback. We are not experts in the linux kernel and repeatedly making these statements is disgusting to hear.

Obviously, it is a wrong step but your preconceived biases are so strong that you make allegations without merit nor give us any benefit of doubt.

I will not be sending any more patches due to the attitude that is not only unwelcome but also intimidating to newbies and non experts.

You, and your group, have publicly admitted to sending known-buggy patches to see how the kernel community would react to them, and published a paper based on that work.

Now you submit a new series of obviously-incorrect patches again, so what am I supposed to think of such a thing?

They obviously were NOT created by a static analysis tool that is of any intelligence, as they all are the result of totally different patterns, and all of which are obviously not even fixing anything at all. So what am I supposed to think here, other than that you and your group are continuing to experiment on the kernel community developers by sending such nonsense patches?

When submitting patches created by a tool, everyone who does so submits them with wording like «found by tool XXX, we are not sure if this is correct or not, please advise.» which is NOT what you did here at all. You were not asking for help, you were claiming that these were legitimate fixes, which you KNEW to be incorrect.

A few minutes with anyone with the semblance of knowledge of C can see that your submissions do NOT do anything at all, so to think that a tool created them, and then that you thought they were a valid «fix» is totally negligent on your part, not ours. You are the one at fault, it is not our job to be the test subjects of a tool you create.

Our community welcomes developers who wish to help and enhance Linux. That is NOT what you are attempting to do here, so please do not try to frame it that way.

Our community does not appreciate being experimented on, and being «tested» by submitting known patches that are either do nothing on purpose, or introduce bugs on purpose. If you wish to do work like this, I suggest you find a different community to run your experiments on, you are not welcome here.

Because of this, I will now have to ban all future contributions from your University and rip out your previous contributions, as they were obviously submitted in bad-faith with the intent to cause problems.

plonk

greg k-h

LamerOk ★★★★★ ()

Помяните моё слово, найдутся те, кто посмотрит на имена "залётных" и начнёт верещать, мол «китайские коммунисты ломают линукс!!!» И вангую, они же первыми будут орать «переходим на шындошс, он безопаснее, Си не дотянется!!!» Как говорится, ищи, кому выгодно.

/tanzpol mode off

А если серьёзно, то влетели они, крупно влетели. Исследования такого толка должны быть такими же открытыми, разве что имена коммитеров скрывать, чтобы реально искали уязвимости. И обязательно завершением эксперимента должны быть патчи, закрывающие уязвимости.

То, что это дошло до стабильной версии ядра (если я правильно понял) – это в первую очередь их же вина. А учитывая, что руководство университета одобрило их потуги, то в опале теперь и само учреждение. Но с другой стороны они в чём-то правы – пропихнул один, пропихнёт и второй, куда более "интересный" кадр.

Korchevatel ★★★★ ()

Да сколько такого кода уже было добавлено, по тегу шерето новости каждые несколько месяцев. Линупс стал слишком сложен для проведения адекватного code review. Впрочем не только он. Нужен какой-то инструмент для наглядного (графического) представления control flow с возможностью проверить тот или иной набор входных параметров. Вот где разраб метапрога мог бы развернуться а то и бабла поднять.

salozar ()