LINUX.ORG.RU

Исследователям удалось добавить в ядро Linux уязвимый код

 ,


4

1

Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости. Представители проекта Linux обратились с жалобой на исследование к администрации университета, однако не нашли поддержки. Потому было принято решение больше никогда не принимать патчи от людей из этого заведения.

>>> Ссылка на исследование

anonymous

Проверено: xaizek ()
Последнее исправление: xaizek (всего исправлений: 2)

Ответ на: комментарий от olelookoe

вообще-то исходники винды дают по запросу.

просто не рандомным регистрантам с лора, а надо хотя бы что-то из себя представлять в плане репутации.

то есть если ты курпный бизнес или государство - тебе дадут.

и если бы лол в той же винде действительно были совсем уж преступные участки кода, то ревьевер уже мог бы обратиться с этим в ФБР или как минимум выступить с официальным заявлением об их наличии.

anonymous
()
Ответ на: комментарий от anonymous

но об этом никто никогда не узнает.

Как же блин тогда дыры в венде находят? Гаданием на кофейной гуще? Магией? Про процессоры я вообще молчу.

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel
Ахахахахахахахах! Уааааххахахахахахах! Господи твою жеж мать! xD

Они это правда серьёзно? Да?

Пф, а что здесь такого смешного? Линукс используется не только задротами, но и реально большими фирмами,суперкомпами и как видим на марс летает. Почему китайцы имеют право безнаказанно нагадить в систему? Все равно что пойти посреди дороги вырыть яму и замаскировать ее. Конечно надо ввести ответственность за преднамеренный ущерб и показательно наказать китаесов

anonymous
()
Ответ на: комментарий от hateyoufeel

Они это правда серьёзно? Да?

не факт. Может быть это троллинг.

seiken ★★★★★
()
Ответ на: комментарий от anonymous

В закрытом проекте уязвимость будет добавлена по решению тайного суда (их же ещё не отменили?), но об этом никто никогда не узнает.

Да ладно. Вона, например корпорация зла MS легко даёт исходники на аудит, только NDA подпиши.

Я, собственно про то, что открыть и предоставить заказчику код по требованию не проблема. И это делается.

Проблема, как выяснилось, что любой васян не находит дыры в открытом коде, наоборот, он их туда вносит. И это не проверяется, не контролируется, не ловится.

Видимо, нужно что-то менять в процессе разработки?

beck ★★★★
()
Ответ на: комментарий от anonymous

Почему китайцы имеют право безнаказанно нагадить в систему?

Потому что они не спрашивают разрешения, а просто берут и гадят.

Конечно надо ввести ответственность за преднамеренный ущерб и показательно наказать китаесов

По попке отшлёпать? Вот эти конкретные китайцы сами себя спалили. А другие китайцы просто скажут: «Мая ни хацкир, мая гавнакодир!» И хрен ли ты с них возьмёшь? Так можно всех говнокодеров начать вешать на столбах.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от anonymous

Почему китайцы имеют право безнаказанно нагадить в систему?

Почему только китайцы? Судя по всему, вокруг исходников ядра спецслужбы со всего мира circle jerk устраивают. И вот в таком виде оно идёт в продакшн.

Manhunt ★★★★★
()

Так-то немногие ещё поняли то, что произошло. А произошло очень простое событие - сегодня безопасность ядра Linux была помножена на ноль.

Предамся размышлению. Эдвард Сноуден много раз говорил - какие талантливые программисты работают в NSA. Вот сидит такой условный программист в suse или redhat (мимикрируя под разраба и принимая участие в бурной деятельности) и коммитит себе что-то там тихонько. Какие-то баги отловили, какие-то специально заготовленные и закомуфлированные прошли в апстрим. Опля. Вот вам несколько миниатюрных жучков, которые проглядели.

Проблема в жирности ядра и чрезмерной скорости разработки ядра, имхо. Надо в год кидать по версии, предварительно несколько месяцев изучая код под микроскопом. А не так, как сейчас. Чпок-чпок, опля, давай-давай, чпок-чпок, готово.

anonymous
()
Ответ на: комментарий от anonymous

Исследователи из университета Миннесоты

показательно наказать китаесов

Там пострадает университет американский в первую очередь. А те челики без хорошей работы все равно не останутся.

anonymous
()
Ответ на: комментарий от beck

Хороший коммент. На него дальше можно давать ссылку.

anonymous
()
Ответ на: комментарий от hateyoufeel

убийство по неосторожности так же карается по закону. Нечего лезть со своим говнокодом в «общую» систему

anonymous
()
Ответ на: комментарий от anonymous

убийство по неосторожности так же карается по закону. Нечего лезть со своим говнокодом в «общую» систему

Ололо. Покажи мне программиста, который пишет код без ошибок.

Manhunt ★★★★★
()
Ответ на: комментарий от anonymous

Конечно надо ввести ответственность за преднамеренный ущерб и показательно наказать китаесов

блин… в этом вся суть ихнего эксперимента, что патчи «лицемерные», т.е. хрен ты докажешь злонамеренность

seiken ★★★★★
()
Ответ на: комментарий от anonymous

произошло очень простое событие - сегодня безопасность ядра Linux была помножена на ноль.

Совершенно верно. И мне удивительно, что многие в обсуждении этого понимать не желают. Как и сами разработчики ядра, кстати.

beck ★★★★
()
Ответ на: комментарий от anonymous

а что там сноуден про сузю говорил? Я думал она уже тихонько померла

anonymous
()
Ответ на: комментарий от beck

И мне удивительно, что многие в обсуждении этого понимать не желают

Лор - флудилка. А вовсе не элитарный клуб.

anonymous
()
Ответ на: комментарий от hateyoufeel

Про процессоры я вообще молчу. Запланированный слив.

anonymous
()
Ответ на: комментарий от Manhunt
Ололо. Покажи мне программиста, который пишет код без ошибок.

неправильно рассуждаешь. Если код причинил ущерб это они должны доказать, что код не злонамеренно внедрен. Как видишь в этом случае могли бы успешно доказать, что написали специально

anonymous
()
Ответ на: комментарий от beck

Совершенно верно. И мне удивительно, что многие в обсуждении этого понимать не желают. Как и сами разработчики ядра, кстати.

0 * 0 = 0

Как мне рассказывал товарищ, который, кстати, наверняка в этом треде сейчас анонимусом сидит, большая часть тестирования ведра выглядит примерно так: «На моём ляптопе работает, значит всё ок!»

hateyoufeel ★★★★★
()
Ответ на: комментарий от anonymous

Нечего лезть со своим говнокодом в «общую» систему

причём тут говнокод? это исследование не про говнокод, а про процесс разработки, верифицируемость патчей и доверие.

anonymous
()
Ответ на: комментарий от anonymous

доказать, что код не злонамеренно внедрен. Как видишь в этом случае могли бы успешно доказать, что написали специально

В этом случае единственная причина, по которой что-то можно доказать, состоит в том, что атакующие сами добровольно и по своей инициативе раскрыли все карты.

Manhunt ★★★★★
()
Ответ на: комментарий от hateyoufeel

Как же блин тогда дыры в венде находят? Гаданием на кофейной гуще? Магией? Про процессоры я вообще молчу.

Чтобы найти уязвимость в C коде ядра уже должна быть какая-то определённая квалификация. Без кода она должна быть ещё выше. А в процессорах и вовсе единицы могут.

anonymous
()
Ответ на: комментарий от anonymous

Чтобы найти уязвимость в C коде ядра уже должна быть какая-то определённая квалификация. Без кода она должна быть ещё выше.

Если бы это было так, дыр в венде находили бы гораздо меньше. Но нет, за один только 2021, который только недавно начался, их уже довольно дохрена.

hateyoufeel ★★★★★
()
Ответ на: комментарий от Manhunt

не факт, что его не отловили бы сами мэнтейнеры. Если бы существовал закон об ответственности китаесы уже в суде доказывали, что пошутили

anonymous
()
Ответ на: комментарий от beck

В чём принципиальная разница всё равно не понятно. В гугле 44 тысячи сотрудников. В Майкрософте тоже десятки тысяч. Недавно в Daily Telegraph была статья, рассказывающая о том, что в менеджменте всех топовых компаний по неск. членов компартии Китая сидит. Спекулировали на тему того, что те получают коммерч. тайну и приватную информацию. Что мешает условной компартии/ISIS’у/гэбне иметь своих людей среди сотрудников любых тех. компаний? Они совершенно точно уже есть. Тут то вопрос конкретно в недостаточности код ревью процесса вообще вне зависимости от лицензии. Так то можно и opensource пилить, принимая коммиты только от знакомых. Проблему это всё равно не решает.

anonymous
()
Ответ на: комментарий от anonymous

Если бы существовал закон об ответственности китаесы уже в суде доказывали, что пошутили

Почему обязательно пошутили? Ошиблись по невнимательности. Тестирование не выявило проблем. Вот и закоммитили.

Manhunt ★★★★★
()
Ответ на: комментарий от ttnl

увеличивает

Защита в ядре так не работает. Если шанс уже есть - значит уже есть дыра.

В данном случае они как раз сэкономили вызов kzalloc'а на сценарии с невалидными входными данными.

LamerOk ★★★★★
()
Ответ на: комментарий от anonymous
Что мешает условной компартии/ISIS’у/гэбне иметь своих людей среди сотрудников любых тех. компаний```
в этом и есть прелесть компаний с международными сотрудниками. Как бы ты не старался всем угодить найдется тот кто тебя ненавидит
anonymous
()
Ответ на: комментарий от anonymous

и если бы лол в той же винде действительно были совсем уж преступные участки кода, то ревьевер уже мог бы обратиться с этим в ФБР

Как понять, что они «совсем преступные» и заслуживают внимания ФБР, а не были добавлены смуглыми ручёнками сотрудников из Индии? Что если мопед принадлежит другой трёхбуквенной конторе?

или как минимум выступить с официальным заявлением об их наличии

Только сообщить через официальную bug bounty программу иначе ФБР займётся уже тобой. Многие даже осторожничают и не сообщают об уязвимостях компаниям без официальных bug bounty ввиду наличия плохих прецедентов.

anonymous
()
Ответ на: комментарий от torvn77

Как не несёт если институт вот только что ответил?

Университет не ответил, на него просто обиделись. Не получи этот эксперемент огласки, так бы и остались эти дырки в ядре ещё какое-то время, скорее всего несколько лет. Тут речь идёт об эксперементе, а кто-то может намеренно завуалировать дыру под случайный баг и доказать преднамеренность этого «бага» будет весьма сложно, если вообще. Никакой ответственности, всё AS IS.

hummer
()
Ответ на: комментарий от beck

эти уязвимости были таки найдены разработчиками

Нет, не были. Об этом и исследование, что внесённые ими уязвимости прошли всю цепочку код-ревью.

или же они так бы и попали в прод, если бы не уведомление от экспериментаторов?

Попали бы.

Надо кого-то скастовать, чтобы внесли в новость.

LamerOk ★★★★★
()
Ответ на: комментарий от olelookoe

если я приобретаю твое ПО (неважно задаром или за деньги), то единственным приемлемым для меня вариантом гарантий является наличие исходников, которые я смогу прошерстить как мне будет угодно. найму столько аудиторов, сколько мне будет угодно, и натравлю их на те участки кода, которые сочту нужными.

Наличие исходников необходимо, но не достаточно. Ты пишешь, что «наймешь аудиторов сколько захочешь». Если принять мой тезис - о том, что основной (но не всем очевидный) смысл ПО в том, чтобы можно было делать ошибки быстрее и проще, чем с железом, - в среднем проводить полный аудит не выгодно, т.е. в среднем это будет затрата ресурсов, не адекватная преимуществам от использования ПО и конкретных небезопасных ЯП. Такие несоразмерные траты на контроль качества могут быть оправданы, разве что, в каких-то очень нишевых отраслях типа АНБ.

Во-вторых, полный аудит, - если таковой практически возможен, - ты сделаешь для конкретной версии ядра. Чуть что случилось, вышел какой-нибудь патч или добавили нужную фичу, и все - для них опять надо проводить аудит. И чем больше времени проходит, тем больше изменений накапливается, горшочек продолжает варить. Т.е. в идеале надо к каждому коммитеру приставить десяток аудиторов, но не из числа тех «лошков», кто код при приеме просматривал, а истинных и непревзойденных знатоков ядра, дивных гениев.

seiken ★★★★★
()
Ответ на: комментарий от hummer
Ну пойди расскажи КрасноШляпе и прочим энтерпрайзам, что они неправильно готовят этот ваш Linux.

а ваш линукс какой?

anonymous
()
Ответ на: комментарий от mv

In 2019 Minnesota was ranked 41st in the world by the Academic Ranking of World Universities (ARWU)

Вангую исход будет прямо противоположным тому, который ты предсказал. Исследование эпохальное, будет цитироваться ещё много лет. Рост цитируемости, в свою очередь, университету только на пользу. А на Линукс большинству заведений так-то положить. Виндовозов-маководов много в академии. Тем кому не положить, могут коммитить без упоминания университета. Механизмов заэнфорсить запрет (предполагая, что это вообще имеет какой-то смысл) просто нет.

anonymous
()
Ответ на: комментарий от anonymous

Тут то вопрос конкретно в недостаточности код ревью процесса вообще вне зависимости от лицензии.

Увы, но нет. GPL, да и вообще процесс разработки ядра и не только линукс - это любой васян может натолкать в ядро что угодно. Кто он, этот васян, откуда он, кто ему платит, всё это типа неважно и за кадром.

В каком-нибудь MS васян проверен собственной СБ, подписал NDA, есть аудиторы, которые проверяют всю деятельность васяна, от написания кода до какой рукой он подтирает задницу в сортире. Несомненно, и MS может натолкать бэкдоров, просто выдав васяну задание это сделать.

Но с линуксом ситуация печальна вдвойне. Оказалось, что код по факту не контролируется (и сколько лет уже, кстати?), оказалось, что сказки про сообщество, которое… оказались туфтой, оказалось, что в целом модель oss и открытого кода порочна в своей основе, by design так сказать.

beck ★★★★
()
Ответ на: комментарий от beck

Оказалось, что код по факту не контролируется

Как я понял патчи были от имени института специализирующегося на ИБ и имевшего до этого момента весьма хорошую репутацию и по этому их и пустили без особой проверки, потому что представлялось невозможным что люди такого уровня будут хоронить свою репутацию и будущее.

Но пустили бы вот так в ядро патчи от не имеющего репутации и известности человека?
Думаю что нет.

torvn77 ★★★★★
()
Ответ на: комментарий от hateyoufeel

Как же блин тогда дыры в венде находят?

MS без проблем даёт свои исходники, и код аудитирует много кто. Один мой знакомый работал в Oracle, ну так у них были исходники винды.

beck ★★★★
()
Ответ на: комментарий от Manhunt

Как этим управлять?

Переписать всё на Rust'е - очевидно же.

LamerOk ★★★★★
()
Ответ на: комментарий от anonymous

Не знаю как понять. Вопросы задавать намного проще, чем на них отвечать. Но интуиция подсказывает что боятся там нечего.

Если же ты какой-то особо важный кадр - те6я ломанут без всяких там заранее внедренных бэкдоров.

Не говоря уж о том что любой хакер тебе скажет, что в почти все взломы идут через соц инженерию.

anonymous
()
Ответ на: комментарий от beck

С воспроизводимой сборкой компилятором, к которому есть исходники (тоже с воспроизводимой сборкой)? Иначе - те бинарники, что выполняются, и те аудитируемые исходники - не одно и то же.

gag ★★★★★
()
Ответ на: комментарий от beck

есть аудиторы, которые проверяют всю деятельность васяна

ЛОЛ. «Аудиторы» 25 корпораций просмотрели уязвимость, спрятанную в нескольких коммитах Васяна. А в МС, конечно, всё будет по другому. 20-рукий и 10-глазый Бхаратия проблему порешает. Нельзя сделать так, чтобы в сотнях тысяч строк низкоуровневого кода не было ошибок, намеренных ли или случайных.

anonymous
()
Ответ на: комментарий от torvn77

Это, знаете ли, клинической инфантилизьм. В ядре не репутация работать будет, а код. Если даже оставить в стороне вопрос злого умысла, то вообще-то люди имеют ошибаться.

beck ★★★★
()

Сейчас всю эту историю раздуют так же, как и со Столлманом, а потом вообще запретят (или ограничат возможность) независимым разработчикам вносить изменения в ядро, чтобы увеличить «безопасность» разработки. Скриньте, если кто ещё не понял.

То, что согласно исследованию ни один вредоносный патч этого исследования в ядро так и не попал, то, что авторы использовали не свои рабочие адреса, а рандомные gmail-овские и то, что ментейнеры были оповещены о вредоносности патчей после прохождения ими ревью (но до коммита) никого из комментаторов не волнует походу…

Надо правда сказать, что я категорически не согласен с предложением исследования о том, что нужно вводить репутацию и идентификацию личности, потому что это ограничивает свободу и этим можно манипулировать. Остальные рекомендации уже стоит взять на вооружение, например публичный аудит патчей.

anonymous
()
Ответ на: комментарий от anonymous

в МС, конечно, всё будет по другому

Да, и я даже объяснил, почему. Но вы не читаете, коллега.

beck ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.