Исследователи из университета Миннесоты — Цюши У и Канцзе Лу в рамках исследования «небезопасности» OSS модели пытались выяснить, насколько вероятно намеренное добавление уязвимостей в проекты. Среди прочего патчи были отправлены в ядро Linux.

В результате код ревью прошли 4 патча, в том числе 3 содержащих уязвимости.

шас видел пост на опеннете, где бздуны смеются над линуксом… типа у вас решето, лол… как будто в мире бзд такое невозможно…

особенно во фряхе, которая под корпы заточена…

«небезопасности» OSS

Передай им, что исследование выходит за пределы GNU/Linux, а принципиально охватывает open source. Инжекты можно провести где угодно, вне зависимости от ОС.

да я в курсе, лол… просто смешно, смеются над экосистемой линукса, а сами не умеют распарсить термин oss (open-source software)… тем более вон в опёнке уже были случаи с бэкдурами от фбр…

https://www.securitylab.ru/news/514053.php

Интересный кейс. За пределами пост-совка, в юрисдикции «5/10/15 и иже с ними глаз» и не такое возможно. Я раньше плотно работал с оборудованием Cisco, настраивал кучу железок от бизнесс-центров до банков. С высоты полёта сегодняшнего дня, вспоминаю сейчас с какими иосами я работал и какой функционал использовал - много где криптография использовалась. Слава богам, что я больше не работаю в IT, а живу тихой мирой частной жизнью, не имея отношения к этому бедламу.

Совсем тебе делать нечего

А тут патчи до stable дошли

ай-ай-ай, а как же миллионы мухглаз?

Подобное тестирование нужно либо обсуждать с «руководством» списка рассылки

ага, чтобы он сделал так, что эти уязвимости сразу нашли.

не, не выйдет лошкам, принимающим патчи, вот так просто соскочить с темы решета всего лишь обвинив кого-то в неправильном поведении

Это неэтично и вредоносно

лоооооооооооооооооооооооооооооооооооооооооол. не этично и вредоностно - это киздеть на каждом углу про безопасность кода, миллионы глаз и прочий детский наивняк, а на деле постоянный обосрамс

Не соглашусь. Подобные эксперименты ставят в первую очередь под угрозу чсв так называемых разработчиков. из-за чего и весь шум, что базар этот дискредитировали

Ну отправь им свои бэкдоры, может Майкрософт и примет их из жалости к тебе

А то что миллиарды глаз немогущих ошибаться ежесекундо простоматривающих код линукса у них нет - это очень серьёзная проблема, но только в твоих глазах и таких как ты

Эксперимент проявил всю сущность всех этих ментейнеров, или как они там себя величают - это абсолютные бездари, которые сами-то абсолютно ничего не делают. *** «Пусть кто-то другой баги исправляет - опенсорс же!» *** Зато вахтёрская дожность позволяет им придираться к тем, кто действительно что-то умеет, у кого есть гениальные идеи, пускай даже это обычные анестезиологи…. А чуть что не так, так ещё и слухи распускают среди таких же жалких завистников…

Нет, не думайте, я не сумашедший Джо и не сектант. Сектанты это скорее те, кто верит дяде Сэму на слово.

-Официант! Чашку капучино этому господину!

Если ты такой умный, то почему ты такой бедный?

Богат не тот, у кого больше, а тот, кто нуждается в меньшем.

Для тех, что не читал предыдущие N страниц.

1. Ничего страшного с ядром не произошло. Даже если верить исследователям, то никакая уязвимость в ядро добавлена не была. Исследование было про мелкие неэксплуатируемые баги, типа memory leak или use after free.
2. Исследование почти бесполезно. Никаких открытий в нём нет. Большая часть разработчиков ядра — волонтёры, их мало, и они не идеальны — это было известно всегда. Как улучшить ситуацию — исследование не предложило. А ругать волонтёров за неидеальность — отличный способ потерять и их.
3. Само исследование проведено бездарно. Нормальные исследования проводятся как-то так. В них ищут, как помочь разработчикам, сэкономить их время, или повысить их качество. А сабжевые «исследователи», похоже, вместо этого сами засылали в ядро патчи с багами, отнимая время разработчиков, а потом собирали статистику — сколько багов они найдут.
4. Университет забанили за спам. Не за исследование. И не за то, что они типа пытались добавить баг в ядро. А за то, что они засрали рассылки сотнями бесполезных или кривых патчей — этим они только без толку отнимали время разработчиков.

Примерное описание того, как это произошло, написано тут.

Другие «фиксы» тех же товарищей, которые ничего не фиксят, перечислены тут.

Ничего страшного с ядром не произошло.

1. Конечно не произошло, всего лишь был показан убогий процесс проверки, code-review низкого качества, возникли множество вопросов, связанных с усложнённостью кода ядра, с ограниченными ресурсами для обслуживания кода, вопросы доверия.

Более того, авторы не скрывали своих намерений.

As a proof-of-concept, we safely demonstrated that introducing UAF bugs in the Linux kernel by submitting hypocrite commits is practical. Note that the experiment was performed in a safe way—we ensure that our patches stay only in email exchanges and will not be merged into the actual code, so it would not hurt any real users (see §VI-A for details).

Пафос исследования заключался не столько в том, чтобы сделать что-то с ядром прямо, а проанализировать механизма его разработки, оценить уровень доверия к коду, оценить code-review. Затронуты конкретные проблемы OSS:

• OSS opennes;
• Limited maintenance resources and performance concerns;
• OSS complexity.

Буквально исследование занимается следующим:

In this paper, we instead investigate the insecurity of OSS from a critical perspective—the feasibility of a malicious committer stealthily introducing vulnerabilities such as use-after-free (UAF) in OSS through hypocrite commits (seemingly beneficial minor commits that actually introduce other critical issues). Such introduced vulnerabilities can be critical, as they can exist in the OSS for a long period and be exploited by the malicious committer to impact a massive number of devices and users. Specifically, we conduct a set of studies to systematically understand and characterize hypocrite commits, followed b your suggestions for mitigation.

a malicious committer stealthily introducing vulnerabilities звучит вполне конкретно. Переводится как вредоносный коммиттер, незаметно внедряющий уязвимости. а for a long period and be exploited by the malicious committer to impact a massive number of devices and users переводится как в течение длительного периода времени и быть использованным злоумышленником для воздействия на огромное количество устройств и пользователей.

Выражения malicious committer, hypocrite commits наглядно описывают с чем имеют дело авторы исследования.

Исследование почти бесполезно

2. Весьма полезно. Исследование показало: процесс проверки, code-review низкого качества, возникают множество вопросов, связанных с усложнённостью кода ядра, с ограниченными ресурсами для обслуживания кода, вопросы доверия. Исследование - ещё раз напомню как оно звучит - О возможности скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью лицемерных (Hypocrite) коммитов - прекрасно справилось с поставленными задачи.

Само исследование проведено бездарно. Нормальные исследования проводятся как-то так

3. Исследование проведено прекрасно. В лучших традициях «тайный покупатель». Исследователи отправили свои патчи, которые представляли собой hypocrite commits. Суть в том, что их патчи в ядро были этими самыми stealthily introducing vulnerabilities. Они на практике показали, каким образом злоумышленник может вносить псевдо-исправление уязвимости, оставляя возможность эксплуатации.

Университет забанили за спам. Не за исследование.

4. Именно за исследование. Первой инвективой, которая появилась в рассылке - этика проведённого исследования. Последующая болтовня про 190 патчей подменяет тезис исследования, игнорируя его результаты. Greg KH, не поняв сути экспериментов и самого исследования, устроил истерику, сведя всё к этике. Ну причём здесь этика, когда в исследовании обсуждается вполне конкретные проблемы OSS.

Между прочим - после опубликования исследования, ребят уже начали цитировать и публиковать отзывы в академ. среде. Кто ещё не читал - милостим просим ещё раз ознакомится с текстом на английском языке - https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

Кто не хочет читать все эти стены текста, переписку в рассылке, смотреть логи и читать исследование на английском языке - краткое пояснение к произошедшему с ядром Linux:

Миллионы зорких глаз опенсорса опять оказались шоколадными глазами.

был показан убогий процесс проверки, code-review низкого качества, возникли множество вопросов, связанных с усложнённостью кода ядра, с ограниченными ресурсами для обслуживания кода, вопросы доверия

Чушь какая. Ничего не было показано или никаких новых вопросов не возникло. Не надо пытаться высосать из мухи слона.

А то я напишу «в подъезде могут насрать», и этой фразой затрону множество вопросов этики, морали, уровня самосознания в обществе, а также доступности общественных туалетов, убогого состояния подъездов, низкого качестве уборки и т.д. Это всё можно выдумать. Но ничего этого в моей фразе не было.

То же самое и с исследованием. Можно выдумать о нём что угодно. Но что нового они рассказали он процессе проверки? Ничего?

Исследование почти бесполезно

Весьма полезно [...] прекрасно справилось с поставленными задачи

Полезнее от этого оно не стало. В чём его польза-то?

Если я проведу исследование возможности насрать в разных подъездах города, и справлюсь с задачей, какая от этого будет польза?

Исследование проведено прекрасно. Они на практике показали, каким образом злоумышленник может вносить псевдо-исправление уязвимости, оставляя возможность эксплуатации.

Ещё раз. «Прекрасным» оно было бы, если бы они выложили статический анализатор, который помогает находить описанные в их работе ошибки. Это бы экономило время девелоперов. А вместо этого эти «исследователи» засирали рассылки сотнями бесполезных патчей. За это их и банят.

Университет забанили за спам. Не за исследование.

Именно за исследование.

Нет. Банят кучи бесполезных патчей. И даже по словам исследователей эти патчи к исследованию не относятся. Выходят, банят их не за исследование.

Либо, придётся признать, что те патчи таки были частью исследования. И тогда да, их забанили за исследование. Но не за его тему, а за их методы, которыми они это исследование проводили.

Последующая болтовня про 190 патчей подменяет тезис исследования, игнорируя его результаты. Greg KH, не поняв сути экспериментов и самого исследования, устроил истерику, сведя всё к этике.

Ну прочитай уже письмо Грега-то. Оно было до 190 патчей. Именно в нём он предложил забанить весь универ.

Он открытым текстом пишет, что дело в бесполезных патчах («obviously-incorrect patches»). То есть либо это очередное «исследование», либо исследователи идиоты и не понимают, что делает отправленный ими патч. И так и так бан — логичный вариант.

Просто Грег не стал обвинять их в идиотизме. Он позволил им самим объяснить, почему они прислали кривые патчи. Они не объяснили.

киздеть на каждом углу про безопасность кода, миллионы глаз и прочий детский наивняк, а на деле постоянный обосрамс

Отлично, пойду куплю проверенную астру )))

Our community welcomes developers who wish to help and enhance Linux. That is NOT what you are attempting to do here, so please do not try to frame it that way. Our community does not appreciate being experimented on, and being «tested» by submitting known patches that are either do nothing on purpose, or introduce bugs on purpose.

Это детский лепет из серии «меня обидели в моей песочнице, у-у-у-у-у-у!!!». По-настоящему, во всей этой ситуации важно только одно: были ли зловредные патчи приняты в ядро или нет. Когда внедрение зловредного кода будет проводиться не в качестве эксперимента, а в качестве настоящий диверсии, злоумышленник не будет аннотировать патч словами «Attention! Achtung! I am malicious commiter and this is malicious patch!». Все остальное - лирика и разговоры в пользу бедных. А банить весь универ только из-за того, что там есть люди, чье поведение тебе не нравится - проявление слабости, я бы даже сказал, бессилия.

Петр Семилетов ...высказался :о)

YouTube

Это детский лепет из серии «меня обидели в моей песочнице, у-у-у-у-у-у!!!».

Скорее это что-то вроде «мы все вместе строим дом, а кто-то пришёл и насрал по углам в сотне разных мест, мы один раз убрали, второй убрали, десятый убрали, но нас достало, и мы запретили им заходить».

По-настоящему, во всей этой ситуации важно только одно: были ли зловредные патчи приняты в ядро или нет.

Не знаю, почему это важно, но нет, не были.

Во-первых, не было «зловредных патчей», были «бажные патчи» — патчи с мелкими неэксплуатируемыми багами.

Во-вторых, есть разные бажные патчи. Те 3 патча, которые упоминались в исследовании — были отвергнуты на этапе ревью по разным причинам.

Однако есть ещё сотни бажных патчей от тех же исследований, которые якобы к этому исследованию не относятся. Из этих патчей 190 были приняты в ядро. Среди них есть явно бажные. Выше по треду разобран один патч, делающий какой-то старый драйвер неработоспособным. То, что этого не заметили, говорит лишь о том, что этим драйвером никто не пользуется.

Вот из-за спама бажными или бесполезными патчами их и забанили.

А банить весь универ только из-за того, что там есть люди, чье поведение тебе не нравится - проявление слабости, я бы даже сказал, бессилия.

Была проблема — универ слал спам и отнимал время девелоперов. Их забанили, спама больше нет, время не отнимается.

По-моему, это не слабость, а решение проблемы.

Как ещё можно бороться со спамом бесполезными патчами?

То, что этого не заметили, говорит лишь о том, что этим драйвером никто не пользуется.

Говорит о том, что даже если тот, кто всё-таки пользуется, это заметит, мейнтейнерам ядра на это глубоко насрать. Даже человек, который обладает необходимой компетенцией для того, чтобы понять, какой конкретно патч ему нагадил, и откатить его - пробиться сквозь эту бюрократию не cможет, что уж говорить об обычном пользователе, у которого тупо что-то перестало работать. Непонятно даже кому, блин, слать репорт, чтобы его таки прочитали.

Миллионы зорких глаз опенсорса опять оказались шоколадными глазами.

спс за краткое резюме. вот всегда бы так. а то читать 14 страниц длиннющих постов… нет, спс.

Ты просто глуповат. И пытаешься красиво и правильно выглядеть в глазах твоих таких же туповатых друзей и собеседников. Есть понятие доверия. Если тебя пустили помочь ремонтировать машину, то от тебя очевидно не ожидают что ты чуть чуть порежешь тормозной шланг, немного открутишь пару гаек а потом задолбаешь всех советами что они все делают неправильно и вообще дурачки. Не надо удивляться что если тебе доверили а ты это доверие предал, то тебе бьют морду. Ты доказал только одно - доверяли тебе, и только тебе зря. Может быть нужно ужесточить отбор и ввести наказание для таких как ты - например расстреливать на площади вместе с семьей. Может быть еще что то. Но репутация людей ремонтирующих эту машину пострадает только в том смысле что они слишком доверились тебе, а наказание тебя, которое обычно принято совершать в таких случаях толпой, вручную и очень болезненно, на репутации скажется скорее положительно.

Академическая среда частенько защищает условных своих от чужих. Та еще мафия.

Очевидно что когда баг отправляется пользующимся доверием лицом, его проверяю менее тщательно чем патч левого Васяна с улицы. Универ просто опустили в статусе до бомжа с помойки - он тоже может слать патчи. Ну и конечно репутация немного пострадала. Если вашего сына пригласили на день рождения, а он под предлогом помощи на кухне нассал в компот, заявив что он проверяет санитарную безопасность, не надо удивляться что вас в приличных домах принимать не будут. Университет, откровенно говоря, довольно неловко изворачивается.

Есть понятие доверия. Если тебя пустили помочь ремонтировать машину

Если в ремонтной мастерской кто угодно может просто приходить и анонимно ремонтировать машины клиентов и никто потом толком не проверяет результат его работы, то кто виноват что тормозные шланги оказались перерезаны?

Лучше бы добавили НЕуязвимый код