Comments 74
Ну а что они ожидали....
На самом деле надо понимать причину, почему "разозлились". Дело не в том, что на них проводят эксперименты, а в том, что им осложняют работу.
Обычные коммиты очень трудно читать, чтобы понять, не "ломает ли оно что-то", а тут люди ещё специально изголяются с целью сделать максимально неприятно.
Представьте себе, что вы красите стенку, а рядом кто-то обещал вам помочь, а вместо этого свежекрашенную стенку гладит грязным веником в пыли и мусоре. И вот человек провёл эксперимент "можно ли на свежепокрашенную стенку налепить мусор веником", и даже опубликовал научную статью.
А вы остались со стенкой, которую не только перекрашивать надо, но и заново шкурить, отдирать прилипший мусор и т.д. Как вы к таким "исследователям" отнесётесь?
Сообщество должно быть готово к атакам. Радоваться надо, что вектор атаки протестировали исследователи, а не злоумышленники.
В аналогии с краской — в следующий раз можно будет не ждать, пока вся стена будет заляпана, а отправить "помощника" подальше сразу же.
Сообщество должно быть готово к атакам.
Ну вот их поймали и забанили, как сделали бы с "настоящими" злоумышленниками. Оправдание, что это было исследование, не прокатило. Потому что оно было без согласия. Надо было сначала заручится поддержкой какого-то из руководства (например, Линуса). На чистоту эксперимента это бы не повлияло.
Вся эта история очень похожа на оправдание после пранка: "ребята, не бейте! Это был социальный эксперимент!".
Какую-то пользу они принесли сообществу? Установление очевидного как мокрость воды факта, что на код-ревью можно иногда протолкнуть каку — пользой не является.
А время и силы отняли. Еще и баги в стабильные ветки закомитили в итоге.
Ну вот их поймали и забанили
После того как они сами опубликовали? Такое себе достижение.
Очень важно вовремя заподозрить злоумышленника в коллеге. А вдруг, он шпион?
Вот, например, вот тот хрен в очереди передо мной — а вдруг, он с собой канистру яда принёс? А вот та бабка странно смотрит — вдруг, она собралась взорвать автобус?
А коллега! Почему это он улыбается и здоровается? Он же в кофе мне плюнул, когда я на секунду отвернулся. А вот тот глаза отводит — ну точно по карманам шарится.
Так и другая крайность — доверять всем подряд — плоха. Если в каком-то сообществе доверие и недоверие сбалансированы, то и хорошо. Зато если где-то доверия больше, чем надо, то такое напоминание проекту может быть полезно.
"Доверия больше чем надо! Надо сбалансировать!" — практически, лозунг Шапокляк. Извините, конечно.
www.ted.com/talks/paul_zak_trust_morality_and_oxytocin/transcript
Очень важно вовремя заподозрить злоумышленника в коллеге. А вдруг, он шпион?Не обязательно шпион. Может быть, просто криворукий дурак. Поэтому на заводах есть ОТК, где все изделия проверяются, и ставятся штампы в паспорта изделий.
Здесь же никакого контроля нет (либо есть, но крайне слабый и не достаточный).
Надо заметить что "исследователи" не отозвали свои изменения после исследования что ставит под вопрос действительно ли они исследователи.
Если они нанесли ущерб (а по мнению сообщества они нанесли), то они не исследователи, а вредители. Иначе так исследованиям можно свести что угодно. Был у них злой умысел или нет — это уже второстепенное, многие катастрофы случились без злого умысла, многие незначительные действия со злым умыслом в конечном счете привели к позитивным последствиям.
Я думаю, позитивным окончанием истории было бы принесение публичных извенений с просьбой снять ограничения под обещание больше так не делать, и помощь в устранении последствий. А не оправдания себя исследованиями.
Согласен, чернобыльский реактор рванул как раз в результате проведения эксперимента.
РБМК образца 1986 года в любом случае, рано или поздно, рванул бы, хоть с экспериментом, хоть без.
стечение определённых обстоятельств, читай параметров
Тоже самое и с уязвимостью, определенные параметры и всё такое
Потому и не рванули, что был образец как делать не надо.
Хотя вопрос их безопасности весьма дискуссионный:
www.bbc.com/russian/features-48872901
Как раз и разозлились из-за того, что был проведён неэтичный эксперимент. Неэтичный — в данном случае означает "проведённый без уведомления и согласия подопытных". К тому же те, кто пытался пропихнуть патчи, задним числом объявили их "созданными по результатам работы статического анализатора", при этом Грег К-Х справедливо заметил, что подобные патчи от добросовестных контрибьюторов в заголовке несут информацию, что они были созданы анализатором или по результатам работы анализатора, и какого именно. Яснее всего это сформулировал Theodore Ts'o: https://lore.kernel.org/linux-nfs/YICB3wiptvvtTeA5@mit.edu/
Не обязательно уведомлять каждого ревьювера. Достаточно было бы получить разрешение на эксперимент от Линуса, например. Договорится о мерах, гарантирующих, что ни один умышленный баг не попадет, как минимум, в стабильные ветки (что, таки, и произошло).
Если же такого разрешения получить не удалось бы, то — увы, надо было бы искать других подопытных.
Что-то мне подсказывает, что это только начало истории, и впереди будет много интересного.
а вместо этого свежекрашенную стенку гладит грязным веникомНемного не так: «исследователь» вместо чистой кисти подарил грязный веник. А красящий стену не проверил подарок, сходу принял его и запачкал стену. При этом, считается, что стену очень трудно запачкать, потому что там всё с открытым исходным кодом, все кисточки на виду, и грязный веник сразу же заметят.
В смысле личных отношений и личного доверия, «эксперимент» не слишком этичный. Но с т.з. интересов дела, с т.з. устранения организационных косяков — экспериментаторов наградить нужно, а не банить их.
Т.е., геморроя исследователи, конечно, добавили. Но такая реакция больше похоже на обиду из-за того, что ментейнерам показали, что они не святые полубоги на олимпе.
ну вот если у меня в какой-то мой проект кто-то такой эксперимент проведёт, то я его тоже стану игнорировать в мерджах. Потому что ему "for fun", а у меня серьёзное напряжение мозга.
Наверное, можно было провести такой же эксперимент, тупо изучая появление чужих бажных коммитов и степень их одобрения ментейнерами. Но тут тоже можно придраться: вы видели, что тут баг и никому не сказали, а похихикивая писали свою статейку поганую…
Это и называется 'for fun'. Читайте оригинал. Они присылали дурные патчи, утверждая, что это результат исправления ошибок, найденных статическими анализаторами. Мейнтейнеры с ними не соглашались, они настаивали.
Т.е. это реально саботаж чужой работы.
Если изучалась возможность проникновения кривого патча в ядро, то, да, одна из задач — увиливать от закономерных вопросов ментейнера. Чтобы он тебя не забанил и ты мог продолжать исследование.
А по мне, «for fun» — это когда мамкин кулхацкер шлет rm -rf в ядро, чтобы похвастаться перед пацанами на переменке
ИМХО
Думаю таким путем в ядро уже давно завезены «нужные» дыры. Прото про это не сильно хочется думать, потому что не понятно что с этим делать.
Оно показало фундаментальную уязвимость открытого ПО от атак такого типа.
Любого ПО тогда уж, хоть открытого хоть закрытого. Такого "исследователя" всегда же могут заслать конкуренты, или купить уже имеющегося. Ну, теоретически же могут? Могут. Значит, "фундаментальная уязвимость" наличествует.
Хуже того, это не только ПО касается, но и любых других вопросов где взаимодействуют два и более человек. Начиная с выбора свежей зеленушки и прочей еды качественной на рынке. Фундаментальная уязвимость человеков и доверия. Причём веками, а то и тысячелетиями, известная. Просто в чуть новой форме. И не повод расслабляться, и не повод поднимать панику.
Речь была о том, что любое преимущество несет в себе так же и риски.
Повесил на танк больше брони, пробить его тяжелее, но и ему передвигаться тяжелее, а значит он стал более доступен для другого рода атак.
Сделал ПО открытым, больше людей смогут проверить, и просмотреть на предмет уязвимостей, а значит и больше людей смогут завести свои бекдоры. Сделал закрытым, меньше людей видят твой код, он более дырявый, но и меньше людей смогут что то туда завести.
Речь про адекватную оценку рисков.
а значит и больше людей смогут завести свои бекдоры.
citation needed
Особенно на фоне того, что в закрытое ПО "дверь" могут внести секретным запрещённым и к разглашению, и к "канарейке", обращением органов. Более чем в одной крупной стране "первого ранга". Так что Ваше утверждение "больше людей смогут" совершенно не очевидно.
Между "могут попытаться" и "могут успешно внести" есть разница. А вот то, что, как Вы утверждаете, "в открытое ПО внести легче" — ещё требуется доказать. Потому что в своей юрисдикции в закрытое внести могут в 100% нужным им случаев.
Только вот Вы утверждаете, что
Сделал ПО открытым, больше людей смогут проверить, и просмотреть на предмет уязвимостей, а значит и больше людей смогут завести свои бекдоры.
чего из обсуждаемой статьи ну никак не следует, потому что сравнение "куда проще занести бэкдур, в опенсурс или проприетарный код" там не рассматривается вообще. Так что, всё ещё citation needed.
Так что, то была не атака, а так вовремя встроенный код
Фонд свободного программного обеспечения (Free Software Foundation) отправил в компанию Microsoft посылку с пустым жестким диском и распечаткой подписей более тринадцати тысяч пользователей, которые поддерживали петицию Фонда СПО. Планируется, что после получения такого подарка специалисты Microsoft скопируют на этот диск исходный код Windows 7 и отправят обратно в Фонд СПО
Источник
GNU: Шумиха со Столлманом.
Linux: Шумиха с ядром.
Хорошо исследование: я попрошу хорошего друга помочь, его подставлю, а потом напишу статью, как небезопасно помогать друзьям. Вот что эта ситуация и значит. Бан вполне заслужен.
Авторы исследования утверждают, что в своей работе они обобщили данные о 138 патчах, вносящих ошибки, но не связанных с участниками исследования. Попытки же отправки собственных патчей с ошибками ограничивались email-перепиской, и подобные изменения не достигли стадии Git-коммита в какую-либо ветку ядра (если после отправки патча по email мэйнтейнер считал патч нормальным, то его просили не включать изменение так как там ошибка, после чего присылали правильный патч).
При этом, с адресов университета отправлялись патчи и не в рамках исследования. Этими патчами устранялись реальные уязвимости (их перепроверили и они реально исправляют проблемы). В одном из таких патчей нашли проблему, но невозможно сказать, специально ли так задумано (дерьмовый патч может прислать любой контрибьютор, несколько лет назад на Хабре была статья от человека, патч которого жёстко раскритиковал сам Линус, и патч пришлось переделывать, хотя патч был отправлен исключительно с добрыми намерениями).
Так что, единственное, что тут можно вменить — что люди обнаружили чужие патчи, вносящие уязвимости, и не сообщили о них. Но они и не обязаны это делать.
Какая ОС, по вашему мнению, не "решето" и гарантирует защиту от backdoor'ов?
Очевидно, только та, которой не существует
Любая решето, вопрос размера дырок. Просто где-то нужны дырки поменьше, а где-то удобство и простота. Некоторые риски надо диверсифицировать, а на некоторые можно забить, и не переживать.
Эксперимент хоть и не этичный, но он реальной важный, и чистота эксперимента здесь очень важна.
IMHO, реальная важность неэтичного эксперимента слегка переоценена в свете вашего:
Любая решето, вопрос размера дырок.
"Экспериментаторы" подпортили себе репутацию и подставили свой универ, выясняя, что "вода мокрая".
а так они показали что линукс — решето
Так их же обнаружили:
Kroah-Hartman, normally a man who is the epitome of politeness, lost his cool when these patches were sent as it needlessly created additional work for him. He maintains the stable line of kernels.
Или коммиты с уязвимостями попали в ядро?
Опять же, если они бы сумели внедрить RCE и показать, что это работает на свежих дистрибутивах, например Debian (пусть testing) и CentOS, тогда это причина задуматься.
В предыдущих обсуждениях писалось, что таки да, что-то попало и в релизы, так что у кого- то может сейчас стоять ядро с их уязвимостями.
Конечно, предварительно они должны были заявить мейнтейнерам, а уже потом написать статью, когда баги убраны.
Но это напоминает известный эпизод с сетевым стеком OpenBSD.
И показывает, что История не учит ничему.
Возможно, что такой скандал всё же заставит людей подумать над созданием команды для тестирования на уязвимости.
Думаю, желающие поучаствовать найдутся, и важность их работы не меньше, чем у разработчиков.
Похоже, что там были не только баги, а ещё и китайский код: 'Qiushi Wu and Kangjie Lu published the paper in question, which is titled "On the feasibility of stealthily introducing vulnerabilities in open-source software via hypocrite commits"'.
Это укладывается в то, что озвучил мейнтейнер: "these patches were sent as it needlessly created additional work for him".
Вот мужик и сорвался...
неужели в научном сообществе могут существовать такие недоумки… даже представить сложно что кто-то в своём уме может нагадить в сложнейшую работу людей в таком важном проекте, от которого к тому же зависит работа других людей… это просто жесть, там более ещё институт… надо же так опозориться
Линус Торвальдс прокомментировал бан Миннесотского университета сообществом разработчиков Linux