Кроа-Хартман отверг извинения Миннесотского университета



    Сопровождающий разработчик стабильной ветки ядра Linux Грег Кроа-Хартман (Greg Kroah-Hartman) отверг извинения исследователей Миннесотского университета.

    Кроа-Хартман пояснил, что организация Linux Foundation и представители сообщества из Technical Advisory Board направили в адрес администрации Миннесотского университета предложения с конкретными действиями, которые обязательно должны быть выполнены, чтобы вернуть доверие сообщества разработчиков ядра Linux. Кроа-Хартман не собирается больше обсуждать этот вопрос, пока вуз и ученые не реализуют их в полном объеме.

    21 апреля 2021 года Кроа-Хартман объявил о введении глобальной блокировки на все коммиты от Миннесотского университета из-за неэтичных экспериментов вуза с попытками намеренного введения в ядро Linux некачественных патчей — в них были ошибки и даже скрытые уязвимости. Часть патчей ранее даже попали в стабильные ветки Linux. Все коммиты от Миннесотского университета были отозваны и перепроверяются мейнтейнерами проекта. Администрация вуза также начала проверку правомерности деятельности своих сотрудников.

    23 апреля Линус Торвальдс прокомментировал блокировку Миннесотского университета и пояснил, что действия исследователей Миннесотского университета привели к нарушению доверия и разозлило сообщество проведением над ними неэтичного эксперимента.

    24 апреля 2021 года группа исследователей из Миннесотского университета опубликовала открытое письмо с извинениями в адрес сообщества Linux по поводу своей некорректной научной деятельности.

    Комментарии 37

      –8
      А в чём некорректность эксперимента? Проверили безопасность опен-сорса, выявили проблемы — что не так-то?
        +14

        Не откатили назад как было и решили, что извинений будет достаточно, а ментейнеры как нибудь сами разгребут.

          +6
          Отсутствие уведомления, дополнительная нагрузка и так на нагруженный процесс, допустили попадание заведомо известных ошибок в релиз, подорвали доверие.
            +12
            Посаны вломились к кому то в дом а когда их поймали выяснилось что они просто учоные и тестировали ваши замки на прочность. Чо такого то.
              +10

              При этом вынесли утюг, кота и включили газ.

                +5

                Не, хуже. Как я понимаю, это не пацаны с улицы, а сосед, которому ты вполне доверял

                  0
                  Сосед, которому доверял, но уже давно были всякие подозрения.
                    0
                    Доверие легко потерять и тяжело вернуть.
                    «Как вам известно, в пятницу Linux Foundation и Technical Advisory Board направили вашему университету письмо с изложением конкретных действий, которые нужно предпринять, чтобы ваша группа и ваш университет смогли восстановить доверие сообщество ядра Linux. Пока не будут предприняты эти действия, нам больше нечего обсуждать.» (Грег Кроа-Хартман, разработчик ядра Linux, сопровождающий разработчик стабильной ветки ядра Linux)
                  • НЛО прилетело и опубликовало эту надпись здесь
                    –8
                    Обидели маленьких.
                      0
                      Сама виновата!
                        +1

                        На самом деле вполне корректный эксперимент с вполне корректным, логичным и ожидаемым результатом (полученный бан). А вот с этической стороной эксперимента явно серьезные проблемы.


                        С точки зрения проекта экспериментаторы совершили неприемлемые действия в виде умышленной попытки внести ошибки и уязвимости в ядро, за что и были забанены, как был бы забанен любой другой злоумышленник.


                        Извинения и то, что это было проделано в рамках эксперимента, никак не отменяет факта умышленных неприемлемых действий в отношении ядра линукс. Это примерно то же, что и извинения подсудимых после оглашения приговора в суде, в том смысле, что на приговор (в данном случае на бан и условия его отмены) повлиять не должны никак.


                        Некорректность же, насколько я понимаю сложившуюся ситуацию, не самом в эксперименте, а в том, что, во-первых, экспериментаторы подставили весь университет, действуя фактически от его имени, а во-вторых, экспериментаторы после завершения эксперимента (если это, конечно, действительно был эксперимент) не отозвали свои коммиты перед публикацией и не дали время на их выпиливание, если они были приняты.
                        Впрочем, если бы этих проблем не было, бан экспериментаторам по результатам эксперимента должен был быть вынесен все равно,

                          0
                          Выявили, что злоумышленника, пытающегося намерено внести уязвимости в конкретный опен-сорс проект, забанят с позором. Эксперимент удался.
                            +1
                            Вообще, как раз наоборот, выяснили, что вполне вероятно, что не забанят и даже не заподозрят ничего. Этот скандал-то разгорелся посте того, как господа хреновы экспериментаторы своей командой целый год вносили уязвимости, и спустя год раскрыли карты. Если бы они не опубликовали статью про это, чёрта с два их бы обнаружили.
                          +5

                          Я поддерживаю. Все-таки линукс давно уже не наколенная студенческая поделка, это серьезная ось и экосистема вокруг, и денежки там нормальные крутятся. Вот и правила игры тоже поменялись.

                            –3

                            Университет конечно не этично поступил, но саи случай показывает, что даже от злонамеренных ошибок опен-сорс не застрахован. При этом ответственности за эти ошибки сообщество не несёт. Есть над чем подумать.

                              +7

                              А какую ответственность несёт за ошибки не опен-сорс?

                                –2

                                Ответственность в пределах GPL (то есть никакой).

                                NO WARRANTY

                                BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

                                IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
                                  0
                                  В проприетарном ПО тоже встречаются всякие непотребства, в т.ч. внесенные как ненарочно (ошибки, уязвимости, проблема Y2K и пр.), так и явно намеренно (бэкдоры, пасхальные яйца, вирусы и т.д.) И производители ПО должны нести ответственность за ошибки в своем ПО.
                                  +6
                                  опен-сорс не застрахован

                                  А кто-то утверждал, что застрахован от ошибок?

                                  При этом ответственности за эти ошибки сообщество не несёт.

                                  Ответственность? Давай ты напишешь какую-нибудь систему хотя бы на 50-100к строк кода. Далее я ищу в твоем коде баги — если найду — с тебя штраф/другие санкции, если не найду — то ничего тогда. Согласишься? Можем наоборот — я напишу такую систему. А ты внесешь пару фич туда. И если появится баг — с тебя также штраф? Должен же кто-то нести ответственность?
                                    –3

                                    Ну если мы например возьмём автоиндустрию, то там как минимум в ряде стран "по умолчанию" отвественность несут продавец и производитель автомобиля. И достаточно чётко прописано кто из них и за что конкретно её несёт.


                                    Далее существуют опять же достаточно жёстко формализованные документы в которых описывается какую ответственность и в каком виде несут поставщики запчастей для автомобиля. Ну если эти запчасти производитель не делает сам, а закупает где-то ещё. И это так не только в отношении механики, но и в отношении харда/софта.


                                    И если поставщик/производитель решают использовать какой-то сторонний софт, то опять же либо ответественность хотя бы частично перекладывается на того кто предоставляет софт, либо её берут на себя поставщик/производитель.


                                    То есть если в автомобиле где-то используется линукс(или любая другая ОС), то за это кто-то но отвечает. И если Linux Foundation не может или не хочет брать на себя отвественность и начнут всплывать какие-то проблемы, то автопроизводители вполне себе могут начать искать альтернативы. Что вполне себе может означать прекращение финансирования и/или участия в проектах Linux Foundation с их стороны.


                                    И автопром это не единственный сектор где используется линукс и где существует отвественность, которая может "выражаться" в миллиардных убытках.


                                    И даже если товарищи из университета Миннесоты на самом деле последние подонки и их забанили за дело, то всё равно вся эта ситуация вскрыла огромную проблему у линукса или точнее Linux Foundation: получается на данный момемнт при желании и не особо больших усилиях есть шанс пропихнуть в линукс какие-то левые коммиты. И совсем не исключён шанс что это всё "уйдёт в продакт".


                                    И если сейчас это волнует в основном айтишников, то при первом реальном форс-мажоре журналисты скорее всего раскопают эту историю и раздуют её до размеров галактики. И это вполне себе может результировать в огромной потере имиджа линукса и отказа от его использования в ряде отраслей...

                                      +1
                                      Без automotive сертификации софт на пушечный выстрел не подпустят к автомобилям.
                                        –1

                                        Наличие сертификации не гарантирует отсутствие багов(или даже эксплойтов) и не отменяет того что за этот софт кто-то отвечает.


                                        То есть сертификация это в целом полезно и нужно. И если вы и/или ваш софт(хард, запчасть)прошли сертификацию, то в случае чего у вас(и у всей цепочки до собственно производителя автомобиля) будет меньше проблем. Но это не так что их у вас вообще не будет если в софте за который вы отвечаете обнаружатся баги.

                                          +1
                                          Сертификация как раз гарантирует, что ответственность за косяки, так или иначе, будет. Также, это означает куда более строгий code review.
                                            –1

                                            Нет, в целом и общем сертификация не означает ни того, ни другого. Даже если речь идёт конкретно о сертификациях для automotive.


                                            Более того часто именно наличие сертификации работает как некое "алиби"(по принципу "мы сделали всё что было в наших силах чтобы избежать багов") и снижает штрафы или даже позволяет полностью избежать ответственности. Последнее правда скорее исключение чем правило.


                                            Да и вообще конкретно в automotive есть сертификации для софта, которые вообще не предусматривают наличие code review как что-то обязательное. То есть если я всё правильно помню, то в случае с сертификатом по ISO 26262(Road vehicles – Functional safety) code review только "рекомендовано" и нигде формально не описано как оно должно выглядеть. И это позволяет вам пройти сертификацию на "минимальном" уровне вообще без code review и получить сертификацию более высоких уровней с code review в практически любом удобном для вас виде.


                                            А какие сертификации/уровни нужны или не нужны часто(я бы даже сказал обычно) определяет сам производитель, а не государство/законодательные органы. И вышеупомянутое ISO 26262 это добровольная сертификация со стороны производителей. То есть по закону её никто не обязан делать.

                                    0
                                    от злонамеренных ошибок опен-сорс не застрахован
                                    Наоборот, в конкретном случае уязвимости были обнаружены, злоумышленники — наказаны, а их коммиты — отреверчены.
                                    –1
                                    Эксперимент получился глубже, чем задумывался. Чёрт с ней, с проверкой того, как быстро сообщество вредный код вычистит. Сейчас интереснее второй слой — как оно справится хотя бы с признанием своей уязвимости к таким угрозам.
                                      +1
                                      А кто-то отрицал данную уязвимость в открытых проектах?
                                        +1
                                        Не отрицать != признать. В информационной безопасности фигуры умолчания неуместны.

                                        И пока что никто не встал, и не сказал открытым текстом: «да, мы пропустили закладки студенческого уровня и не можем гарантировать, что в коде нет гораздо более изощрённых и опасных закладок, в т.ч. от правительств».

                                        Вместо этого люди перекладывают ответственность на университет, и занимаются поисками кошелька под фонарём, перепроверяя остальные его коммиты. Продуктивно, чо.
                                          +1
                                          В информационной безопасности фигуры умолчания неуместны.
                                          Напомню вам про то, что безопасность достигается превышением стоимости эксплуатации над потенциальной выгодой, а неуязвимость согласно текущим знаниям — за горизонтом событий чёрных дыр.
                                          не можем гарантировать, что в коде нет гораздо более изощрённых и опасных закладок, в т.ч. от правительств
                                          100% гарантий в случае с большой и сложной кодовой базой не может дать никто, в отличии от возможности ловить за руку вредителей.
                                            0

                                            там всё куда интересней вырисовывается потому что с точки зрения универа патячи с бэкдорами они до ядра не доводили( не прислали после получения одобрения в рассылке), а работа написана преимущественно на анализе чужих патчей с ошибками и того как их совокупность в итоге взаимодействует складываясь в случайный или намеренный бэкдор. собственно на основе этого анализа они типа и сделали те три патча которые ментейнеры проверили и были готовы принять.


                                            больше всего вопросов к тому глупому патчу для статистического анализатора от которого у Грэга и пригорело, он действительно странный.

                                            +1
                                            Пальцем не покажу, но кто-то отрицал. Причём этих «кто-то», которые утверждают, что вот в проприетарном софте могут быть любые закладки, а в опенсурсе исходники открыты, им можно доверять, навалом в каждом споре «опенсурс vs проприетарщина». Я думаю, вы их сами нередко встречали.
                                            Эксперимент — да, вредный и неэтичный, но показательный: в крупных опенсурсных проектах точно так же могут быть любые закладки, и хрена с два их кто найдёт, потому что это иголка в стоге сена.
                                              +1

                                              странно обычно когда речь заходит о безопасности то все адепты опенсурса сразу начинают с того что баги неизбежны вопрос в том как быстро их удаётся исправить и тыкают в исследование где открытый код позволяет делать это быстрее и да доверие считается абсурдной и ненадёжной концепцией в мире опенсурса.

                                                +1
                                                Ну пусть эти люди обсыпаются пеплом. Принципиальная разница между открытыми и закрытыми исходниками в том, что найти проблему и рассказать о ней на порядки проще, только и всего, долгоживущими дырами после Shellshock уже сложно удивить.
                                                  0
                                                  Принципиальная разница между открытыми и закрытыми исходниками в том, что найти проблему и рассказать о ней на порядки проще

                                                  Есть ещё вторая принципиальная разница, с лихвой нивелирующая первую: также на порядки проще найти проблему и не рассказать о ней общественности, а использовать в своих целях. И знаете, в чём фишка? Люди, которые ищут в опенсурсе уязвимости с целью их устранения, делают это в основном эпизодически и на энтузиазме, а люди, которые ищут уязвимости для эксплуатации, делают это постоянно и получают за это хорошие деньги.
                                                    +1
                                                    Люди, которые ищут в опенсурсе уязвимости с целью их устранения, делают это в основном эпизодически и на энтузиазме, а люди, которые ищут уязвимости для эксплуатации, делают это постоянно и получают за это хорошие деньги.
                                                    Давайте например спросим у a13xp0p0v, на каком энтузиазме он копается в ядре :)
                                                    Человек, заинтересованный поиском уязвимостей, будет этим заниматься вне зависимости от целей, доступности исходников и цветовой дифференциации шляп.
                                                    К сожалению, количество найденных незакрытых уязвимостей мы посчитать не можем, поэтому даже оценить разницу не получится.
                                                0
                                                Ну, к слову, раньше (до heartbleed и иже с ним, или даже ещё раньше) в опенсорс-сообществах можно было иногда услышать выражение о том, что чем больше глаз, тем больше шансов, что найдут багу.
                                                Так что некоторые действительно отрицали такую уязвимость.
                                                Однако, это не может быть оправданием действий минесотских шаловливых ручек, потому как сообщество уже несколько раз (если не сказать «много раз») ставили перед фактом того, что этот принцип попросту не работает.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое