Universitet stängs av från att bidra till Linux

Permalänk
Cylon

Universitet stängs av från att bidra till Linux

Efter att studenter bidragit med medvetet buggfyllda kodbidrag som del av en studie stängs hela universitetet av från framtida samarbeten.

Läs hela artikeln här

Permalänk
Medlem

Syftet är troligen gott, att tvinga fram rutiner för att granska kod mot illvilliga försök, men man borde inte ha gjort det utan att meddela saken innan. Och att ha fått godkänt. Samt ett tidsfönster för testet.

Permalänk
Medlem
Skrivet av the squonk:

Syftet är troligen gott, att tvinga fram rutiner för att granska kod mot illvilliga försök, men man borde inte ha gjort det utan att meddela saken innan. Och att ha fått godkänt. Samt ett tidsfönster för testet.

Problemet blir ju att då blir inte testet lika verkligt.
T.ex. om du jobbar som säkerhetsexpert och har i uppdrag att testa it säkerhet på ett bolag, så blir ju inte testet direkt bra om it personalen på det bolaget blir informerade om att du kommer försöka "bryta dig in" klockan 09:00 onsdag morgon å de då sitter vaksamma och samtidigt har slängt in senaste säkerhetsupdateringar några timmar innan.

Edit: Jag menade förstås inte att man bara helt ovetandes av kunden ska försöka bryta sig in, det är ju så klart olagligt och i det här fallet jäkligt dumt att medvetet introducera buggar i koden för att skriva ett arbete om det om ingen där visste om det. Trodde det framgick av min ursprungliga post att man fick uppdrag av kunden att testa säkerheten (i mitt exempel) utan att t.ex. itpersonalen var informerad.

Permalänk
Medlem
Skrivet av JBerger:

Problemet blir ju att då blir inte testet lika verkligt.
T.ex. om du jobbar som säkerhetsexpert och har i uppdrag att testa it säkerhet på ett bolag, så blir ju inte testet direkt bra om it personalen på det bolaget blir informerade om att du kommer försöka "bryta dig in" klockan 09:00 onsdag morgon å de då sitter vaksamma och samtidigt har slängt in senaste säkerhetsupdateringar några timmar innan.

Dock kunde man kanske pratat med någon enskild utvecklare i teamet för att höra om det är OK. Denne person ska då så klart inte meddela vidare i teamet ifall de faktiskt godkänner experimentet.

Permalänk
Medlem

Tycker det är helt rätt med en avstägning, inget säger ju att den inte kan bli hävd framöver. Denna typ av forskning kanske i botten är god men kan också potentiellt skada.

Jag har inget bra förslag på hur man skulle kunna genomföra denna typ av forskning på ett bättre sätt, men så är ju inte jag heller en linux kernel utvecklare så min insyn i hur de arbetar är obefintlig.

Permalänk
Medlem

Kan vi vänta oss en "University of Minnesota - fuck you!" av Linux Linus?

Permalänk
Medlem
Skrivet av JBerger:

Problemet blir ju att då blir inte testet lika verkligt.
T.ex. om du jobbar som säkerhetsexpert och har i uppdrag att testa it säkerhet på ett bolag, så blir ju inte testet direkt bra om it personalen på det bolaget blir informerade om att du kommer försöka "bryta dig in" klockan 09:00 onsdag morgon å de då sitter vaksamma och samtidigt har slängt in senaste säkerhetsupdateringar några timmar innan.

Vem sa att säkerhetsexperten behöver veta det? Det räcker med att de "högst upp" känner till detta, så att de inte bannar universitetet.....

Permalänk
Medlem
Skrivet av JBerger:

Problemet blir ju att då blir inte testet lika verkligt.
T.ex. om du jobbar som säkerhetsexpert och har i uppdrag att testa it säkerhet på ett bolag, så blir ju inte testet direkt bra om it personalen på det bolaget blir informerade om att du kommer försöka "bryta dig in" klockan 09:00 onsdag morgon å de då sitter vaksamma och samtidigt har slängt in senaste säkerhetsupdateringar några timmar innan.

Fast den där jämförelsen är helt fel. I scenariot du beskriver har någon beställt ett penetrationstest, dvs, minst en eller flera är medvetna om situationen. Testarna har fått tillåtelse att utföra handlingen under en given tidsram, och har bevis på detta. Annars är det ett brott; intrång.

Universitetet borde talat med en eller flera ansvariga och fått godkännande att utföra testet under en given tidsram, och fört noggran kommunikation om vad de lyckats få in i kodbasen för att sedan reverta patcherna. Nu vet man inte vart koden kan ha spridit sig, till vilken distro, vilka forks, osv. Väldigt dåligt skött.

Permalänk
Medlem

Man kanske skulle göra en vetenskaplig studie hur säkerhetstjänsten hanterar hot mot rikets säkerhet... Låter som ett rimligt forskningsprojekt

Permalänk
Medlem
Skrivet av Peking:

Dock kunde man kanske pratat med någon enskild utvecklare i teamet för att höra om det är OK. Denne person ska då så klart inte meddela vidare i teamet ifall de faktiskt godkänner experimentet.

Helt korrekt! Man måste dubbelkolla med IT innan man börjar med sånt här. Det sker i en produktionsmiljö och man kan allvarligt störa ut affärskritiska system vilket aldrig är ok. Hela syftet är ju att hindra systemen från att gå ner, inte orsaka dem

Hela IT kan t.ex. sitta med en incident, och då är det inte läge för pen-tester. Så hör med en ansvarig på IT att det är OK att börja, sen kör man sin testsvit (som tidigare nämnts bör vara tidsbestämd).

En annan orsak att berätta innan är att IT ofta kallar in konsulter vid misstänkt intrång. Snordyra konsulter! Detta är inget man vill göra i en övning.

Kanske passar approachen till små 10-manna företag, men till multimiljardföretag så skulle "testarna" fått sparken, riktigt hårt.

Permalänk
Medlem

Man får sätta upp en egen test verksamhet som man kör experiment mot. Båda ledningar måste ha vetskap om man ska göra något liknande skarpt.

Permalänk
Medlem
Skrivet av JBerger:

Problemet blir ju att då blir inte testet lika verkligt.
T.ex. om du jobbar som säkerhetsexpert och har i uppdrag att testa it säkerhet på ett bolag, så blir ju inte testet direkt bra om it personalen på det bolaget blir informerade om att du kommer försöka "bryta dig in" klockan 09:00 onsdag morgon å de då sitter vaksamma och samtidigt har slängt in senaste säkerhetsupdateringar några timmar innan.

Du vet att det finns vetenskapsetiska råd va? De ska också ha etik i åtanke innan de påbörjar studien och just etiken verkar de ju medvetet ha skitit i. Det är för att förhindra sådana här situationer och t.ex. att människor blir experimenterade på mot sin vilja. Att det dessutom innebär stora kostnader för de som blir drabbade verkar de ju också bestämt skita i. Det ska inte gå att gömma sig bakom "vetenskaplig studie" när man utför rent sabotage och/eller spioneri. Är det lagligt/tillåtet att "försöka bryta sig in" hos någon överhuvudtaget? Svar nej, spelar ingen roll om du sagt till människan vilken tid/datum du tänker försöka, det är ändå oetiskt och olagligt.

Permalänk
Medlem
Skrivet av Mithras:

Vem sa att säkerhetsexperten behöver veta det? Det räcker med att de "högst upp" känner till detta, så att de inte bannar universitetet.....

Exakt, "godkänt" betyder inte att alla behöver veta

Permalänk
Medlem
Skrivet av Nyhet:

...har studien agerat etiskt med sin forskning?

Nej. De hade behövt prata med någon kerneldev först och få tillstånd att göra studien. Full förståelse för att GKH är irriterad och det är med all rätt han säger ifrån.

Permalänk
Medlem

Helt oetiskt utförd forskning. Antingen så skulle de informera och få godkännande av någon (standard inom pentest) eller kolla på historisk data.
De har bara lämnat all skit efter sig till Linux utvecklarna att städa upp. Förståeligt beslut att dra ut alla deras commits och sedan porta dem, för allting det universitet har bidragit med har varit involverat i detta projektet.
Rätt tydligt att de bara eftersträvade en forskningsartikel som refereras så mycket som möjligt.

Hoppas forskarna blir granskade av ett etikråd.

Permalänk
Medlem

Om de i projektet säger att deras kod inte är medvetet kass så är det ju hyfsat pinsamt när andra säger att den är det
De ansvariga på institutionen borde ju hyfsat lätt kunna avgöra kvalitén genom att kolla projektets pull requests.
Oavsett så är det ju galet korkat/oetiskt gjort. Om du gör ett pentest som folk verkar jämföra med i denna tråden så sänker du ju inte kvalitén på tjänsten efter att du är klar. Detta lämnar ju buggar efter sig som behöver korrigeras med all den overheaden som det innebär.

Permalänk
Medlem

Något säger mig att en Amerikansk underrättelseorganisation är sponsor till detta "projektet"
Detta är precis vad de skulle vilja ha tillgång till

Permalänk
Medlem

Svårt fall. Försöket visar ju på problemet med att lita på öppen källkod bara för att den är öppen, eller på ett större plan hela problemet med kodgranskning, om granskningen inte är tillräcklig så spelar det ingen roll att den görs. Samtidigt agerar de ju rätt som stänger av denna grupp som introducerar fel i koden medvetet.

Permalänk
Medlem

Undrar om någon på Apple fått lovbord om han testat skadlig kod i MacOS eller vice versa på Microsoft.

Nu kanske de har rutiner för att stoppa att det händer men förmodligen hade det renderat ett fotavtryck i rumpan och i värsta fall en stämning på rätt många dollars.

Permalänk
Medlem

Tydligen inte första gången de bidraget med tvivelaktig kod:

Citat:

Because of this, all submissions from this group must be reverted from
the kernel tree and will need to be re-reviewed again to determine if
they actually are a valid fix. Until that work is complete, remove this
change to ensure that no problems are being introduced into the
codebase.

This patchset has the "easy" reverts, there are 68 remaining ones that
need to be manually reviewed. Some of them are not able to be reverted
as they already have been reverted, or fixed up with follow-on patches
as they were determined to be invalid. Proof that these submissions
were almost universally wrong.

Permalänk
Medlem
Skrivet av bobbeyblade:

Undrar om någon på Apple fått lovbord om han testat skadlig kod i MacOS eller vice versa på Microsoft.

Nu kanske de har rutiner för att stoppa att det händer men förmodligen hade det renderat ett fotavtryck i rumpan och i värsta fall en stämning på rätt många dollars.

Det är svårt att jämföra, någon som jobbar på ett mjukvaruföretag skulle förstås inte hitta på något sånt på eget bevåg, däremot skulle det kunna vara en del i processen. Typ att en person i varje team fick i uppgift att göra en incheckning som introducerade nya säkerhetshål för att kontrollera om de som granskar koden faktiskt granskar den ordentligt. Men då hade det förstås aldrig funnits någon risk att det skulle gå ut "i produktion".

Permalänk
Medlem
Citat:

I samma mailkonversation svarar en av de ansvariga för projektet att den senaste uppdateringen inte alls var menat att vara felaktig, och anklagar istället Kroah-Hartman för en otrevlig och exkluderande attityd mot nybörjare som försöker bidra till utvecklingen.

Man borde vänta tills man inte är nybörjare längre innan man commitar till ett sådant projekt.

Permalänk
Medlem
Skrivet av snajk:

Det är svårt att jämföra, någon som jobbar på ett mjukvaruföretag skulle förstås inte hitta på något sånt på eget bevåg, däremot skulle det kunna vara en del i processen. Typ att en person i varje team fick i uppgift att göra en incheckning som introducerade nya säkerhetshål för att kontrollera om de som granskar koden faktiskt granskar den ordentligt. Men då hade det förstås aldrig funnits någon risk att det skulle gå ut "i produktion".

Jo det gör dem nog redan, förr anlitade de ju fd "hackers" eller "crackers" som letade svagheter åt dem, kanske inte är så de arbetar längre dock.

Permalänk
Medlem
Skrivet av bobbeyblade:

Jo det gör dem nog redan, förr anlitade de ju fd "hackers" eller "crackers" som letade svagheter åt dem, kanske inte är så de arbetar längre dock.

Jo det gör man förstås, eller jag vet inte om det är så mycket f.d. kriminella längre men det finns konsultbolag som är specialiserade på penetrationstestning och liknande, men det är ju säkerhet på en annan nivå liksom. Kodgranskning handlar ju om att granska koden innan den kommer in i produkten medan den typen av tester handlar om att granska produkten, alltså den kompilerade koden, på plats med alla integrationer och så. Båda är viktiga men fångar olika typer av säkerhetsproblem. Och kodgranskning handlar förstås om mycket mer än säkerhetsproblem, som att man följer företagets regler för hur koden är strukturerad, använder rätt komponenter på rätt sätt och så.

Permalänk
Medlem
Skrivet av ThomasLidstrom:

Något säger mig att en Amerikansk underrättelseorganisation är sponsor till detta "projektet"
Detta är precis vad de skulle vilja ha tillgång till

Definitivt inte, de har inget intresse av några "spektakel". Amerikansk underrättelsetjänst, liksom många andra länders underrättelsetjänst skulle givetvis kunna genomföra den här typen av "test" själva utan att meddela någon. Ja, vad är det som säger att man inte redan använder detta skarpt? Jämför med ex. Crypto AG.

Permalänk
Medlem

Väldigt oprofessionellt, vad är det för jönsar som inte har koll på grundläggande forskningsetik?!

Permalänk
Medlem

Sorgligt, fatta hur långt Linux har kommit..

Permalänk
Medlem
Skrivet av snajk:

Svårt fall. Försöket visar ju på problemet med att lita på öppen källkod bara för att den är öppen, eller på ett större plan hela problemet med kodgranskning, om granskningen inte är tillräcklig så spelar det ingen roll att den görs. Samtidigt agerar de ju rätt som stänger av denna grupp som introducerar fel i koden medvetet.

Säger mig snarare att det är mycket pålitligt eftersom felen upptäcktes och korrigerades innan de kom i bruk. Irriterande för utvecklare att reparera medvetna sabotage speciellt om de inte upptäcktes direkt så förstår deras ilska.

Permalänk
Medlem

Så dessa "forskare" har i princip medvetet illegalt saboterat för Google, Facebook, IBM, Intel, Microsoft, Amazon och alla andra som bedriver Linux-utveckling och/eller använder de drabbade versionerna.
Hoppas att dom får gå med klump i magen länge!

Permalänk
Medlem

Se till att de som var med i detta aldrig får ett it relaterat jobb i framtiden.
De saknar moral och konsekvenstänk.