Комментарии 39
— но ведь это будет очевидно?
— пусть ваши студенты напишут много плохого кода и пару бэкдоров через переполнение никто и не заметит на этом фоне
…
3 года спустя:
— куратор, нас вычислили!
— сохраняйте спокойствие! Вы ведь не первый день на посту! Скажите, что это был эксперимент по изучению рецензирования и он был успешно выполнен с достижением значимых результатов!
…
Пресс-релиз: мы, Муромский университет, с сожалением заявлением, что провели неэтичный эксперимент, в рамках которого позволили второкурсникам накидать плохого кода в ядро Линукс… который был принят без должной проверки мейнтейнерами… все уязвимости не были злонамеренностью, а лишь случайностью… из-за недостатка опыта у наших студентами… обещаем исправиться и впредь так не делать. /s
… обещаем исправиться и впредь так не делать
Вот чтобы впредь было неповадно «позволили второкурсникам» и «из-за недостатка опыта у наших студентами» нужно бы теперь весь университет прям забанить на пятачёк лет. Чтобы другие понимали что надо нормально выстраивать свою внутреннюю доверенную двух- или трёхуровневую структуру, а не организовывать всё так, что неопытные студенты могут без проблем коммитить прям в ядро.
Вот чтобы впредь было неповадно «позволили второкурсникам» и «из-за недостатка опыта у наших студентами» нужно бы теперь весь университет прям забанить на пятачёк лет.
А может улучшить контроль над принимаемыми патчами, потому что впринципе какой-нибудь другой университет может такое сделать. И уже не по поручению КГБ, а по поручению какого-нибудь другого, более внимательного к мелочам агентства. Ну, как уже было во FreeBSD. Может надо что-то делать в принимающей точке, которая полностью под контролем мейнтейнеров?
Да, не фигня какая-то ))). Шучу я! Надо просто забанить Муромскй университет лет на 100, чтобы ни у кого даже мысли не было опубликовать результаты таких проверок!
Понятно, что вся эта ситуация сделала очевидным ряд проблем. Муромский университет нужно на 100 лет наказать не за сам факт исследования, а за форму и этику его проведения. Они могли бы согласовать его проведение с главными разрабами. Они могли бы подготовиться и после публикации оперативно выкатить патчи, которые бы нивелировали всю гадость, которые они натащили в ядро. Но по факту всё сделано так, что я вполне склоняюсь к интерпретации всего этого как в первом комментарии этой темы. Как-то улучшать контроль над принимаемыми патчами нужно. Но надо понимать, что это непросто. Linux — это опенсорс. Опенсорс — это зачастую доверие. Куча народу делает что-то общее, далеко не всегда получая за это адекватной денежной отдачи. Но вот появились дартаньяны, показали то, что в общем-то было и так очевидно. И умыли руки. И что делать дальше?
А может улучшить контроль над принимаемыми патчами, потому что впринципе какой-нибудь другой университет может такое сделать. И уже не по поручению КГБ, а по поручению какого-нибудь другого, более внимательного к мелочам агентства. Ну, как уже было во FreeBSD. Может надо что-то делать в принимающей точке, которая полностью под контролем мейнтейнеров?
ничего, что это все денег стоит? А разработка линуха — исключительно волонтерский проект, если вы не в курсе, и денег за это никто не платит, внезапно.
Пресс-релиз: мы, Муромский университет,
В Муроме филиал Институт.
Так так КГБ… КГБ осталось в Белоруссии, может раскрытое покушение на батьку это происки не ЦРУ и АНБ а банды радикальных линуксоидов?
Да, ведь те, кто преследует свои цели — всегда поступают этично, и никогда не нарушают правила. Нужно банить тех, кто показал, что такое без проблем можно реализовать. Обиженки какие-то.
Можно ходить по разным кафе, где солонки и перечницы стоят на столах. В перечницы подсыпать грязь-пыль-песок, в солонки еще какую гадость.
Как вы будете относится к людям, которые так делают?
Как вы будете с этим знанием дальше пользоваться солонками и перечницами?
Как изменится жизнь обслуживающего персонала во всех кафе после таких случаев?
А потом вам просто скажут, что это был эксперимент, извините пожалуйста.
Можно ходить по разным кафе, где солонки и перечницы стоят на столах. В перечницы подсыпать грязь-пыль-песок, в солонки еще какую гадость.
Единственное, чего можно добиться таким образом — это причинить вред другим людям. Так как люди обычно не хотят этого делать, проблема не считается серьёзной. В случае с уязвимостями в исходниках, можно получить реальную финансовую прибыль. Поэтому проблема более серьёзная, чем с солонками. Поэтому пример не очень хороший.
Как вы будете относится к людям, которые так делают?
В случае с солонками плохо. В случае с ядром — примерно как к человеку, который наглядно показал, как взломать сеть РЖД.
Как вы будете с этим знанием дальше пользоваться солонками и перечницами?
С опаской. Что важно, раньше, когда я пользовался ими смело, туда всё также кто угодно мог подсыпать что угодно. Просто я об этом не думал.
Как изменится жизнь обслуживающего персонала во всех кафе после таких случаев?
В случае с солонками — никак не изменится. Потому что людей, которые хотят просто навредить другим людям, немного. В случае с ядром — надеюсь всё сильно изменится. Надеюсь, хотя и не верю.
А потом вам просто скажут, что это был эксперимент, извините пожалуйста.
Если злоумышленник может получить от этого прибыль — то расскажут только единицы очень благородных людей.
Единственное, чего можно добиться таким образом — это причинить вред другим людям.Если сыпать «гадость» в солонки и перечницы только в кафе конкретных компаний, то можно получить прибыль от их конкурентов(хотя, вероятно, причинно-следственная связь должна быть обратной, но кто знает...)
примерно как к человеку, который наглядно показал, как взломать сеть РЖД.К сожалению, это не совсем корректное сравнение. Вот если бы человек взломал сеть РЖД, «нагадил» там, а когда его поймали, он бы свел все на «эксперимент» — это была бы схожая ситуация, как мне кажется.
С опаской. Что важно, раньше, когда я пользовался ими смело, туда всё также кто угодно мог подсыпать что угодно. Просто я об этом не думал.Когда речь заходит о стороннем ПО, на мой взгляд, стоит всегда с опаской относится. Но это уже паранойя.
Потому что людей, которые хотят просто навредить другим людям, немного.А можно получить статистические данные?
Тоже типа проверка как работает система безопасности?
Я лично считаю, что эти из минессотского универа того же сорта человеки.
Странная фраза в их письме:
Doing so would reveal the identity of members of the community who responded to these patches on the message board.
Разве процесс проверки не публичен?
Вот всегда утверждаю что opensource это круто, но если между условными “apt-get upgrade” ты лично не читаешь все коммиты и исходные коды апдейтов, то для тебя уже нет никакой разницы opensource это или проприетарный софт.
Ибо, как видно, даже в ядро Линукс можно пропихнуть вредный код.
С проприетарным софтом все это невозможно, и, все держится на доверии к компании-разработчику ПО, которая сама по себе может оказаться «филиалом Миннесотского Университета».
"Цель их работы заключалась в понимании того, как можно улучшить процесс рецензирования коммитов и показать, что сейчас в нем есть слабые места."
Гидра доминатус.
Разработчики Миннесотского университета опубликовали открытое письмо с извинениями сообществу Linux