Как стать автором
Обновить

Комментарии 39

— КГБ просит вас, ректора Муромского университета, внедрить пару бэкдоров в ядро Линукс.
— но ведь это будет очевидно?
— пусть ваши студенты напишут много плохого кода и пару бэкдоров через переполнение никто и не заметит на этом фоне

3 года спустя:
— куратор, нас вычислили!
— сохраняйте спокойствие! Вы ведь не первый день на посту! Скажите, что это был эксперимент по изучению рецензирования и он был успешно выполнен с достижением значимых результатов!

Пресс-релиз: мы, Муромский университет, с сожалением заявлением, что провели неэтичный эксперимент, в рамках которого позволили второкурсникам накидать плохого кода в ядро Линукс… который был принят без должной проверки мейнтейнерами… все уязвимости не были злонамеренностью, а лишь случайностью… из-за недостатка опыта у наших студентами… обещаем исправиться и впредь так не делать. /s
… обещаем исправиться и впредь так не делать

Вот чтобы впредь было неповадно «позволили второкурсникам» и «из-за недостатка опыта у наших студентами» нужно бы теперь весь университет прям забанить на пятачёк лет. Чтобы другие понимали что надо нормально выстраивать свою внутреннюю доверенную двух- или трёхуровневую структуру, а не организовывать всё так, что неопытные студенты могут без проблем коммитить прям в ядро.
Вот чтобы впредь было неповадно «позволили второкурсникам» и «из-за недостатка опыта у наших студентами» нужно бы теперь весь университет прям забанить на пятачёк лет.

А может улучшить контроль над принимаемыми патчами, потому что впринципе какой-нибудь другой университет может такое сделать. И уже не по поручению КГБ, а по поручению какого-нибудь другого, более внимательного к мелочам агентства. Ну, как уже было во FreeBSD. Может надо что-то делать в принимающей точке, которая полностью под контролем мейнтейнеров?


Да, не фигня какая-то ))). Шучу я! Надо просто забанить Муромскй университет лет на 100, чтобы ни у кого даже мысли не было опубликовать результаты таких проверок!

Улучшить контроль можно только двумя способами: или тот же ресурс может всё проверять придирчивее, что будет приводить к замедлению скорости развития, или нужно увеличить сам ресурс. Вы знаете где можно взять много компетентных людей, готовых работать на общественных началах и честности и совестливости которых можно доверять? В своё время в этот круг допустили разрабов Миннесотского университета. Что именно вы предлагаете улучшить? Чтобы Товальдс лично контролировал ВСЕ коммиты? Где ему взять столько времени? Чтобы коммиты этого университета проходили аудит другого университета? Где взять столько компетентных спецов в каждом университете?

Понятно, что вся эта ситуация сделала очевидным ряд проблем. Муромский университет нужно на 100 лет наказать не за сам факт исследования, а за форму и этику его проведения. Они могли бы согласовать его проведение с главными разрабами. Они могли бы подготовиться и после публикации оперативно выкатить патчи, которые бы нивелировали всю гадость, которые они натащили в ядро. Но по факту всё сделано так, что я вполне склоняюсь к интерпретации всего этого как в первом комментарии этой темы. Как-то улучшать контроль над принимаемыми патчами нужно. Но надо понимать, что это непросто. Linux — это опенсорс. Опенсорс — это зачастую доверие. Куча народу делает что-то общее, далеко не всегда получая за это адекватной денежной отдачи. Но вот появились дартаньяны, показали то, что в общем-то было и так очевидно. И умыли руки. И что делать дальше?
НЛО прилетело и опубликовало эту надпись здесь
А может улучшить контроль над принимаемыми патчами, потому что впринципе какой-нибудь другой университет может такое сделать. И уже не по поручению КГБ, а по поручению какого-нибудь другого, более внимательного к мелочам агентства. Ну, как уже было во FreeBSD. Может надо что-то делать в принимающей точке, которая полностью под контролем мейнтейнеров?


ничего, что это все денег стоит? А разработка линуха — исключительно волонтерский проект, если вы не в курсе, и денег за это никто не платит, внезапно.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

По статистике больше половины кода ядра — это драйвера.

Пресс-релиз: мы, Муромский университет,

В Муроме филиал Институт.
НЛО прилетело и опубликовало эту надпись здесь

Так так КГБ… КГБ осталось в Белоруссии, может раскрытое покушение на батьку это происки не ЦРУ и АНБ а банды радикальных линуксоидов?

Да, ведь те, кто преследует свои цели — всегда поступают этично, и никогда не нарушают правила. Нужно банить тех, кто показал, что такое без проблем можно реализовать. Обиженки какие-то.

В ядре и так полно долгоживущих дыр, и без всяких экспериментаторов. На данный момент rust непригоден, а альтернативы, типа hurd(микроядро), redox(на rust), lilith(на crystal) (языки без ручного управления памятью) не пригодны для повседневного использования.

Rust пригоден. Линус недоволен тем, что патчи не несут смысловой нагрузки. Что тащемто справедливо.


Так или иначе, но rust будет в ядре.

Кроме бессмысленного примера, там ещё было использование паники и числовых типов. Если первое можно решить отказом от stdlib, то насчёт второго не уверен.
Не прокатило. (с)
Только лишь для наглядного примера, чтобы защитники университета Миннесоты поняли, что на самом деле произошло:

Можно ходить по разным кафе, где солонки и перечницы стоят на столах. В перечницы подсыпать грязь-пыль-песок, в солонки еще какую гадость.

Как вы будете относится к людям, которые так делают?
Как вы будете с этим знанием дальше пользоваться солонками и перечницами?
Как изменится жизнь обслуживающего персонала во всех кафе после таких случаев?

А потом вам просто скажут, что это был эксперимент, извините пожалуйста.
Можно ходить по разным кафе, где солонки и перечницы стоят на столах. В перечницы подсыпать грязь-пыль-песок, в солонки еще какую гадость.

Единственное, чего можно добиться таким образом — это причинить вред другим людям. Так как люди обычно не хотят этого делать, проблема не считается серьёзной. В случае с уязвимостями в исходниках, можно получить реальную финансовую прибыль. Поэтому проблема более серьёзная, чем с солонками. Поэтому пример не очень хороший.


Как вы будете относится к людям, которые так делают?

В случае с солонками плохо. В случае с ядром — примерно как к человеку, который наглядно показал, как взломать сеть РЖД.


Как вы будете с этим знанием дальше пользоваться солонками и перечницами?

С опаской. Что важно, раньше, когда я пользовался ими смело, туда всё также кто угодно мог подсыпать что угодно. Просто я об этом не думал.


Как изменится жизнь обслуживающего персонала во всех кафе после таких случаев?

В случае с солонками — никак не изменится. Потому что людей, которые хотят просто навредить другим людям, немного. В случае с ядром — надеюсь всё сильно изменится. Надеюсь, хотя и не верю.


А потом вам просто скажут, что это был эксперимент, извините пожалуйста.

Если злоумышленник может получить от этого прибыль — то расскажут только единицы очень благородных людей.

Единственное, чего можно добиться таким образом — это причинить вред другим людям.
Если сыпать «гадость» в солонки и перечницы только в кафе конкретных компаний, то можно получить прибыль от их конкурентов(хотя, вероятно, причинно-следственная связь должна быть обратной, но кто знает...)

примерно как к человеку, который наглядно показал, как взломать сеть РЖД.
К сожалению, это не совсем корректное сравнение. Вот если бы человек взломал сеть РЖД, «нагадил» там, а когда его поймали, он бы свел все на «эксперимент» — это была бы схожая ситуация, как мне кажется.

С опаской. Что важно, раньше, когда я пользовался ими смело, туда всё также кто угодно мог подсыпать что угодно. Просто я об этом не думал.
Когда речь заходит о стороннем ПО, на мой взгляд, стоит всегда с опаской относится. Но это уже паранойя.

Потому что людей, которые хотят просто навредить другим людям, немного.
А можно получить статистические данные?
А есть еще дебилы, которые звонят в детские сады и сообщают о минировании.
Тоже типа проверка как работает система безопасности?
Я лично считаю, что эти из минессотского универа того же сорта человеки.
Это были будущие эффективные менеджеры во всей красе. Они пришли к занятым людям, вломились с какой-то фигнёй в чужую работу, выклевали мозг, создали суету на ровном месте, смогли натявкать себе 15 минут славы и насрать в чужой код, получили качественный пинок под зад но не успокоились. Они собираются и дальше помогать, способствовать, анализировать и давать советы. В каждой компании есть подобный гиперактивный сброд. Теперь и в опен сорс тоже.
Cancel University of Minnesota

Странная фраза в их письме:


Doing so would reveal the identity of members of the community who responded to these patches on the message board.

Разве процесс проверки не публичен?

Вот всегда утверждаю что opensource это круто, но если между условными “apt-get upgrade” ты лично не читаешь все коммиты и исходные коды апдейтов, то для тебя уже нет никакой разницы opensource это или проприетарный софт.
Ибо, как видно, даже в ядро Линукс можно пропихнуть вредный код.

Ну… не совсем правда… В опенсорсе все-же можно прочитать код и проверить, если возникнут вопросы. Ну, а, если не можешь сам, можно попросить друга, который разбирается, ну или эксперта, и, подкинуть ему денег, можно даже в складчину.
С проприетарным софтом все это невозможно, и, все держится на доверии к компании-разработчику ПО, которая сама по себе может оказаться «филиалом Миннесотского Университета».
НЛО прилетело и опубликовало эту надпись здесь
Реверсинг конечно есть, но, это на порядок сложнее, да, и, в условиях DRM можно только найти проблему, а не поправить самому. Попробуйте самостоятельно поправить прошивки Intel ME или ядро Windows.
НЛО прилетело и опубликовало эту надпись здесь
На счет бесконечно далеки, — не скажу. Иногда, для отладки достаточно просто загуглить исходник по ключевым словам из дампа/стека падения ядра, который печатается в dmesg. Иногда, даже этого достаточно, чтобы понять, где проблема. Имел такой опыт лично. Это при том, что я к разработке под Линукс имею мало отношения. Вообще никакого, если быть точным.
НЛО прилетело и опубликовало эту надпись здесь
Думаю, что для «реверса Windows» одного Гугла недостаточно. Так что, тут вопрос стоит только в доступности процесса.
Чем доступнее сам процесс, — тем больше народа этим будет заниматься, тем лучше будет результат. Идеального же не будет никогда, к сожалению.
НЛО прилетело и опубликовало эту надпись здесь
Это верно для одного конкретного софта или модуля. А если учесть, что современная ОС это десятки и сотни программ с довольно сложной архитктурой и тысячи строк кода — то уже прочитать все это становится нереальным. Потому мы и надеемся на меинтейнеров. Но и они не роботы и так же могут провтыкать зловредный коммит.
Зловредный коммит провтыкать может кто угодно. Это аксиома. Их делают люди, а люди делают ошибки. Всегда. Без вариантов.
Вопрос в сложности/доступности процесса проверки/анализа/исправления.

"Цель их работы заключалась в понимании того, как можно улучшить процесс рецензирования коммитов и показать, что сейчас в нем есть слабые места."
Гидра доминатус.

НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории