I ricercatori dell'Università del Minnesota si scusano con la comunità Linux

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sistem...nux_97237.html

Abbiamo sbagliato, ma in buonafede: questa la sintesi delle scuse con cui i ricercatori dell'Università del Minnesota dietro allo studio sui "commit ipocriti" cercano di ricucire il rapporto con la comunità del kernel Linux.

Click sul link per visualizzare la notizia.

[Unrue]

Comportamento molto deprecabile: se nel frattempo qualcuno sfruttava quelle falle? Chi pagava i danni?

E ad ogni modo ne approfitto per chiedere, come vengono controllati i commit in generale sul kernel?

[Ago72]

Partendo dal presupposto che le scuse sono un atto dovuto, in quanto i metodi della ricerca sono al limite del legale, se non del tutto illegali. In quanto sarebbe bastato un proof-of-concept non malevolo, invece che una serie di azioni.
Io ancora non riesco a capire quali azioni la comunity di Linux ha intenzioni di intraprendere per evitare che malintenzionati aggiungano funzioni malevoli nel kernel.

[jepessen]

Riesco ad immaginare chiaramente nella mia testa l'immane cazziatone del rettore dell'universita' ai ricercatori, sicuramente avvenuto prima delle scuse...

[Notturnia]

quindi anche gli utonti di linux sono utonti..

pensavo che chi usava Linux facesse più attenzione ed invece questi dell'università hanno dimostrato che anche li è facile imbrogliare e far installare codice malevolo senza fatica..

metodo particolare ma ha dimostrato certamente che anche gli utilizzatori di Linux prestano poca o nessuna attenzione ai kernel che installano visto il putiferio che ne è uscito..

[!fazz]

Quote:

Originariamente inviato da Notturnia

quindi anche gli utonti di linux sono utonti..

pensavo che chi usava Linux facesse più attenzione ed invece questi dell'università hanno dimostrato che anche li è facile imbrogliare e far installare codice malevolo senza fatica..

metodo particolare ma ha dimostrato certamente che anche gli utilizzatori di Linux prestano poca o nessuna attenzione ai kernel che installano visto il putiferio che ne è uscito..

In verità il putiferio è uscito proprio perchè le patch sono state controllate dai maintainer

[io78bis]

Da come l'ho capita io nulla è finito nel Kernel perchè le patch sono state tutte bloccate dai mainteners.

Quindi la sicurezza del kernel è stata verificata, anche se il rischio che qualche bug venga introdotto rimane visto che il revisore essendo umano può non notare il bug.

[marcram]

Penso ci sarà anche qualche sistema basato su fiducia e reputazione, nel senso che le patch inviate da sconosciuti saranno probabilmente controllate e ricontrollate, mentre quelle di soggetti conosciuti e affidabili vengono controllate un po' meno...
In questo caso sono state bloccate, e sicuramente l'ente in questione ha perso reputazione (sì, è stato bannato, ma se venisse reintegrato sarebbe sicuramente sottoposto a controlli più stringenti).
Comunque, nonostante il putiferio, alla fine il sistema si è dimostrato funzionante.

[Notturnia]

in tal caso è stato solo provato che qualcuno verifica prima di farle passare
quindi in un modo o nell'altro è servito allo scopo..
certo che si sono suicidati per provare il funzionamento del sistema.. ma almeno a qualcosa è servito :-D

[Ago72]

Quote:

Originariamente inviato da io78bis

Da come l'ho capita io nulla è finito nel Kernel perchè le patch sono state tutte bloccate dai mainteners.

Quindi la sicurezza del kernel è stata verificata, anche se il rischio che qualche bug venga introdotto rimane visto che il revisore essendo umano può non notare il bug.

Io invece ho capito diversamente. Un primo set di exploit sono finiti ramo stable del kenel.

"i ricercatori dell'Università del Minnesota spiegano di aver intenzionalmente introdotto falle di sicurezza (nello specifico Use-After-Free) nel ramo principale del kernel Linux. Un atto a fini di ricerca, ma che non è andato giù a chi lavora quotidianamente per rendere il mondo open source sempre più sicuro e credibile.

Il problema è che dopo la pubblicazione del documento, i ricercatori della University of Minnesota hanno inviato un'altra ondata di patch creata automaticamente da un presunto tool di analisi statica. Il contenuto di questi commit si è rivelato senza valore" (fonte 1)

Solo la seconda ondata è stata bloccata dai mainteners.

[TonyVe]

Quote:

Originariamente inviato da Notturnia

quindi anche gli utonti di linux sono utonti..

È bello constatare che tu non abbia capito granché dell'accaduto.

[Sandro kensan]

Mi pare che la faccenda stia prendendo una buona piega. La reazione del mantainer, il commento di Linus, il cazziatone del Rettore, le scuse dei ricercatori. Poi soprattutto il divertimento nel leggere la news che ha movimentato le acque nella community.

Tutto è bene quel che finisce bene. L'Uni del Minnesota starà un po' in castigo e poi si riprende come prima.

Forse quel che non cambia mai sono certi commenti, forse quel che non cambia è che c'è la mancanza di capacità di lettura o forse la news della settimana scorsa è stata dimenticata: la memoria del pesce rosso.

[minatoreweb]

Il problema principale a parte le scuse non credute da nessuno... è che a forza di tentare e venir respinti nell'introduzione di patch malevole si possono affinare i metodi per passare i controlli (cio' che pare stessero facendo se no non ne avrebbero introdotte di nuove). Pertanto come già discusso dai più nelle mail l'unico modo è bannare chi tenta troppo anche se lo facesse con buone intenzioni per errore.
I problemi andranno ad incrementarsi a parere mio con l'introduzione di Rust perchè porteranno il linguaggio ad un livello dove si si trovrenno più sviluppatori ma anche tante più persone che scriveranno vulnerabilità essendo di livello superiore. Le possibilità che avvenga entro l’anno non sono così scarse anche perchè c'è una forte spinta di Google.
https://github.com/Rust-for-Linux

[Opteranium]

a parte tutto, se davvero la ricerca intendeva confutare il sistema di sviluppo di linux e le sue fallacie nell'individuare bug... penso si possa dire che sono stati smentiti in modo clamoroso

[Notturnia]

Quote:

Originariamente inviato da TonyVe

È bello constatare che tu non abbia capito granché dell'accaduto.

Mi fa piacere e grazie a questo dormirò meglio
Evidentemente é un argomento inutile per me per cui posso stare tranquillo

[Shirov]

Ho un ex collega che lavora nei pressi di Saint Paul e mi diceva che nell'ambiente si stanno facendo delle grasse risate alle spalle dell'Università e dei programmatori coinvolti, che peraltro godevano di una certa stima prima dei fattacci ma che veramente hanno fatto una figura da idioti. Il top però sarebbe il rettore che ovviamente se ne infischia di Linux, Windows, C, ecc... ma che sarebbe preoccupatissimo per il "business", per il "money" ecc... da buon americano.

[Notturnia]

Quote:

Originariamente inviato da Shirov

Ho un ex collega che lavora nei pressi di Saint Paul e mi diceva che nell'ambiente si stanno facendo delle grasse risate alle spalle dell'Università e dei programmatori coinvolti, che peraltro godevano di una certa stima prima dei fattacci ma che veramente hanno fatto una figura da idioti. Il top però sarebbe il rettore che ovviamente se ne infischia di Linux, Windows, C, ecc... ma che sarebbe preoccupatissimo per il "business", per il "money" ecc... da buon americano.

hanno fatto una cosa che credo sia corretta ma in modo che alla fine gli si è ritorto contro..
se veramente volevano verificare la possibilità di inserire bug bypassando i controlli effettivamente non potevano avvisare i controllori della cosa..
ma di certo avrebbero dovuto avvisare qualcuno che stavano testando chi testa le modifiche.. così invece è passata per un tentativo di aggredire il sistema facendo perdere tempo
la comunità dovrebbe essere felice che alla fine i sistemi di controllo ci sono e funzionano (se ho capito non è arrivato nessun kernel compromesso in giro) ma ovviamente da sicuramente fastidio la modalità.

d'altro canto il rettore è interessato al nome e i problemi che questo ha generato alla sua Università che è composta da più di quei due ebeti..

[Shirov]

Quote:

Originariamente inviato da Notturnia

hanno fatto una cosa che credo sia corretta ma d'altro canto il rettore è interessato al nome e i problemi che questo ha generato alla sua Università che è composta da più di quei due ebeti..

Ovviamente... è imbufalito nero, per usare un eufemismo.... i fenomeni invece hanno quasi paura a girare per l'ateneo... giustamente....

[Notturnia]

Quote:

Originariamente inviato da Shirov

Ovviamente... è imbufalito nero, per usare un eufemismo.... i fenomeni invece hanno quasi paura a girare per l'ateneo... giustamente....

io tutto questo astio verso loro due non lo trovo giustificato.. SE il motivo era quello che hanno detto non c'erano molti modi per farlo..
Se invece il motivo era un altro allora non metto parola..

ma per testare i tester non si puo' fare molto.. è come il compito a sorpresa degli anni '80 .. non avvisavano come si fa oggi..

certo che la figuraccia è tanta anche perchè il mondo di oggi è spietato via internet e quindi la questione degenera velocemente in cattiveria.. se uno imbratta una statua è una ragazzata se uno fa perdere tempo (o meglio.. testa il sistema) è da massacrare nella gogna mediatica di internet..

fossi un utilizzatore di linux sarei felice di sapere che chi fa il proprio compito lo fa con diligenza e mi sentirei più tranquillo dei kernel validati..

resta il dubbio sulle vere intenzioni