Equipe do Linux rejeita desculpas de pesquisadores por código malicioso

Eu baniria do mesmo jeito!

Isso se chama ego ferido.

Ego ferido de quem? Tu submete código propositalmente falho a um repositório só pra testar se a equipe que revisa está atenta é aceitável?

5 curtidas

Ego ferido dos mantenedores do kernel (que é enorme e pesado em condições normais).
E esse ban da universidade de Minnesota só mostra o tamanho do ego deles.

Deixa pra lá…

1 curtida

Só acusaram o golpe.
Os defensores do Linux adoram dizer que o sistema é seguro porque vc pode auditar o código (como se todo mundo tivesse competência para isso). Esperava-se que no caso em destaque isso fosse confirmado.

E não duvido que a reação tenha sido essa só porque os alunos (e o professor) são asiáticos.

O código foi descartado como falho antes mesmo de ser submetido a candidato pra se tornar parte do kernel. E, além disso, o código era vulnerável propositalmente. E mesmo o código que está em produção ainda fica sendo revisado e estudado por “caçadores de vulnerabilidades”.

Não, a medida não foi desproporcional. A medida foi um alerta pra quem quer ficar brincando com coisa séria.

Uma coisa é surgir uma vulnerabilidade porque em “determinada condição” você pode explorá-la. Isso pode ser inerente à linguagem, ao conjunto de outras bibliotecas, etc. Outra coisa é você querer submeter um código que é descaradamente vulnerável “a título de pesquisa e desenvolvimento”.

A parte do “asiáticos” nem vou comentar porque não vale a pena.

8 curtidas

O problema não foi a pesquisa em si, já que pesquisa e testes sobre vulnerabilidade em software não é algo fora do normal. O problema foi o fato deles terem feito isso sem ter avisado ninguém entre os responsáveis pelo kernel (principalmente para discutir responsabilidades e limites no âmbito da pesquisa) de que estavam fazendo esse tipo de teste.
Ou seja, algo bem parecido com um ataque malicioso.

Nos comentários lá do Ars tem uma analogia que eu achei interessante.
O que os pesquisadores fizeram seria que nem você ir numa loja, furtar um produto e alegar que “só estava checando o sistema de segurança de loja” caso seja pego.

9 curtidas

No passado pesquisas similares foram feitas em toda uma série de projetos opensource. Em todos eles, uma parte da alta hierarquia do projeto estava ciente da pesquisa, o que é parte do procedimentos quando rola pentests. Mesmo que não se alerte o quando ou como, se alerta para que não ocorra danos colaterais. O que houve foi uma falta de ética dos pesquisadores de não informarem os principais nomes da comunidade que isso seria feito com o objetivo de pesquisa. Caso um código malicioso passasse, seria responsabilidade de quem? Provavelmente esses pesquisadores se isentariam usando a cartada da pesquisa .

Foi antiético e a medida do Greg foi correta.

E sim, o Linux pode ser auditado pelo código fonte, e você está certo por entender que não é todo mundo que tem tal competência, mas essa ação não remove a confiança do código do Linux, e sim coloca um grande ponto de interrogação na ética da Universidade de Minessota, de onde os “pesquisadores” são.

4 curtidas

O que, tempo de não ver ninguém corroborando com o seu argumento (ruim) de que os mantenedores do kernel são xenofóbicos? Ou ficou “xatiado” que mais gente concordou com a decisão dos mantenedores e você acabou sendo o “do contra”? É só melhorar os seus argumentos. Ou não participar da discussão.

6 curtidas

É por isso que comunidades sérias possuem uma canal fechado para envio de falhas de segurança.

Submeter uma código malicioso vai claramente contra o propósito desse canal, que é reduzir a difusão do código. Porque não são apenas developers que estão de olho no código, tem muito cracker e black hat também. Principalmente contratados por governos com interesse em invasão e sabotagem.

5 curtidas

Isso pra mim cheira a malandragem e n pesquisa.

Claro q para testar uma equipe o correto é que eles n saibam q estão sendo testados. Porém, neste cenário, alguém do outro lado tem que saber que um teste tá pra acontecer, até mesmo pra saber se aprova tal teste.

Pra mim só tem 2 possibilidades:

  • Esse pessoal foi inocente demais
  • Esse pessoal queria explorar futuras vulnerabilidades

Tô mais pendendo pra 2a opção.

4 curtidas

O objetivo não é avisar todo mundo, mas pelo menos uma pessoa responsável dos níveis superiores pra caso desse problema pelo menos alguém teria alguma medida de correção.

Essa matéria está incompleta, o que faz parecer que os pesquisadores só estavam “fazendo o bem”, o que não é verdade! Um dos pesquisadores, Aditya Pakki, teve a cara de pau de enviar a Kroah-Hartman uma mensagem dizendo: “Eu respeitosamente peço que pare e desista de fazer acusações bizarras que beiram a calúnia.” Ele também afirmou que esses patches eram o resultado de um novo analisador estático que ele havia escrito e ainda encerrou dizendo: “Não vou enviar mais patches devido à atitude que não é apenas nojenta, mas também intimidadora para novatos e não especialistas.”

Não só isso, como mandaram outro patch incorreto logo em seguida e continuaram avisando que era a ferramenta que havia criado a solução, não eles! Veja trecho da resposta do Kroah-Hartman: “Alguns minutos com qualquer pessoa com aparência de conhecimento de C pode ver que seus envios não fazem NADA, então pensar que uma ferramenta os criou e então os considerou uma “solução” válida é totalmente negligente da parte de vocês, não nossa! Você é o culpado, não é nosso trabalho ser o objeto de teste de uma ferramenta que você cria.”

Foi somente depois que os pesquisadores enviaram novo código incorreto e ainda se fizeram de vítima, que Kroah-Hartman decidiu banir a universidade da comunidade. O que dizem os outros especialistas na área:

O estrategista de tecnologia da Red Hat, Jered Floyd, foi além em seu tweet, “[Isso é pior do que apenas experimentar]; Isso é como dizer que você é um ‘investigador de segurança’ indo a um supermercado e cortando os cabos de freio de todos os carros para ver quantas pessoas batem ao sair. Extremamente antiético. ”

Finalizando, com as palavras de Kroah-Hartman:“Os desenvolvedores do kernel Linux não gostam que você experimente, temos trabalho real suficiente para fazer.”

fonte: Zeddbrasil

4 curtidas

Quer dizer que se houver intensão um “colaborador” pode adicionar vulnerabilidades propositadamente. - isso é mais preocupante

Pode, assim como um funcionário de uma empresa, o risco de alguém interno querer inserir vulnerabilidades existe.

Porém, n é bem assim. Não faz sentido alguém envolvido num projeto querer prejudica-lo e tb, outros analisam o código. Não é tão simples: escrever, subir, foi aprovado.

O mais provável q tenha ocorrido é q esse pessoal tava tentando inserir vulnerabilidades no Linux, foram pegos e tá com essa desculpa de q era um teste.

1 curtida

Foi o que eu pensei, sabe se lá se não estão sendo pagos por alguém ou alguma organização criminosa para inserir essas vulnerabilidades e depois explora-las por um tempo até que fossem descobertas…

Boa parte do que você copiou aí está presente no primeiro post sobre o assunto, que, aliás, está devidamente linkado neste último: