thảo luận Đại học minnesota đã bị ban khỏi linux kernel như thế nào?

Bắt nguồn từ thread này:
https://lore.kernel.org/linux-nfs/[email protected]/

Thì lòi ra là mấy ông ở đại học M, đã tạo 1 số bug trong code linux kernel, với mục đích phục vụ cho việc viết paper về quá trình review code trong cộng đồng open source.
Kết quả là toàn trường bị ban khỏi linux kernel (tức là ko dc contribute trong linux kernel nữa). Mọi commit từ email trường này bị auto reject. Các commit trc đó sẽ bị revert và review lại từng cái.
1 số đã bị merge vô nhánh stable!

https://lore.kernel.org/lkml/[email protected]/

Commits from @umn.edu addresses have been found to be submitted in "bad
faith" to try to test the kernel community's ability to review "known
malicious" changes. The result of these submissions can be found in a
paper published at the 42nd IEEE Symposium on Security and Privacy
entitled, "Open Source Insecurity: Stealthily Introducing
Vulnerabilities via Hypocrite Commits" written by Qiushi Wu (University
of Minnesota) and Kangjie Lu (University of Minnesota).

Và tác giả của paper đó là 2 anh có cái tên ko thể TQ hơn.

Thanks C******


trên reddit thì 1 comment dc khá nhiều like đại ý là, tao sẽ đéo bao giờ cho mấy thằng này commit vào project của tao :v

BTW: qua vụ này cũng thấy OSS khá nguy hiểm. Nhiều ng cũng đang thảo luận tiếp cách để phòng chống những case như này (review kỹ hơn, v.v...)

Link paper: https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
Em thấy cũng đáng báo động phết đấy chứ

Mấy cái OS mà ko làm kỹ cũng căng .

mikeyctn said:

Link paper: https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
Em thấy cũng đáng báo động phết đấy chứ

Click to expand...

vấn đề là linux kernel ko phải nơi để thử nghiệm :v

Fire Of Heart said:

Qiushi Wu (University of Minnesota) and Kangjie Lu (University of Minnesota)

Click to expand...

phải mấy cái tên nghe Nga ngố một tí thì khéo FBI vén váy lên rồi

Fire Of Heart said:

vấn đề là linux kernel ko phải nơi để thử nghiệm :v

Click to expand...

vậy cái này lỗi trước mắt do người review code nữa, chứ sao lại approve mấy cái request này

macuser said:

vậy cái này lỗi trước mắt do người review code nữa, chứ sao lại approve mấy cái request này

Click to expand...

, nên mới luôn có những ng hard work để review code. Khá nhiều những commit trên đã dc sửa bởi những commit khác.
Contribute bởi cộng đồng thì sao tránh dc lỗi. Code windows cũng đầy lỗi kìa.
Vấn đề là bọn kia nó mang linux kernel để thử nghiệm và đẩy nhiều lỗi lên -> tốn công sức của mọi ng. Ko khác gì 1 hành vi phá hoại có chủ đích

Fire Of Heart said:

vấn đề là linux kernel ko phải nơi để thử nghiệm :v

Click to expand...

Tại sao ko, nếu nó ko thử nghiệm mà làm thật thì sao? 1 project quan trọng như linux kernel mà còn bị inject thì thì hỏi xác project khác liệu có bị tương tự?

Sent from Soupie using vozFApp

mistake37 said:

Tại sao ko, nếu nó ko thử nghiệm mà làm thật thì sao? 1 project quan trọng như linux kernel mà còn bị inject thì thì hỏi xác projrct khác liệu có bị tương tự?

Sent from Soupie using vozFApp

Click to expand...

Anh nói buồn cười thế.
Giờ a là 1 chuyên gia về an toàn hàng không. Anh setup lỗi trên máy bay rồi đếm xem bao nhiêu ng chết à?

Khác với việc 1 thằng khủng bố mang bom lên.

Fire Of Heart said:

Anh nói buồn cười thế.
Giờ a là 1 chuyên gia về an toàn hàng không. Anh setup lỗi trên máy bay rồi đếm xem bao nhiêu ng chết à?

Khác với việc 1 thằng khủng bố mang bom lên.

Click to expand...

Cách nhìn khác nhau, đứng từ phía security mà nói thì paper kia đã chỉ ra vấn đề của OSS là kẻ xấu có thể lợi dụng OSS để làm bàn đạp tấn công. Nó sẽ khiến cả cộng đồng cảnh giác hơn với patch-review. Đó là điều tích cực.

Còn ví dụ của bạn hơi buồn cười vì máy bay mà setup lỗi có phải máy bay công cộng ko hay là tự setup lỗi cho chính máy bay của mình?

Sent from Soupie using vozFApp

mistake37 said:

Cách nhìn khác nhau, đứng từ phía security mà nói thì paper kia đã chỉ ra vấn đề của OSS là kẻ xấu có thể lợi dụng OSS để làm bàn đạp tấn công. Nó sẽ khiến cả cộng đồng cảnh giác hơn với patch-review. Đó là điều tích cực.

Còn ví dụ của bạn hơi buồn cười vì máy bay mà setup lỗi có phải máy bay công cộng ko hay là tự setup lỗi cho chính máy bay của mình?

Sent from Soupie using vozFApp

Click to expand...

Tôi nói rồi, linux kernel đéo phải nơi a thử nghiệm. Có biết linux đã lên sao hoả ko?
Có biết gây lỗi thì ảnh hưởng lớn như nào ko?

Ví dụ nó y chang nhau đấy mà anh ko nhận ra thôi.

Tôi ko phản đối việc nghiên cứu, tôi phản đối việc mang linux kernel ra thí nghiệm.

Chuyện gì xảy ra nếu lỗi ko bị phát hiện? Merge vào bản release.!

Tôi dùng dt nên lừoi cãi với anh.

Chỉ chốt 1 câu, đừng mang suy nghĩ đó vô linux community. Ở đấy họ ko chào đó, họ đủ việc bận rồi. Còn ko thì hành vi của anh bị cà cộng đồng lên án, đéo khác gì bọn phá hoại

Thiếu đéo gì nơi để thí nghiệm

Fire Of Heart said:

Tôi nói rồi, linux kernel đéo phải nơi a thử nghiệm. Có biết linux đã lên sao hoả ko?
Có biết gây lỗi thì ảnh hưởng lớn như nào ko?

Ví dụ nó y chang nhau đấy mà anh ko nhận ra thôi.

Tôi ko phản đối việc nghiên cứu, tôi phản đối việc mang linux kernel ra thí nghiệm.

Chuyện gì xảy ra nếu lỗi ko bị phát hiện? Merge vào bản release.!

Tôi dùng dt nên lừoi cãi với anh.

Chỉ chốt 1 câu, đừng mang suy nghĩ đó vô linux community. Ở đấy họ ko chào đó, họ đủ việc bận rồi. Còn ko thì hành vi của anh bị cà cộng đồng lên án, đéo khác gì bọn phá hoại

Click to expand...

Thế giới của anh màu hồng vl ra. Hãy nhìn vào màu xám - là đâu đó trên internet này đã có những thằng inject vuln vào các project quan trong VÀ TIẾT LỘ RA (trước khi tiết lộ nó có lợi dụng hay ko thì ko biết) . Tiếp, hãy nhìn vào màu đen rằng anh có chắc ko có thằng nào lén lút chèn vuln vào hàng tá project OSS ngoài kia để âm thầm phá hoại/trục lợi ko? Đến RSA cả thế giới dùng còn bị nghi ngờ có backdoor cơ mà.

Nhắc lại là tôi chả cổ súy gì việc phá hoại cả, chỉ nhìn theo góc độ khác thôi.

Sent from Soupie using vozFApp

mistake37 said:

Thế giới của anh màu hồng vl ra. Hãy nhìn vào màu xám - là đâu đó trên internet này đã có những thằng inject vuln vào các project quan trong VÀ TIẾT LỘ RA (trước khi tiết lộ nó có lợi dụng hay ko thì ko biết) . Tiếp, hãy nhìn vào màu đen rằng anh có chắc ko có thằng nào lén lút chèn vuln vào hàng tá project OSS ngoài kia để âm thầm phá hoại/trục lợi ko? Đến RSA cả thế giới dùng còn bị nghi ngờ có backdoor cơ mà.

Nhắc lại là tôi chả cổ súy gì việc phá hoại cả, chỉ nhìn theo góc độ khác thôi.

Sent from Soupie using vozFApp

Click to expand...

vãi cả hồng!
Anh tưởng tôi ngu à? Ai chả biết thiếu đéo gì thằng phá hoại như thế. Cãi đéo cãi cứ quay qua công kích cá nhân làm gì thế

Cái ở đây muốn nói là, bọn research kia, thiếu đéo gì chỗ để nghiên cứu, chui vô linux kernel làm cc gì thế? Trả lời hộ cái?
Bộ cộng đồng họ rảnh lắm hay sao?

Chuyện gì xảy ra nếu lỗi ko bị phát hiện và đẩy vào bản release? Mang danh nghiên cứu mà hành vi đéo khác gì bọn phá hoại anh vừa kể thế?

Nhắc lại lần cuối nhé: Ko phản đối đi nghiên cứu, nhưng linux kernel có ảnh hưởng rất lớn. Đừng có cố tình nghiên cứu theo kiểu gây phá hoại công sức của cộng đồng
Đừng mang tư duy đó đi cãi trên reddit rồi nhận là ng Việt nhé, tôi xấu hổ lắm.

Again, thích phá thì cứ phá đi. Nhưng đừng mang danh nghiên cứu khoa học rồi đi phá

À thằng nào bênh nữa thì về thử submit 100 bug lên release production xem.
Lead phát hiện thì bảo "em thử xem QA tester có phát hiện ko ấy mà".

Hehee, xin mời

Làm dc thì hẵng dám bênh nhé. Còn ko làm dc thì chỉ là chém gió sướng mồm

Mình thắc mắc là ai phát hiện ra lỗ hổng này vậy?
là cộng đồng, hay chính mấy ông ở đại học cài lỗi, rồi đi viết paper báo lỗi?

Fire Of Heart said:

vãi cả hồng!
Anh tưởng tôi ngu à? Ai chả biết thiếu đéo gì thằng phá hoại như thế. Cãi đéo cãi cứ quay qua công kích cá nhân làm gì thế

Cái ở đây muốn nói là, bọn research kia, thiếu đéo gì chỗ để nghiên cứu, chui vô linux kernel làm cc gì thế? Trả lời hộ cái?
Bộ cộng đồng họ rảnh lắm hay sao?

Chuyện gì xảy ra nếu lỗi ko bị phát hiện và đẩy vào bản release? Mang danh nghiên cứu mà hành vi đéo khác gì bọn phá hoại anh vừa kể thế?

Nhắc lại lần cuối nhé: Ko phản đối đi nghiên cứu, nhưng linux kernel có ảnh hưởng rất lớn. Đừng có cố tình nghiên cứu theo kiểu gây phá hoại công sức của cộng đồng
Đừng mang tư duy đó đi cãi trên reddit rồi nhận là ng Việt nhé, tôi xấu hổ lắm.

Again, thích phá thì cứ phá đi. Nhưng đừng mang danh nghiên cứu khoa học rồi đi phá

Click to expand...

Theo cái paper (Trang 8 Ethical Considerations) thì khi thử nó đều notify cho reviewer (sau khi reviewer xác nhận LGTM) là đừng có merge rồi. Ko biết anh đọc paper chưa? Nếu thử đúng như vậy tôi chả thấy có gì sai. Thử trên project nào cũng được. Còn nó nói vậy mà ko phải vậy thì đích thị cố tình phá hoại rồi. Thôi tôi chả vật nhau với anh nữa, có béo thêm lạng nào đâu.

mistake37 said:

Theo cái paper (Trang 8 Ethical Considerations) thì khi thử nó đều notify cho reviewer (sau khi reviewer xác nhận LGTM) là đừng có merge rồi. Ko biết anh đọc paper chưa? Nếu thử đúng như vậy tôi chả thấy có gì sai. Thử trên project nào cũng được. Còn nó nói vậy mà ko phải vậy thì đích thị cố tình phá hoại rồi. Thôi tôi chả vật nhau với anh nữa, có béo thêm lạng nào đâu.

Click to expand...

tôi chỉ đọc trong mail list của linux kernel thì nó bảo là có những commit đã merge vào stable tree.

Cái tiếp theo là công sức của những ng đang maitain linux kernel. Đa phần họ làm linux kernel là job phụ, họ có thêm công việc bên ngoài nữa. Việc đẩy ~70 cái bug lên, bắt ng ta review các kiểu. Sau đó cứ cho như anh nói là notify lên thì lại tốn thêm 1 đống effort.

Và trong cái mail list tôi có post ở #1, cái thằng kia nó còn bảo là "chúng mày ko thay đổi thái độ thì tao sẽ ko báo thêm cái bug nào nữa". Cho nên sau đó đám linux kernel phải ngồi revert hết commit từ cái domain của trường đại học.

Hiehe, anh đọc kỹ cái mailing list kia thì mới biết tại sao tôi phải chửi

karenshii said:

Mình thắc mắc là ai phát hiện ra lỗ hổng này vậy?
là cộng đồng, hay chính mấy ông ở đại học cài lỗi, rồi đi viết paper báo lỗi?

Click to expand...

Nó post rất nhiều bug lên.

1 số đã bị ng khác phát hiện và fix.
1 số ko dc merge.
1 số bị merge vô stable trên

Đọc cái này https://lore.kernel.org/linux-nfs/[email protected]/
từ đầu sẽ hiểu

Còn thằng research kia nói chuyện mất dạy kiểu này nè:
Nó xóa rồi mà vẫn còn quote của ông dev kernel kia.

I respectfully ask you to cease and desist from making wild accusations
that are bordering on slander.

These patches were sent as part of a new static analyzer that I wrote and
it's sensitivity is obviously not great. I sent patches on the hopes to get
feedback. We are not experts in the linux kernel and repeatedly making
these statements is disgusting to hear.

Obviously, it is a wrong step but your preconceived biases are so strong
that you make allegations without merit nor give us any benefit of doubt.

I will not be sending any more patches due to the attitude that is not only
unwelcome but also intimidating to newbies and non experts.

Click to expand...

Nói chung đọc nguyên thread đấy đi mới thấy tội mấy ông linux kernel vl.

Ông Linus ổng đang thiền để tĩnh tâm mà nghe tin này chắc đào mồ nhà thằng kia 18 đời lên chửi quá

https://lore.kernel.org/lkml/[email protected]/

Còn phản ứng của team linux kernel thì đây.

Phải hiểu là có rất nhiều commit. Giờ họ phải lục lại toàn bộ, revert hết, và check manual.
Và toàn bộ những contribute sau này từ trường đại học kia sẽ auto reject hết.