🔥 热搜 🔥
微信公众平台知乎贴吧1dnf私服zlibrarywhatsapp webbaidu百度自由 微 信
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
微信公众平台知乎贴吧1dnf私服zlibrarywhatsapp webbaidu百度自由 微 信
分类
社会娱乐国际人权科技经济其它
查看原文
其他

为写论文, 华人教授偷偷向Linux提交了200个安全漏洞...致整所大学被封杀!

dealmoon 波士顿消费指南 2021-04-27


最近,Linux操作系统(从手机到主要系统server,到处都在用的操作系统)惊现的200+个bug(恶意代码),让美国码农圈炸了。

开发和维护Linux操作系统的技术大神Greg Kroah-Hartman,不仅直接爆粗,甚至把美国明尼苏达大学拉进黑名单了,并放言:

“以后明尼苏达大学提交的代码,都!不!再!接!受!”

图片来源于lore.kernel,版权属于原作者

这还没完,为了表达自己态度坚决,Greg还一口气,将明尼苏达大学以前提交的代码全部作废,表示以后要挨个审查。



闹这么大,这到底是咋了啊?

这一切的一切,还得从明尼苏达大学的华人助理教授Kangjie Lu和他的博士生Qiushi Wu说起。

原来Lu教授和博士生Wu在这几年内,连续向Linux Kernel发送了 200 多个有bug的恶意代码。

背后的原因,竟是为了测试开源社区的审查能力,完成一篇探讨开源社区安全漏洞的论文。

图片来源于github,版权属于原作者

刚开始,Linux的维护人员对这波操作,没怎么注意。

然后,重点来了。

别人没发现,但他们自!爆!了!

在去年11月,Kangjie Lu 教授将他们这篇论文的摘要,发到了twitter上,一下引起多方的质疑。

摘要中,作者提及,论文的重点是研究在Linux内核为例的开源代码中植入“恶意或不安全的”代码导致的安全风险。

虽然整个过程都是以研究的目的,但要知道,这种"恶意"代码,对于Linux官方代码库来说,都是安全漏洞

也就是说,这些代码完全没有价值的。

图片来自hothardware

这可把维护人员惹火了

“我们每天都得审查几百个代码,忙的团团转,他们却为了自己写论文,把我们当工具人,拿来做试验??太自私了,这白白浪费我们的时间”

眼看形势不对,随后Lu 教授就将这篇摘要删了。


然后对自己的研究,做了声明:

1.我们从来没有在提交的代码中合并 bug,这篇论文正在论证这类问题存在的可能性;

2.我们的做法是这样的:首先发现真正的 bug A,然后提交补丁 A 来修复 bug A,这也将引入 bug B;所以,我们还会在合并 bug B 之前提交补丁 B 来修复它。换句话说,我们通过两步来修复 bug A。

3.在提交前,这些发现已经提前报告给了 Linux维护人员;

4.我们没有对任何 Linux 用户造成伤害,实际上我们还修复了这些 bug;

5.本研究的目的是通过提高人们对补丁问题的认知来改进修补过程,从而激励人们开发自动补丁检测/验证工具。


可能担心这样的解释不够正式,12月Lu教授研究团队还发表了一份正式声明。

图片来源于www-users.cs.umn.edu,版权属于原作者

表示他们研究的目的是为了提高开源软件的安全性。

所有的补丁建议都是通过电子邮件交流提出来的,从来没有合并进任何代码分支和Linux内核中。


总之一句话,就是这项研究没有恶意

目的只是为了改进Linux内核


对于研究浪费了审查人员的时间,研究团队也是倍感抱歉。


态度诚恳,也表明了是研究目的。

虽然为了研究的试验,操作过程确实有点恶心Linux审查人员,但也不至于让整个明尼苏达大学,一起被拉黑啊!

其实,Lu 教授论文这事也就只是一个引子。

真正引爆整个Linux 社区的是,明尼苏达大学一名叫Aditya Pakki的在读博士生。

今年4月,Aditya Pakki向Linux内核提交了一个小补丁。

这个看似简单的补丁,却一下引起了众多大佬关注。

在经过谷歌首席软件工程师、Linux内核社区的贡献者之一Al Viro的审查后。

图片来源于twitter,版权属于原作者

这个代码有问题。

而在起底Aditya Pakki的背景后,Linux社区成员发现,这Aditya Pakki不就正是,之前“有前科”的Kangjie Lu教授小组成员嘛?

这难道是在历史重演?

根据之前的种种,Linux社区成员认定Aditya Pakki提交的补丁,具有恶意

于是,将它们全部移除。

BUT对于Linux社区成员的指责,Aditya Pakki 可不认,直接表示“

”这些看法是先入为主,都是诽谤。”

“我发送补丁只是为了得到反馈,但是鉴于你们对新人以及非专家的恶劣态度,我以后不会在发送任何补丁。”

图片来源于bleepingcomputer,版权属于原作者

这样毫无歉意的回复,一下就惹毛了Linux内核管理员Greg。

那就别怪我不客气了。

一怒之下,Greg直接表示,禁止明尼苏达大学对Linux提交代码,之前他们的提交的代码全部作废,因为它们显然是恶意提交的。

图片来源于lore.kernel,版权属于原作者

我们有太多的工作要做,Linux内核开发人员不喜欢被试验。


一个小组惹的祸,竟让整个学校来背锅。

这样的结果,事件主角之一的Lu 教授也是没想到。

为了澄清事实,Lu 教授随后出来发了声。

上次关于“分析开源软件漏洞”的研究,已在2020年11月完成。Aditya这次在补丁中发现的bug,来自一个新项目,并非有意为之。


随后,明尼苏达大学计算机科学与工程系官方也出来,表示将调查此事。

我们非常重视这一情况,我们立即暂停了这项研究,将调查研究方法和审核过程,以采取适当的补救方法,以防止未来再出现问题。


而另一边,业内人士,对于Linux内核管理员Greg的重罚,意见也不一致。

一方面,大部分Linux社区的开发者和管理员,认为这种研究本身就是不道德的。

这已经不是简单的试验了,就像你自称“安全研究员”,然后去商店切断所有汽车的刹车线,然后看有多少人在离开时会发生车祸。


但也有人认为这“禁止”,是不是有点太苛刻。


开源安全公司总裁Brad Spengler就表示,去年包括自己在内的多人,就提醒过Linux内核维护者,这些代码可疑了。

现在才行动,是不是有点“过度反应“”了。


网友评论:

--他是国内杀毒公司毕业的吗

--好像是在做一个社会学实验,毁灭社会的互信。

--还好提交的是恶意代码,不是恶意病毒。

--这思路太古怪了,匪夷所思啊,自己造bug解bug发文章。

--这不就是去饭店投毒然后美其名曰帮你们测试你们的保安系统吗?!

--penetration test有自己业界的规则,不能像他这样胡搞

--为了测试刹车系统的安全,直接找人撞,你不能说在撞之前刹住了,没死人就皆大欢喜了。


--问城市管理部门我能不能向路边的公众饮水机投放巴豆。管理员说不行,你这是在胡闹,然后继续问。原因是这个人想在知乎写高赞答案“想公众饮水机投放巴豆,城市管理者会如何处置”。

如今,争吵还在继续,接下来怎么发展,to be continued...

本文由北美省钱快报小编整理,图片及信息来自Twitter、github、,版权属于原作者。本文不代表本公众号立场,未经许可不得擅自转载,否则将追究责任。


THE END
编辑:HY


大家都爱看

打了新冠疫苗才能薅的11个羊毛!美国花式劝人接种, 连加拿大土豪都要包机来打疫苗
麻州拿了个“全美最势利州”的冠军,波士顿人好像还挺骄傲自豪的...
美国最新“旅行禁令”, 80%国家上榜!24小时新增25万感染, 双重变种毒株击溃印度
4只波士顿机器狗入职NYPD,执勤照火出圈!甚至还有人花重金买来当宠物...
快收藏!麻州最新完整版疫苗预约攻略来啦,抢不到预约? 那是没找对方法!
中领馆最新消息:打了美国疫苗可以回国!但这2个细节要注意坚守40年,年薪5万+终身合同工的她,却在疫情下拯救了全美国...

商务 · 合作

波士顿消费指南商务合作,请填表格:https://www.dealmoon.com/cn/comments/adcooperation


注:请详细写明您的经营类别、电话联系方式、希望合作的方式以及时间等,我们将尽快与您取得联系,谢谢!


扫二维码,了解更多详情


丢人

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存