image

Universiteit staakt onderzoek met opzettelijk kwetsbare Linux-patches

donderdag 22 april 2021, 16:06 door Redactie, 18 reacties

Een Amerikaanse universiteit heeft het onderzoek gestaakt waarbij werd gekeken naar de mogelijkheid om opzettelijk kwetsbare patches aan de Linux-kernel toe te voegen. Tevens stelt de University of Minnesota (UMN) een onderzoek in naar de gebruikte onderzoeksmethode en het proces dat ervoor zorgde dat het onderzoek werd goedgekeurd.

Greg Kroah-Hartman, een ontwikkelaar van de Linux-kernel, maakte gisteren bekend dat de University of Minnesota niet meer mag bijdragen aan het Linux-project. Aanleiding is het onderzoek waarbij patches voor de Linux-kernel werden ingediend die volgens Kroah-Hartman opzettelijk van kwetsbaarheden waren voorzien, om zo te kijken hoe de Linux-gemeenschap hierop reageerde.

Vorig jaar november publiceerden de onderzoekers hun onderzoek genaamd "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits" waarin ze lieten zien hoe een aanvaller via kleine patches kwetsbaarheden aan opensourceprojecten zou kunnen toevoegen (pdf). Het onderzoek zorgde voor de nodige ophef, waarop de onderzoekers lieten weten dat geen van de ingediende patches aan de Linux-kernel is toegevoegd (pdf).

Met hun onderzoek wilden ze naar eigen zeggen de veiligheid van de Linux-kernel juist verbeteren. Daarbij werd gekeken hoe haalbaar het is voor een aanvaller om patches in te dienen die bewust aangebrachte kwetsbaarheden bevatten. "Dit experiment is op veilige wijze uitgevoerd. We hebben geen kwetsbaarheden in de Linux-kernel geïntroduceerd en waren dit ook niet van plan. Alle patches met kwetsbaarheden bleven beperkt tot e-mailuitwisselingen, zonder dat ze aan een Linux-branch zijn toegevoegd."

Kroah-Hartman stelt dat de onderzoekers onlangs opnieuw opzettelijk incorrecte patches hebben ingediend. Aanleiding voor de Linux-ontwikkelaar om de volledige universiteit te verbannen van het indienden van nieuwe Linux-patches en alle ingediende patches terug te draaien. "Onze gemeenschap is geen proefkonijn en houdt er niet van om "getest" te worden door patches in te dienen die niets doen of opzettelijk bugs bevatten."

Volgens beveiligingsexpert Robert Graham is het onderzoek naar malafide patches juist nuttig voor de gemeenschap, maar zijn er wel vragen over hoe ethisch het onderzoek is. Naar aanleiding van de ban en ophef in de media is de universiteit zelf ook met een verklaring op Twitter gekomen. Daarin laat het weten dat het onderzoek is gestaakt en er een onderzoek wordt uitgevoerd naar de gebruikte onderzoeksmethode en het goedkeuringsproces. Indien nodig zal de universiteit het beleid aanpassen.

Image

Reacties (18)
22-04-2021, 16:16 door Anoniem
Aanleiding is het onderzoek waarbij patches voor de Linux-kernel werden ingediend die volgens Kroah-Hartman opzettelijk van kwetsbaarheden waren voorzien, om zo te kijken hoe de Linux-gemeenschap hierop reageerde.

Resultaat:
Greg Kroah-Hartman, een ontwikkelaar van de Linux-kernel, maakte gisteren bekend dat de University of Minnesota niet meer mag bijdragen aan het Linux-project.

Linux-gemeenschap heeft uitstekend gereageerd.
22-04-2021, 16:21 door Anoniem
Ik snap oprecht niet wat zo'n student hiermee denkt te bereiken. Het is erg voor de hand liggend dat een slechte commit per ongeluk kan worden goedgekeurd als je ze maar blijft insturen... Gefeliciteerd
22-04-2021, 16:35 door johanw - Bijgewerkt: 22-04-2021, 16:35
Tja, ze zullen het onderzoek wel moeten staken want de Linux kernel negeert hun patches voortaan, of ze nu goed zijn of niet.
22-04-2021, 18:26 door Anoniem
Wie weet hoeveel grappenmakers er dagelijks malicious code proberen toe te voegen.
Zo’n universiteit moet zich schamen als instituut om scriptkiddies te misbruiken voor hun zogenaamde onderzoek. An sich al ‘hoogst opmerkelijk’ te noemen voor een gerennommeerd instituut, zulke acties.

Dit hele verhaal lijkt op damage control van betreffende uni. Dit was zeker uitgekomen. En maar goed ook dat ze gebanned zijn. Hopelijk ook persoonlijk, want hun intenties blijven ondanks de slappe excuses volstrekt onduidelijk.
22-04-2021, 18:46 door Anoniem
O mijn god het is net zoals IK AL JAREN ROEP. Het patch systeem van linux is zo kwetsbaar als de *. Verbonden zijn aan het verkeerde netwerk kan al lijden tot een compromise.

Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren. Beternog, hij heeft geen keuze. De andere optie is namelijk compleet de server verhuizen naar een schoon netwerk zonder software te installeren op dat moment...

Ben trouwens een behoorlijke linux fan (al een tijdje, begonnen vlak voor het "The quieter you become the more you are able to hear tijdperk.")
22-04-2021, 18:51 door Anoniem
Door Anoniem: Ik snap oprecht niet wat zo'n student hiermee denkt te bereiken. Het is erg voor de hand liggend dat een slechte commit per ongeluk kan worden goedgekeurd als je ze maar blijft insturen... Gefeliciteerd
Goeiemogguh, er zijn statelijke actoren (ja wij ook weer natuurlijk godverdomme), die update poisoning uitvoeren, elk op hun eigen manier. Hierdoor is je systeem simpelweg backdoored na een update... Met alle liefde wil ik dat mensen dit onderzoeken maar dan wel disclosen..

OpenBSD doet het beter...
22-04-2021, 20:19 door Anoniem
Door Anoniem:
Door Anoniem:
Goeiemogguh, er zijn statelijke actoren (ja wij ook weer natuurlijk godverdomme), die update poisoning uitvoeren, elk op hun eigen manier. Hierdoor is je systeem simpelweg backdoored na een update...
Zoals de besmette servers van Linux Mint in 2016.
22-04-2021, 21:03 door Anoniem
Door Anoniem:
Door Anoniem: Ik snap oprecht niet wat zo'n student hiermee denkt te bereiken. Het is erg voor de hand liggend dat een slechte commit per ongeluk kan worden goedgekeurd als je ze maar blijft insturen... Gefeliciteerd
Goeiemogguh, er zijn statelijke actoren (ja wij ook weer natuurlijk godverdomme), die update poisoning uitvoeren, elk op hun eigen manier. Hierdoor is je systeem simpelweg backdoored na een update... Met alle liefde wil ik dat mensen dit onderzoeken maar dan wel disclosen..

OpenBSD doet het beter...
Waaruit blijkt dat OpenBSD dit beter doet? De patches kwamen er niet door.
Distributed git zorgt er voor dat dit niet gebeurd.
23-04-2021, 08:46 door Anoniem
Stiekem ben ik ervoor dat dit soort onderzoeken worden gedaan. Open source blijkt één hele grote flaw te hebben, namelijk iedereen kan commits geven. Een door overheid gefinancierd team (China, Rusland, USA) zou zonder dat ze ontdekt worden commits met backdoors kunnen pushen. Is niet onmogelijk.
23-04-2021, 09:39 door Anoniem
Door Anoniem: Stiekem ben ik ervoor dat dit soort onderzoeken worden gedaan. Open source blijkt één hele grote flaw te hebben, namelijk iedereen kan commits geven. Een door overheid gefinancierd team (China, Rusland, USA) zou zonder dat ze ontdekt worden commits met backdoors kunnen pushen. Is niet onmogelijk.
Ga je eerst eens verdiepen hoe git werkt.
23-04-2021, 10:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Goeiemogguh, er zijn statelijke actoren (ja wij ook weer natuurlijk godverdomme), die update poisoning uitvoeren, elk op hun eigen manier. Hierdoor is je systeem simpelweg backdoored na een update...
Zoals de besmette servers van Linux Mint in 2016.
Dat was geen Linux kernel hack. Ze hadden de website gehackt (hetgeen niet lang duurde) van een distro (mint) en een link geplaatst naar een eigen ISO. Daarom ook altijd signature checken.
23-04-2021, 10:04 door Anoniem
Als de universiteit hun energie nou gaat steken in hoe dit te voorkomen, dan mogen ze het daarna testen, melden en een verbetering in het process voorstellen.
23-04-2021, 10:12 door Anoniem
Door Anoniem: O mijn god het is net zoals IK AL JAREN ROEP. Het patch systeem van linux is zo kwetsbaar als de *. Verbonden zijn aan het verkeerde netwerk kan al lijden tot een compromise.

Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren. Beternog, hij heeft geen keuze. De andere optie is namelijk compleet de server verhuizen naar een schoon netwerk zonder software te installeren op dat moment...

Ben trouwens een behoorlijke linux fan (al een tijdje, begonnen vlak voor het "The quieter you become the more you are able to hear tijdperk.")
Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren.
Als Linux? Linux is geen bedrijf! Checksum error en dan installeren?
23-04-2021, 10:27 door Anoniem
Door Anoniem: Als de universiteit hun energie nou gaat steken in hoe dit te voorkomen, dan mogen ze het daarna testen, melden en een verbetering in het process voorstellen.
Het zou best kunnen dat ze hier nog voor aangeklaagd gaan worden. Het is ten slotte een sabotage poging.
Moeten ze eens bij Microsoft of Oracle proberen.
23-04-2021, 11:09 door Anoniem
Door Anoniem:
Door Anoniem: O mijn god het is net zoals IK AL JAREN ROEP. Het patch systeem van linux is zo kwetsbaar als de *. Verbonden zijn aan het verkeerde netwerk kan al lijden tot een compromise.

Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren. Beternog, hij heeft geen keuze. De andere optie is namelijk compleet de server verhuizen naar een schoon netwerk zonder software te installeren op dat moment...

Ben trouwens een behoorlijke linux fan (al een tijdje, begonnen vlak voor het "The quieter you become the more you are able to hear tijdperk.")
Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren.
Als Linux? Linux is geen bedrijf! Checksum error en dan installeren?

Waarom zou dat over https moeten? De packagemanager checked met pgp/gpg-keysigns of de packages kloppen dan heb je toch geen https meer nodig of denk je dat je gevoelige data aan het versturen c.q. binnenhalen bent?
23-04-2021, 12:52 door Anoniem
Door Anoniem: O mijn god het is net zoals IK AL JAREN ROEP. Het patch systeem van linux is zo kwetsbaar als de *. Verbonden zijn aan het verkeerde netwerk kan al lijden tot een compromise.

Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren. Beternog, hij heeft geen keuze. De andere optie is namelijk compleet de server verhuizen naar een schoon netwerk zonder software te installeren op dat moment...

Ben trouwens een behoorlijke linux fan (al een tijdje, begonnen vlak voor het "The quieter you become the more you are able to hear tijdperk.")

Gelukkig hebben we jou al die jaren niet gehoord, want snapt er wekelijk geen ene hol van .

1) - je roept iets over updates installeren bij Linux distributies in reactie op een onderzoek naar de mogelijkheid om malicious code te introduceren bij de ontwikkeling
Heb je echt niet door dat *als* er malicous code bij ontwikkeling toegevoegd wordt al dat crypto geneuzel van SSL certificaten - of signed packages - helemaal niet helpt ?

2) - Linux updates zijn helemaal niet afhankelijk van HTTPS om betrouwbaar te zijn .
De twee package systemen - dpkg en rpm - hebben al decennia de mogelijkheid om in de package gpg/pgp keys toe te voegen waarmee de de update gesigned is.
Alle grote distributies - redhat/centos, debian, ubuntu - en (en zeer waarschijnlijk alle distributies ) gebruiken dat ook.

Je kunt dus rustig je redhat update van cccp.moscow.ru en mao.beijing.cn binnenhalen .

Snap je trouwens wel dat HTTPS (alleen) je niet beschermt tegen een kwaadwillende mirror beheerder ?
Zo'n mirror server *heeft* een valida ssl certificaat voor de naam van de server . Of de beheerder werkelijk de echte updates levert weet je alleen dankzij de gpg signature in het pakket .

Het alternatief zonder signed packages zou zijn dat een distrutie updates alleen via eigen trusted servers zou kunnen verspreiden, en alles dus afhangt van de garantie van SSL dat er onderweg niks meer aan veranderd wordt.

Zeker toen bandbreedte nog duur was konden distributies gewoon via bittorrent verspreid worden zonder zorgen over betrouwbaarheid van al die seeders.
Feitelijk moet je alleen de allereerste download ,van de gpg public keys betrouwbaar doen.

Anyway - fijn dat je ook fan bent . Het _is_ een uitstekend OS. Maar beperk je advies rol maar tot onderwerpen waar je wat meer verstand van hebt.
Wat jij al jaren riep als 'probleem' was nooit een probleem.
Linux - nog beter dan je gedacht had.
23-04-2021, 13:04 door Anoniem
Concept onderzoek :

We propose to research the quality of the admission process of University of Minnesota for new hires .
In order to do this , a pool of 30 convicted rapists will apply for a position at the department of Womens studies.
A varying level of Resume cleaning will be applied, as well as interview coaching , all suitably randomized for each applicant .
The purpose will be to study the selection qualities of UMNs hiring staff and study the possibility of introducing unsuitable applicants in a faculty position.

To prevent the introduction of any bias it is necessary that UMN remains unaware of the research.
23-04-2021, 14:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: O mijn god het is net zoals IK AL JAREN ROEP. Het patch systeem van linux is zo kwetsbaar als de *. Verbonden zijn aan het verkeerde netwerk kan al lijden tot een compromise.

Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren. Beternog, hij heeft geen keuze. De andere optie is namelijk compleet de server verhuizen naar een schoon netwerk zonder software te installeren op dat moment...

Ben trouwens een behoorlijke linux fan (al een tijdje, begonnen vlak voor het "The quieter you become the more you are able to hear tijdperk.")
Ik ben uberhaupt al blij als linux volledig overgestapt is naar HTTPS updating. Aangepaste packages zorgen nu alleen voor een "package size niet goed + checksum check error". En de admin/gebruiker kan ze dan vervolgens no fucks given gewoon installeren.
Als Linux? Linux is geen bedrijf! Checksum error en dan installeren?

Waarom zou dat over https moeten? De packagemanager checked met pgp/gpg-keysigns of de packages kloppen dan heb je toch geen https meer nodig of denk je dat je gevoelige data aan het versturen c.q. binnenhalen bent?
Ik zeg juist niet dat het via http moet. We hebben niet voor niets checksums.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.