ミネソタ大からLinuxに送られた脆弱性を含む貢献の件

Greg K-H @gregkh

Linux kernel developers do not like being experimented on, we have enough real work to do: lore.kernel.org/linux-nfs/YH%2…

Yoshimasa Niwa @niw

ミネソタ大学がLinuxから追放された模様... “I will now have to ban all future contributions from your University and rip out your previous contributions” lore.kernel.org/linux-nfs/YH%2…

Yoshimasa Niwa @niw

問題の論文はこちら github.com/QiushiWu/qiush…

Yoshimasa Niwa @niw

簡単に言うと、バグがあるパッチ送って Linux Kernel コミュニティを研究対象として論文を書いた、って感じです。倫理的にどうなのっていう。

Yoshimasa Niwa @niw

ミネソタ大学が見解を示した模様 twitter.com/UMNComputerSci…

UMN Computer Science & Engineering @UMNComputerSci

Leadership in the University of Minnesota Department of Computer Science & Engineering learned today about the details of research being conducted by one of its faculty members and graduate students into the security of the Linux Kernel. pic.twitter.com/QE9rrAyyMX

2021-04-22 04:14:31

UMN Computer Science & Engineering @UMNComputerSci

@gregkh The University of Minnesota Department of Computer Science & Engineering takes this situation extremely seriously. We have immediately suspended this line of research. Please see this thread for more details: twitter.com/UMNComputerSci…

Fumihiko Shiroyama @fushiroyama

Linux bans University of Minnesota for sending buggy patches in the name of research #linuxkernel #kernel #linux: neowin.net/news/linux-ban… via @NeowinFeed ミネソタ大Linuxコミュニティ追放の件記事になっている。故意に脆弱性パッチを送りつけてそれを論文にした疑いにカーネルチーム激怒

Fumihiko Shiroyama @fushiroyama

パッチ送者は「コードは静的解析ツールが生成したものでフィードバックを得たかった」と主張。Linuxチーム側は「何もしないかバグのあるパッチをそれと偽って送信した」と。 ちなみに同大の論文は「偽のコミットによってオープンソースソフトウェアに秘密裏に脆弱性を導入する可能性について」

Fumihiko Shiroyama @fushiroyama

github.com/QiushiWu/Qiush… アブストしか読んでないけどOSSはそのオープン性で繁栄したがすべてのパッチを精査するのは困難であり攻撃の余地がある。ここでは実験としてLinuxl Kernelを攻撃対象とすると明記されている。

江添亮 @EzoeRyou

ミネソタ大学がLinuxに意図的に脆弱性を含んだ貢献を試みた上で論文を書いたので、信頼が毀損されたとしてLinuxカーネルからミネソタ大由来の貢献をすべて除去する作業が進められている。マジでやるらしい。 lore.kernel.org/lkml/202104211…

江添亮 @EzoeRyou

問題の論文。研究倫理として勝手にOSSコミュニティを被験者にして意図的に脆弱性を紛れ込ませ、さらにレビューでツッコミが入ると当初嘘の回答をしたことが問題視されている。そりゃ当然だ。 github.com/QiushiWu/Qiush…

江添亮 @EzoeRyou

論文のことについて問い詰められたら、「ちがうよースタティックアナライザーによる警告をみて修正したコードだよーそんなに厳しくまさかり投げるならもう貢献してやんねーよー」 Greg KH「ミネソタ大BANするわ」 lore.kernel.org/linux-nfs/YH%2…

江添亮 @EzoeRyou

論文が出たあとですらなお「初心者への嫌がらせをやめろ」と白々しく言っているようではなぁ。

江添亮 @EzoeRyou

しかし、一部の研究者はレジュメに乗せる業績を水増しするために倫理を考えずに実験するし、実際に手を動かすのは立場の不安定で政治的にも不安定な場所からやってきた文字通り命がかかっている留学生ときている。 twitter.com/EzoeRyou/statu…

江添亮 @EzoeRyou

え、ちょっとまて、論文読むとこの実験ミネソタ大のIRB（倫理審査）を通ったって書いてあるんだけど。こりゃ大学全体がBANされるわな。 github.com/QiushiWu/Qiush…

江添亮 @EzoeRyou

ミネソタ大のこの件の声明として、「今日知った。直ちに調査する」と書いてあるんだが、ミネソタ代のIRBを通ったということは今日知ったわけがあるか。IRBが意味をなしてないか、論文の記述が嘘なのか、いずれにせよ最悪だ。 cse.umn.edu/cs/statement-c…

江添亮 @EzoeRyou

どうもIRBは人間が対象ではないと判断してしまったらしい。パッチを読んでメールの返事を書くのは人間なのに。

ともしゅ @NSTomoS

ミネソタ大のあれ，研究室が勝手にやったのに大学巻き込んでBANなの可哀想だなって思ったら，倫理委員会がOK出してたらしくて草．審査する側は普段医学的な治験の審査ばかりだろうし，「人じゃないからOK」しちゃったのも分からんでもない感はある…

江添亮 @EzoeRyou

爆笑したコメント。 「こういうアイディアはどうだ。kernel.orgはミネソタ大からのアクセスを検知したらバックドアを仕込んだカーネルをダウンロードさせるんだ。そしてミネソタ大が気がつくか実験して、後に論文を書く。」 reddit.com/r/linux/commen…

江添亮 @EzoeRyou

ちょｗｗｗミネソタ大の例の研究者の言い訳面白すぎるんだけど 「IRBに相談したけど人間相手の実験じゃないからOK」 の他に、 www-users.cs.umn.edu/~kjlu/papers/c…

江添亮 @EzoeRyou

「OSSプロジェクトはCode of Conductで、パッチを提出する時にバグを混入させる意図はない、みたいな規約を作るべきだね」 頭どうなってるんだ？

ｆｊのＹｏｇ教祖様 @fjs_kyousosama

@EzoeRyou 個人的には 「多くの目があれば大丈夫」 的な事を言ってきたOSSの「信仰」に対する良いカウンターアタックだと思っている。あの寝言、大嫌いなので。 多くの目があるから大丈夫なら、今回のパッチは絶対入らないはずだよな、と。

江添亮 @EzoeRyou

@fjs_kyousosama 今回の論文で名指しされている3つのパッチは結果的に防がれているんですよね。今リバートされているミネソタ大由来の変更は、大半が静的解析の警告を修正したあってもなくても変わらない変更のようで。

Takami Sato @tkm2261

この論文自体は問題なさそう。その後の研究が問題っぽい。流石にOaklandのreview通った論文でこれが起きたらヤバいなんてもんじゃなかった。 neowin.net/news/linux-ban… twitter.com/niw/status/138…

Takami Sato @tkm2261

ミネソタ大Linux追放の件どうなるかね。当該人物の態度がGregを激怒させた感があるし、ミネソタ大がごめんなさいするのは確定として、当該人物は著者じゃないしあの論文は大丈夫ぽいけど、じゃあどこまでOK?って話もある。最近ロジスティクス攻撃の研究流行ってるし遅かれ早かれだった感がある