ゼロデイアタックは「見つける時代」から「埋め込む時代」へ？？？／『ミネソタ大がLinuxコミュニティに故意に脆弱性パッチを送りつけてそれを論文にした疑い』について証言あつまる

るくす @RKX1209

2年ぐらい前にアメリカにいた時に「ゼロデイを見つける時代は終わりだ。これからはいかにバレないようにゼロデイを"埋め込んでいくか"の時代が来るんだぜ」って言われて、んなアホなと思ってたが最近マジでそうなりつつあるな

るくす @RKX1209

当時ですら既に国防総省肝いりのきな臭そうな(？)バックドア挿入の研究プロジェクトあったから今とかもっと凄そう

Hiroaki SANO @hiroakis_

ミネソタ大学、論文執筆ため論文のためにカーネルに脆弱性埋め込んだパッチ投げた→カーネルへのコントリビュートをbanされる。 / Linux bans University of Minnesota for sending buggy patches in the name of research #linuxkernel #kernel #linux: neowin.net/news/linux-ban… via @NeowinFeed

uranari @uranariz

Linux bans University of Minnesota for sending buggy patches in the name of research - Neowin neowin.net/news/linux-ban…

uranari @uranariz

端的に言うと、OSSは誰でもパッチを送れるから悪意を持った人もパッチを送れるというシナリオのもと、実際にLinuxKernelに脆弱性を埋め込んだパッチ送ってレビューが通るか試して論文にした結果、研究者だけじゃなくてミネソタ大学全体がLinuxKernelから追放されることに twitter.com/uranariz/statu…

Fadis @fadis_

米ミネソタ大学がLinuxカーネルの開発から出禁を食らった話。同大学の研究者がOSSに脆弱性のあるパッチをそれとバレないように取り込ませることは可能かという実験を行い、大量の無価値なパッチを確認する仕事を押し付けられたカーネル開発者の怒りが爆発した phoronix.com/scan.php?page=…

Masato Mori @morimorihoge

ミネソタ大の博士学生がLinux Kernelに意図的に脆弱性を仕込んだりや意味の無いパッチを送り続け「OSSに密かに脆弱性を突っ込まれる可能性」としてIEEE S&Pに論文投稿・発表した問題について、とりあえず雑に見た感じの現状はこんな雰囲気かな？当事者のFAQも出てる www-users.cs.umn.edu/~kjlu/papers/c… pic.twitter.com/m6iVyTVbTe

拡大

Yusuke Hakamaya @yhakamay

【悲報】ミネソタ大、Linuxカーネル開発チームからbanされる ミネ「脆弱性含んだパッチ、どこまでcommitできるか試してたんだよねw 気づいてた？」 Linux「オレたちはモルモットじゃねえ、他でやれ これからお前らのcommitガン無視するから」

Fumihiko Shiroyama @fushiroyama

Linux bans University of Minnesota for sending buggy patches in the name of research #linuxkernel #kernel #linux: neowin.net/news/linux-ban… via @NeowinFeed ミネソタ大Linuxコミュニティ追放の件記事になっている。故意に脆弱性パッチを送りつけてそれを論文にした疑いにカーネルチーム激怒

Fumihiko Shiroyama @fushiroyama

パッチ送者は「コードは静的解析ツールが生成したものでフィードバックを得たかった」と主張。Linuxチーム側は「何もしないかバグのあるパッチをそれと偽って送信した」と。 ちなみに同大の論文は「偽のコミットによってオープンソースソフトウェアに秘密裏に脆弱性を導入する可能性について」

Fumihiko Shiroyama @fushiroyama

github.com/QiushiWu/Qiush… アブストしか読んでないけどOSSはそのオープン性で繁栄したがすべてのパッチを精査するのは困難であり攻撃の余地がある。ここでは実験としてLinuxl Kernelを攻撃対象とすると明記されている。

たすく a.k.a. のな @ttuusskk

@fushiroyama こういう研究が大事なのはわかるけど、最低限、責任ある人に了解を取って実験しないと、unethicalって言われても仕方ない気がするなぁ。

Fumihiko Shiroyama @fushiroyama

@ttuusskk これ、ソーカル事件みたいに歴史的な出来事になったりするんでしょうか😅 Linux KernelチームのGregさんは「俺達は実験対象じゃねえ」ってメーリングリストでキレてますし（それはそう）大騒動になりそうですね…

たすく a.k.a. のな @ttuusskk

@fushiroyama そんな大層な信念のもとやっているのでしたら、言い訳メールを送ってないと思うので、考えなしにやって怒られてるだけに見えるｗ

Hajime Fujita @fujita_d_h

@ttuusskk @fushiroyama これがなんと大学の倫理委員会も通っていたらしく😮 twitter.com/plus7/status/1…

ツイ禁試行中 @plus7

@fujita_d_h 斜め読みですし順番が前後しているかもしれませんがInstitutional Review Boardとやらが通しちゃってるみたいで、大学全体に延焼するのはやむを得ないのかなと twitter.com/StefanKarpinsk…

2021-04-22 05:08:48

たすく a.k.a. のな @ttuusskk

@fujita_d_h @fushiroyama ちゃんと倫理委員会を通したのなら、学生が非難されるのは筋違いですね。止めなかった大人たちが悪いと思います。

Hajime Fujita @fujita_d_h

@ttuusskk @fushiroyama まずは指導教員が矢面に立つべきですね。

江添亮 @EzoeRyou

ミネソタ大学がLinuxに意図的に脆弱性を含んだ貢献を試みた上で論文を書いたので、信頼が毀損されたとしてLinuxカーネルからミネソタ大由来の貢献をすべて除去する作業が進められている。マジでやるらしい。 lore.kernel.org/lkml/202104211…

江添亮 @EzoeRyou

問題の論文。研究倫理として勝手にOSSコミュニティを被験者にして意図的に脆弱性を紛れ込ませ、さらにレビューでツッコミが入ると当初嘘の回答をしたことが問題視されている。そりゃ当然だ。 github.com/QiushiWu/Qiush…

江添亮 @EzoeRyou

論文のことについて問い詰められたら、「ちがうよースタティックアナライザーによる警告をみて修正したコードだよーそんなに厳しくまさかり投げるならもう貢献してやんねーよー」 Greg KH「ミネソタ大BANするわ」 lore.kernel.org/linux-nfs/YH%2…

江添亮 @EzoeRyou

論文が出たあとですらなお「初心者への嫌がらせをやめろ」と白々しく言っているようではなぁ。

江添亮 @EzoeRyou

ミネソタ大の研究者「こっそり脆弱性紛れ込ませたパッチをLinuxに送ったらどうなるのか研究して論文書いたろ」 実験結果：ミネソタ大学ごとBANされたでござる。ミネソタ大の過去のすべての貢献がリバートされつつあるでござる。