ゼロデイアタックは「見つける時代」から「埋め込む時代」へ???/『ミネソタ大がLinuxコミュニティに故意に脆弱性パッチを送りつけてそれを論文にした疑い』について証言あつまる
・ゼロデイアタックは「見つける時代」から「埋め込む時代」へ???
2年ぐらい前にアメリカにいた時に「ゼロデイを見つける時代は終わりだ。これからはいかにバレないようにゼロデイを"埋め込んでいくか"の時代が来るんだぜ」って言われて、んなアホなと思ってたが最近マジでそうなりつつあるな
2021-03-29 18:51:52ミネソタ大学、論文執筆ため論文のためにカーネルに脆弱性埋め込んだパッチ投げた→カーネルへのコントリビュートをbanされる。 / Linux bans University of Minnesota for sending buggy patches in the name of research #linuxkernel #kernel #linux: neowin.net/news/linux-ban… via @NeowinFeed
2021-04-22 01:15:47Linux bans University of Minnesota for sending buggy patches in the name of research - Neowin neowin.net/news/linux-ban…
2021-04-22 01:59:22端的に言うと、OSSは誰でもパッチを送れるから悪意を持った人もパッチを送れるというシナリオのもと、実際にLinuxKernelに脆弱性を埋め込んだパッチ送ってレビューが通るか試して論文にした結果、研究者だけじゃなくてミネソタ大学全体がLinuxKernelから追放されることに twitter.com/uranariz/statu…
2021-04-22 02:19:25米ミネソタ大学がLinuxカーネルの開発から出禁を食らった話。同大学の研究者がOSSに脆弱性のあるパッチをそれとバレないように取り込ませることは可能かという実験を行い、大量の無価値なパッチを確認する仕事を押し付けられたカーネル開発者の怒りが爆発した phoronix.com/scan.php?page=…
2021-04-22 03:31:59ミネソタ大の博士学生がLinux Kernelに意図的に脆弱性を仕込んだりや意味の無いパッチを送り続け「OSSに密かに脆弱性を突っ込まれる可能性」としてIEEE S&Pに論文投稿・発表した問題について、とりあえず雑に見た感じの現状はこんな雰囲気かな?当事者のFAQも出てる www-users.cs.umn.edu/~kjlu/papers/c… pic.twitter.com/m6iVyTVbTe
2021-04-22 06:59:46【悲報】ミネソタ大、Linuxカーネル開発チームからbanされる ミネ「脆弱性含んだパッチ、どこまでcommitできるか試してたんだよねw 気づいてた?」 Linux「オレたちはモルモットじゃねえ、他でやれ これからお前らのcommitガン無視するから」
2021-04-22 08:02:14・なんと大学の倫理委員会は通過していたもよう
Linux bans University of Minnesota for sending buggy patches in the name of research #linuxkernel #kernel #linux: neowin.net/news/linux-ban… via @NeowinFeed ミネソタ大Linuxコミュニティ追放の件記事になっている。故意に脆弱性パッチを送りつけてそれを論文にした疑いにカーネルチーム激怒
2021-04-22 01:52:02パッチ送者は「コードは静的解析ツールが生成したものでフィードバックを得たかった」と主張。Linuxチーム側は「何もしないかバグのあるパッチをそれと偽って送信した」と。 ちなみに同大の論文は「偽のコミットによってオープンソースソフトウェアに秘密裏に脆弱性を導入する可能性について」
2021-04-22 01:59:53github.com/QiushiWu/Qiush… アブストしか読んでないけどOSSはそのオープン性で繁栄したがすべてのパッチを精査するのは困難であり攻撃の余地がある。ここでは実験としてLinuxl Kernelを攻撃対象とすると明記されている。
2021-04-22 02:05:33@fushiroyama こういう研究が大事なのはわかるけど、最低限、責任ある人に了解を取って実験しないと、unethicalって言われても仕方ない気がするなぁ。
2021-04-22 02:16:15@ttuusskk これ、ソーカル事件みたいに歴史的な出来事になったりするんでしょうか😅 Linux KernelチームのGregさんは「俺達は実験対象じゃねえ」ってメーリングリストでキレてますし(それはそう)大騒動になりそうですね…
2021-04-22 02:22:54@fushiroyama そんな大層な信念のもとやっているのでしたら、言い訳メールを送ってないと思うので、考えなしにやって怒られてるだけに見えるw
2021-04-22 02:35:27@ttuusskk @fushiroyama これがなんと大学の倫理委員会も通っていたらしく😮 twitter.com/plus7/status/1…
2021-04-22 05:40:42@fujita_d_h 斜め読みですし順番が前後しているかもしれませんがInstitutional Review Boardとやらが通しちゃってるみたいで、大学全体に延焼するのはやむを得ないのかなと twitter.com/StefanKarpinsk…
2021-04-22 05:08:48@fujita_d_h @fushiroyama ちゃんと倫理委員会を通したのなら、学生が非難されるのは筋違いですね。止めなかった大人たちが悪いと思います。
2021-04-22 05:57:40・『Linuxカーネルからミネソタ大由来の貢献をすべて除去する作業が進められている』
ミネソタ大学がLinuxに意図的に脆弱性を含んだ貢献を試みた上で論文を書いたので、信頼が毀損されたとしてLinuxカーネルからミネソタ大由来の貢献をすべて除去する作業が進められている。マジでやるらしい。 lore.kernel.org/lkml/202104211…
2021-04-22 11:22:59問題の論文。研究倫理として勝手にOSSコミュニティを被験者にして意図的に脆弱性を紛れ込ませ、さらにレビューでツッコミが入ると当初嘘の回答をしたことが問題視されている。そりゃ当然だ。 github.com/QiushiWu/Qiush…
2021-04-22 11:24:49論文のことについて問い詰められたら、「ちがうよースタティックアナライザーによる警告をみて修正したコードだよーそんなに厳しくまさかり投げるならもう貢献してやんねーよー」 Greg KH「ミネソタ大BANするわ」 lore.kernel.org/linux-nfs/YH%2…
2021-04-22 11:33:43ミネソタ大の研究者「こっそり脆弱性紛れ込ませたパッチをLinuxに送ったらどうなるのか研究して論文書いたろ」 実験結果:ミネソタ大学ごとBANされたでござる。ミネソタ大の過去のすべての貢献がリバートされつつあるでござる。
2021-04-22 11:57:14