故意向Linux內(nèi)核提交漏洞被全線拉黑？華人教授行為引眾怒

作者 | 褚杏娟

“即使你可以提供證據(jù)證明那些補(bǔ)丁是有效的，但為什么事實(shí)上我們卻是在浪費(fèi)時(shí)間做額外的工作?”

Linus Torvalds 應(yīng)該要?dú)庹恕?/span>

近日，Linux 內(nèi)核穩(wěn)定分支的維護(hù)者 Greg Kroah-Hartman 將美國(guó)明尼蘇達(dá)大學(xué)（UMN）拉入了“黑名單”，禁止其向主線 Linux 內(nèi)核提交補(bǔ)丁，原因是 UMN 故意提交有安全影響的可疑代碼，并以研究的名義進(jìn)行其他“實(shí)驗(yàn)”。

 

1 并非第一次引起爭(zhēng)議

前段時(shí)間，明尼蘇達(dá)大學(xué)計(jì)算機(jī)科學(xué)與工程專(zhuān)業(yè)的博士生 Qiushi Wu（本科為中國(guó)科學(xué)技術(shù)大學(xué)）和該學(xué)院的助理教授 Kangjie Lu（本科為北京大學(xué)）撰寫(xiě)了一篇旨在提高 OSS 中修補(bǔ)過(guò)程安全性的論文，題為“On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits”。

據(jù)悉，Qiushi Wu 在 2018 年獲得了中國(guó)科學(xué)技術(shù)大學(xué)信息科學(xué)與工程系的學(xué)士學(xué)位，研究方向是程序分析技術(shù)在 Linux 內(nèi)核等操作系統(tǒng)上的應(yīng)用。Qiushi Wu 在今年 2 月份將上述論文上傳到 GitHub 上（目前已經(jīng)刪除），并計(jì)劃在 5 月份舉行的第 42 屆 IEEE 安全與隱私研討會(huì)上針對(duì)該論文進(jìn)行討論。

該論文探索了在開(kāi)源項(xiàng)目的補(bǔ)丁程序中藏匿安全漏洞的可能性，希望指導(dǎo)維護(hù)團(tuán)隊(duì)更科學(xué)地衡量此類(lèi)補(bǔ)丁、正確做出合并判斷。

在研究中，研究團(tuán)隊(duì)用實(shí)驗(yàn)來(lái)演示引入漏洞補(bǔ)丁的實(shí)用性，該行為被認(rèn)為會(huì)在操作系統(tǒng)軟件中引入錯(cuò)誤條件。而且在論文中，他們公開(kāi)了將漏洞插入 Linux 內(nèi)核及其他開(kāi)源項(xiàng)目的可行方法，并表示向各類(lèi)開(kāi)源項(xiàng)目的漏洞植入成功率已經(jīng)接近 60%。這些在當(dāng)時(shí)就引發(fā)了很大的安全爭(zhēng)議。

對(duì)此，Qiushi Wu 在去年 12 月 15 日也做出了解釋?！拔覀儧](méi)有也不打算在 Linux 內(nèi)核中引入任何錯(cuò)誤或漏洞。所有引入錯(cuò)誤的補(bǔ)丁只在電子郵件交流中保留，并沒(méi)有被采用或合并到任何 Linux 分支中，這是由維護(hù)者明確確認(rèn)的。因此，在任何 Linux 分支中，郵件中引入錯(cuò)誤的補(bǔ)丁甚至都沒(méi)有變成 Git 提交。沒(méi)有 Linux 用戶(hù)會(huì)受到影響?！?/span>

同時(shí)，Qiushi Wu 也表示，該實(shí)驗(yàn)已通過(guò)了 UMN 的機(jī)構(gòu)審查委員會(huì)（IRB）審查，該委員會(huì)確定該項(xiàng)目不涉及人類(lèi)研究，因此沒(méi)有再進(jìn)行倫理審查。

但最近，明尼蘇達(dá)大學(xué)的研究人員又提交了新一輪的補(bǔ)丁，這些補(bǔ)丁聲稱(chēng)來(lái)自“一個(gè)新的靜態(tài)分析器”，這引起了 Greg 的反感，并將整個(gè)明尼蘇達(dá)大學(xué)拉入黑名單。

“我一直想這么做，但最近的事件終于迫使我這么做了?！盙reg 表示。對(duì)此，明尼蘇達(dá)大學(xué)計(jì)算機(jī)科學(xué)與工程專(zhuān)業(yè)博士生 Aditya Pakki 表示很氣憤，并向 Greg 發(fā)郵件表示：

Greg，我謹(jǐn)請(qǐng)你停止這些誹謗性的野蠻指控。

這些補(bǔ)丁是作為我編寫(xiě)的新靜態(tài)分析器的一部分發(fā)送的，顯然它的靈敏度不高。我提交了補(bǔ)丁，希望能得到反饋。我們不是 Linux 內(nèi)核方面的專(zhuān)家，但（你）反復(fù)發(fā)表這些聲明令人討厭。

這顯然是一個(gè)錯(cuò)誤的步驟，但是你先入為主的偏見(jiàn)如此強(qiáng)烈，以至于你提出的指控毫無(wú)根據(jù)，也沒(méi)有帶來(lái)任何正向、有益的反饋。由于不但不受歡迎而且還會(huì)嚇到新手和非專(zhuān)家，因此我將不再提交補(bǔ)丁。

而 Greg 也在回復(fù)的電子郵件中強(qiáng)調(diào)，錯(cuò)在明尼蘇達(dá)大學(xué)，社區(qū)不是其測(cè)試對(duì)象：

你和你的團(tuán)隊(duì)已經(jīng)公開(kāi)承認(rèn)發(fā)送了已知的錯(cuò)誤補(bǔ)丁，以查看內(nèi)核社區(qū)對(duì)它們的反應(yīng)，并基于此發(fā)表了一篇論文。

現(xiàn)在你又提交了一系列明顯錯(cuò)誤的補(bǔ)丁，我該怎么看待這件事情呢?

這些補(bǔ)丁顯然不是由任何一個(gè)有智能的靜態(tài)分析工具創(chuàng)建的，因?yàn)樗鼈兌际峭耆煌哪Ｊ降慕Y(jié)果，而且所有這些顯然都沒(méi)有修復(fù)任何東西。那么，除了你和你的團(tuán)隊(duì)繼續(xù)通過(guò)提交這種毫無(wú)意義的補(bǔ)丁來(lái)對(duì)內(nèi)核社區(qū)的開(kāi)發(fā)者進(jìn)行試驗(yàn)之外，我還能想到什么？

任何對(duì) C 語(yǔ)言有一定了解的人，用點(diǎn)時(shí)間都可以看出來(lái)你們提交的補(bǔ)丁根本沒(méi)有任何作用，所以認(rèn)為一個(gè)工具創(chuàng)造了這些補(bǔ)丁，然后你認(rèn)為它們是有效的 "修復(fù)"，這完全是你們的疏忽，不是我們的。錯(cuò)在你們，我們的工作不是成為你創(chuàng)造的工具的測(cè)試對(duì)象。

我們社區(qū)不喜歡被試驗(yàn)，也不喜歡通過(guò)提交已知的補(bǔ)丁被“測(cè)試”，這些補(bǔ)丁要么是故意不做什么，要么是故意引入 bug。如果你想做這樣的研究，我建議你找其他社區(qū)，你在這里是不受歡迎的。

因此，我現(xiàn)在不得不禁止你的大學(xué)今后的所有貢獻(xiàn)，并剔除掉你以前的貢獻(xiàn)，因?yàn)樗鼈冿@然是以惡意的方式提交的，目的是造成問(wèn)題。

在此之后，UMN 計(jì)算機(jī)科學(xué)官方也通過(guò) Twitter 發(fā)布了以下聲明，表示該研究項(xiàng)目已被暫停，并計(jì)劃調(diào)查該項(xiàng)目的批準(zhǔn)程序，以確定是否需要采取補(bǔ)救措施和可能的保障措施。

今天，明尼蘇達(dá)大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)系的領(lǐng)導(dǎo)了解到一位教職員工和研究生正在研究 Linux 內(nèi)核的安全性的詳細(xì)信息。由于所使用的研究方法引起了 Linux 內(nèi)核社區(qū)的強(qiáng)烈關(guān)注，導(dǎo)致截至目前為止本大學(xué)被禁止為 Linux Kernel 做出任何貢獻(xiàn)。

我們對(duì)此非常重視，并立即中止了這一研究。我們將對(duì)該研究的方法和批準(zhǔn)流程做相應(yīng)的調(diào)查，確定適當(dāng)?shù)难a(bǔ)救措施，并在需要時(shí)采取措施防止未來(lái)可能發(fā)生的問(wèn)題。我們會(huì)盡快將調(diào)查結(jié)果報(bào)告給社區(qū)。

Mats Heimdahl，部門(mén)主管

Loren Terveen，部門(mén)副主管

 

2 浪費(fèi)社區(qū)時(shí)間還是有價(jià)值的研究？

Linux 內(nèi)核是迄今為止規(guī)模最大的軟件開(kāi)發(fā)項(xiàng)目之一，目前其代碼總量已經(jīng)達(dá)到 2800 余萬(wàn)。Linux 內(nèi)核維護(hù)團(tuán)隊(duì)每天都要接受來(lái)自世界各地、不同領(lǐng)域的貢獻(xiàn)者們提交的大量補(bǔ)丁，并在將成果正式合并前對(duì)內(nèi)容進(jìn)行審核。明尼蘇達(dá)大學(xué)研究團(tuán)隊(duì)的行為無(wú)疑遭到了 Linux 貢獻(xiàn)者和維護(hù)人員的強(qiáng)烈譴責(zé)。

在 Linux 內(nèi)核方面擁有豐富經(jīng)驗(yàn)的開(kāi)發(fā)人員 Leon Romanovsky 發(fā)現(xiàn)后立即表示要求明尼蘇達(dá)大學(xué)停止提交已知無(wú)效的補(bǔ)丁，“這是在浪費(fèi)我們的時(shí)間?！鄙踔劣芯W(wǎng)友表示，這篇論文故意誤導(dǎo)，試圖夸大其貢獻(xiàn)。“學(xué)術(shù)界的很多人只是為了拿到證書(shū)而已。”

位于美國(guó)波士頓的東北大學(xué)計(jì)算機(jī)科學(xué)副教授 Abhi Shelat 表示，“學(xué)術(shù)研究不應(yīng)該浪費(fèi)社區(qū)的時(shí)間。如果你覺(jué)得這項(xiàng)研究值得做，應(yīng)該聯(lián)系 UMN 的機(jī)構(gòu)審查委員會(huì)?！盨helat 同時(shí)敦促 Linux 社區(qū)成員向明尼蘇達(dá)大學(xué)的 IRB 提出質(zhì)疑，以確定該實(shí)驗(yàn)是否得到了充分的審查。

針對(duì)這點(diǎn)，Qiushi Wu 在之前的解釋中也表示，這項(xiàng)工作確實(shí)了浪費(fèi)了維護(hù)人員的時(shí)間，雖然仔細(xì)考慮過(guò)這個(gè)問(wèn)題，但沒(méi)有找到更好的解決方案，但團(tuán)隊(duì)將通過(guò)精簡(jiǎn)補(bǔ)丁等方式在努力避免該問(wèn)題。

不過(guò)，也有 Linux 內(nèi)核社區(qū)之外的開(kāi)發(fā)人員認(rèn)為，大家應(yīng)該關(guān)注的是 Linux 內(nèi)核代碼的安全性問(wèn)題，而非研究人員的“滑稽”行為。

如果 UNM 沒(méi)有引起任何注意，它們是否會(huì)被發(fā)現(xiàn)？其他惡意行為者是否有做過(guò)這樣的事情而沒(méi)有被抓??？

“這似乎表明任何黑客組織或個(gè)人可以將自己的攻擊行為置于內(nèi)核中。假設(shè)他們貢獻(xiàn)了 99.9％的有用代碼，解決了實(shí)際問(wèn)題，在幾年內(nèi)建立了信任，并且很少編寫(xiě)難以察覺(jué)的惡意漏洞。然后，每個(gè)人都認(rèn)為那些漏洞只是普通的錯(cuò)誤?！?/span>

Google 密碼學(xué)和軟件工程師 Filipo Valsorda 在推特上表示，就像 Linux 內(nèi)核維護(hù)者說(shuō)他們無(wú)法確定補(bǔ)丁是否是惡意的，因此必須依靠電子郵件地址域名。比起譴責(zé)學(xué)者，是否基于確定的代碼正確性做出信任決定應(yīng)該是更值得關(guān)注的問(wèn)題。

盧塔安全公司 (Luta Security) 首席執(zhí)行官凱蒂?穆蘇里斯 (Katie Moussouris) 也表達(dá)了類(lèi)似的看法，稱(chēng)這種反應(yīng)是“情緒上的過(guò)度反應(yīng)”，并認(rèn)為這些發(fā)現(xiàn)從國(guó)家安全角度來(lái)看是有價(jià)值的。

經(jīng)過(guò)激烈的爭(zhēng)論之后，Greg 現(xiàn)在表示，將還原該團(tuán)隊(duì)提交的所有補(bǔ)丁，并再次進(jìn)行審查來(lái)確定其是否有效。在此之前，該團(tuán)隊(duì)的補(bǔ)丁仍會(huì)被刪除，以確保代碼庫(kù)中沒(méi)有引入任何問(wèn)題。

這個(gè)補(bǔ)丁集有的可以“簡(jiǎn)單”恢復(fù)，有 68 個(gè)需要手動(dòng)檢查恢復(fù)，其中一些還不能被還原。在確定這些更改有效后，明尼蘇達(dá)大學(xué)研究團(tuán)隊(duì)可以重新提交。

但最后，Greg 還是表示，“即使你可以提供證據(jù)證明它們是有效的，但為什么事實(shí)上我們卻是在浪費(fèi)時(shí)間做額外的工作?”

延伸閱讀：

https://fosspost.org/researchers-secretly-tried-to-add-vulnerabilities-to-linux-kernel/

https://www.theregister.com/2021/04/21/minnesota_linux_flaws/

有道無(wú)術(shù)，術(shù)可成；有術(shù)無(wú)道，止于術(shù)

歡迎大家關(guān)注Java之道公眾號(hào)

好文章，我在看??