故意向Linux内核提交漏洞被全线拉黑？华人教授行为引众怒

　　作者|褚杏娟

　　“即使你可以提供证据证明那些补丁是有效的，但为什么事实上我们却是在浪费时间做额外的工作?”

　　LinusTorvalds应该要气炸了。

　　近日，Linux内核稳定分支的维护者GregKroah-Hartman将美国明尼苏达大学（UMN）拉入了“黑名单”，禁止其向主线Linux内核提交补丁，原因是UMN故意提交有安全影响的可疑代码，并以研究的名义进行其他“实验”。

　　1并非第一次引起争议

　　前段时间，明尼苏达大学计算机科学与工程专业的博士生QiushiWu（本科为中国科学技术大学）和该学院的助理教授KangjieLu（本科为北京大学）撰写了一篇旨在提高OSS中修补过程安全性的论文，题为“OntheFeasibilityofStealthilyIntroducingVulnerabilitiesinOpen-SourceSoftwareviaHypocriteCommits”。

　　据悉，QiushiWu在2018年获得了中国科学技术大学信息科学与工程系的学士学位，研究方向是程序分析技术在Linux内核等操作系统上的应用。QiushiWu在今年2月份将上述论文上传到GitHub上（目前已经删除），并计划在5月份举行的第42届IEEE安全与隐私研讨会上针对该论文进行讨论。

　　该论文探索了在开源项目的补丁程序中藏匿安全漏洞的可能性，希望指导维护团队更科学地衡量此类补丁、正确做出合并判断。

　　在研究中，研究团队用实验来演示引入漏洞补丁的实用性，该行为被认为会在操作系统软件中引入错误条件。而且在论文中，他们公开了将漏洞插入Linux内核及其他开源项目的可行方法，并表示向各类开源项目的漏洞植入成功率已经接近60%。这些在当时就引发了很大的安全争议。

　　对此，QiushiWu在去年12月15日也做出了解释。“我们没有也不打算在Linux内核中引入任何错误或漏洞。所有引入错误的补丁只在电子邮件交流中保留，并没有被采用或合并到任何Linux分支中，这是由维护者明确确认的。因此，在任何Linux分支中，邮件中引入错误的补丁甚至都没有变成Git提交。没有Linux用户会受到影响。”

　　同时，QiushiWu也表示，该实验已通过了UMN的机构审查委员会（IRB）审查，该委员会确定该项目不涉及人类研究，因此没有再进行伦理审查。

　　但最近，明尼苏达大学的研究人员又提交了新一轮的补丁，这些补丁声称来自“一个新的静态分析器”，这引起了Greg的反感，并将整个明尼苏达大学拉入黑名单。

　　“我一直想这么做，但最近的事件终于迫使我这么做了。”Greg表示。对此，明尼苏达大学计算机科学与工程专业博士生AdityaPakki表示很气愤，并向Greg发邮件表示：

　　Greg，我谨请你停止这些诽谤性的野蛮指控。

　　这些补丁是作为我编写的新静态分析器的一部分发送的，显然它的灵敏度不高。我提交了补丁，希望能得到反馈。我们不是Linux内核方面的专家，但（你）反复发表这些声明令人讨厌。

　　这显然是一个错误的步骤，但是你先入为主的偏见如此强烈，以至于你提出的指控毫无根据，也没有带来任何正向、有益的反馈。由于不但不受欢迎而且还会吓到新手和非专家，因此我将不再提交补丁。

　　而Greg也在回复的电子邮件中强调，错在明尼苏达大学，社区不是其测试对象：

　　你和你的团队已经公开承认发送了已知的错误补丁，以查看内核社区对它们的反应，并基于此发表了一篇论文。

　　现在你又提交了一系列明显错误的补丁，我该怎么看待这件事情呢?

　　这些补丁显然不是由任何一个有智能的静态分析工具创建的，因为它们都是完全不同的模式的结果，而且所有这些显然都没有修复任何东西。那么，除了你和你的团队继续通过提交这种毫无意义的补丁来对内核社区的开发者进行试验之外，我还能想到什么？

　　任何对C语言有一定了解的人，用点时间都可以看出来你们提交的补丁根本没有任何作用，所以认为一个工具创造了这些补丁，然后你认为它们是有效的"修复"，这完全是你们的疏忽，不是我们的。错在你们，我们的工作不是成为你创造的工具的测试对象。

　　我们社区不喜欢被试验，也不喜欢通过提交已知的补丁被“测试”，这些补丁要么是故意不做什么，要么是故意引入bug。如果你想做这样的研究，我建议你找其他社区，你在这里是不受欢迎的。

　　因此，我现在不得不禁止你的大学今后的所有贡献，并剔除掉你以前的贡献，因为它们显然是以恶意的方式提交的，目的是造成问题。

　　在此之后，UMN计算机科学官方也通过Twitter发布了以下声明，表示该研究项目已被暂停，并计划调查该项目的批准程序，以确定是否需要采取补救措施和可能的保障措施。

　　今天，明尼苏达大学计算机科学与工程学系的领导了解到一位教职员工和研究生正在研究Linux内核的安全性的详细信息。由于所使用的研究方法引起了Linux内核社区的强烈关注，导致截至目前为止本大学被禁止为LinuxKernel做出任何贡献。

　　我们对此非常重视，并立即中止了这一研究。我们将对该研究的方法和批准流程做相应的调查，确定适当的补救措施，并在需要时采取措施防止未来可能发生的问题。我们会尽快将调查结果报告给社区。

　　MatsHeimdahl，部门主管

　　LorenTerveen，部门副主管

　　2浪费社区时间还是有价值的研究？

　　Linux内核是迄今为止规模最大的软件开发项目之一，目前其代码总量已经达到2800余万。Linux内核维护团队每天都要接受来自世界各地、不同领域的贡献者们提交的大量补丁，并在将成果正式合并前对内容进行审核。明尼苏达大学研究团队的行为无疑遭到了Linux贡献者和维护人员的强烈谴责。

　　在Linux内核方面拥有丰富经验的开发人员LeonRomanovsky发现后立即表示要求明尼苏达大学停止提交已知无效的补丁，“这是在浪费我们的时间。”甚至有网友表示，这篇论文故意误导，试图夸大其贡献。“学术界的很多人只是为了拿到证书而已。”

　　位于美国波士顿的东北大学计算机科学副教授AbhiShelat表示，“学术研究不应该浪费社区的时间。如果你觉得这项研究值得做，应该联系UMN的机构审查委员会。”Shelat同时敦促Linux社区成员向明尼苏达大学的IRB提出质疑，以确定该实验是否得到了充分的审查。

　　针对这点，QiushiWu在之前的解释中也表示，这项工作确实了浪费了维护人员的时间，虽然仔细考虑过这个问题，但没有找到更好的解决方案，但团队将通过精简补丁等方式在努力避免该问题。

　　不过，也有Linux内核社区之外的开发人员认为，大家应该关注的是Linux内核代码的安全性问题，而非研究人员的“滑稽”行为。

　　如果UNM没有引起任何注意，它们是否会被发现？其他恶意行为者是否有做过这样的事情而没有被抓住？

　　“这似乎表明任何黑客组织或个人可以将自己的攻击行为置于内核中。假设他们贡献了99.9％的有用代码，解决了实际问题，在几年内建立了信任，并且很少编写难以察觉的恶意漏洞。然后，每个人都认为那些漏洞只是普通的错误。”

　　Google密码学和软件工程师FilipoValsorda在推特上表示，就像Linux内核维护者说他们无法确定补丁是否是恶意的，因此必须依靠电子邮件地址域名。比起谴责学者，是否基于确定的代码正确性做出信任决定应该是更值得关注的问题。

　　卢塔安全公司(LutaSecurity)首席执行官凯蒂•穆苏里斯(KatieMoussouris)也表达了类似的看法，称这种反应是“情绪上的过度反应”，并认为这些发现从国家安全角度来看是有价值的。

　　经过激烈的争论之后，Greg现在表示，将还原该团队提交的所有补丁，并再次进行审查来确定其是否有效。在此之前，该团队的补丁仍会被删除，以确保代码库中没有引入任何问题。

　　这个补丁集有的可以“简单”恢复，有68个需要手动检查恢复，其中一些还不能被还原。在确定这些更改有效后，明尼苏达大学研究团队可以重新提交。

　　但最后，Greg还是表示，“即使你可以提供证据证明它们是有效的，但为什么事实上我们却是在浪费时间做额外的工作?”

　　https://fosspost.org/researchers-secretly-tried-to-add-vulnerabilities-to-linux-kernel/

　　https://www.theregister.com/2021/04/21/minnesota_linux_flaws/

　　今日荐文

　　点击下方图片即可阅读

　　3年迭代一次技术栈：我们程序员，为啥跑不赢行业？

　　活动推荐

　　如今，微服务盛行。这些微服务通常同时运行大量的KubernetesPod和虚拟机（VM）。而且目前容器也并不能取代传统的虚拟机部署形式。因此对开发人员和管理者来说，在此基础上提供统一的基础架构是一个挑战。VMwareCloudFoundationwithTanzu专为解决这个问题而来。而且，VMware将Kubernetes功能添加到了vSphere中，其采用的部署方式尊重开发人员和vSphere管理员的传统体验。

　　我们提供了《VMwarevSpherewithKubernetes基础知识》白皮书，扫描下方二维码，了解到更多细节：

　　点个在看少个bug