Ciao a tutti, vi invito alla lettura di questo thread fresco fresco di questi giorni su una delle mailing list di sviluppo del kernel Linux (NFS) https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/
Those commits are part of the following research: https://github.com/QiushiWu/qiushiwu.github.io/raw/main/papers/OpenSourceIns...
They introduce kernel bugs on purpose. Yesterday, I took a look on 4 accepted patches from Aditya and 3 of them added various severity security "holes".
Le conclusioni della ricerca sono molto interessanti e sottolineano diverse criticità notoriamente importanti dell'open source
This paper presented hypocrite commits, which can be abused to stealthily introduce vulnerabilities in OSS. Three fundamental reasons enable hypocrite commits: the openness of OSS, which allows anyone including malicious committers to submit patches; the limited resources of OSS maintaining; and the complexity of OSS programs, which results in the manual review and existing tools failing to effectively identify introduced vulnerabilities. We then systematically characterized immature vulnerabilities and studied how a malicious committer can turn immature vulnerabilities into real ones. We also identified multiple factors that increase the stealthiness of the introduced vulnerabilities, including concurrency, error paths, aliases, indirect calls, etc. Furthermore, we provided a proofof- concept to safely demonstrate the practicality of hypocrite commits, and measured and quantified the risks. We finally provided our suggestions on mitigating the risks of hypocrite commits and hope that our findings could motivate future research on improving the patching process of OSS.
Il mito del bazaar di ESR, in cui il numero di occhi che rivede ogni riga di codice può scovare ogni bug si scontra con la realtà di software semplicemente troppo complesso per garantire davvero la libertà di comprenderlo, trasformata in un privilegio (illusorio). La criticità che NON sottolinea è: se degli studenti sono riusciti ad introdurre scientemente vulnerabilità in Linux, chi altri c'è riuscito senza farsi beccare prima di loro? Comunque Theodore Ts'o (di Google nonché membro del Technical Advisory Board della Linux Foundation dalla caduta di Linux) condanna i ricercatori ma ha già pronta la soluzione:
We do need to do a better job of reviewing patches, even "trivial" ones, and if that means that we might need to be a bit more skeptical dealing with newbies who are trying to get started, that's a price we will need to pay. https://lore.kernel.org/linux-nfs/YICB3wiptvvtTeA5@mit.edu/
Insomma, anche su Linux le vulnerabilità devono essere introdotte in modo più professionale. Anche a costo di apparire meno inclusivi! (!!!) Giacomo PS: sia chiaro: il software proprietario non è più sicuro. Semplicemente nell'open source, l'introduzione delle vulnerabilità è più democratica. O meglio... lo era. PPS: ai ricercatori vanno tutta la mia stima ed i miei complimenti. Bravi: hack divertente e molto istruttivo.