<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Apr 25, 2021 at 12:08 PM Dhaval Giani via talk <<a href="mailto:talk@gtalug.org">talk@gtalug.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Sun, Apr 25, 2021 at 8:32 AM D. Hugh Redelmeier via talk<br>
<<a href="mailto:talk@gtalug.org" target="_blank">talk@gtalug.org</a>> wrote:<br>
><br>
> | From: Aruna Hewapathirane via talk <<a href="mailto:talk@gtalug.org" target="_blank">talk@gtalug.org</a>><br>
><br>
> Thanks for pointing this out.  (I used to subscribe to the LKML but it<br>
> just got too voluminous.)<br>
><br>
> | I am still trying to understand the reason 'why' would anyone even want to<br>
> | do this ?<br>
><br>
> The first question is "what, exactly, is 'this'?".<br>
><br>
> I've ONLY read media reports and their recent apology.  So I'm not the<br>
> most informed.<br>
> <<a href="https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u" rel="noreferrer" target="_blank">https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u</a>><br>
><br>
> Some reactions.<br>
><br>
> The apology starts with:<br>
><br>
>   "We sincerely apologize for any harm our research group did to the<br>
>    Linux kernel community."<br>
><br>
> This common formulation rubs me the wrong way.  The word "any" means<br>
> that they are not actually admitting to there being harm.  If they had used<br>
> "the" or "all", I would interpret it as a genuine apology.<br>
><br>
> Later they seem more contrite.  But it is buried at the end of a<br>
> paragraph, near the end of the message><br>
><br>
>   "We apologize unconditionally for what we now recognize was a breach of<br>
>    the shared trust in the open source community and seek forgiveness for<br>
>    our missteps."<br>
><br>
> I think that they may have done the communities a service.  This kind<br>
> of weakness injection has always been available to bad actors.  In<br>
> this case, it was an actor intending to do good.<br>
><br>
> - they don't think that they actually added a vulnerability<br>
><br>
> - they demonstrated how adding a vulnerability could be done<br>
><br>
> GKH appears to have over-reacted.  (I may be wrong: he's always seemed<br>
> like a rock-steady guy.)<br>
><br>
<br>
As someone actually affected by these reverts :-). Greg KH did not<br>
over react. These guys did not do the community a service. They did<br>
add vulnerabilities (those have been reverted since) and they did not<br>
tell us anything. I myself have left old code in the kernel when<br>
trying to get rid of some of my stuff. And I was not trying to inject<br>
a bug. They did not tell me anything I did not already know. It is<br>
easy to get bugs into the kernel. Let me link to the paper and their<br>
"contributions".<br>
<br>
<a href="https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf" rel="noreferrer" target="_blank">https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf</a><br>
--<br>
VIII A<br>
By its nature, OSS openly encourages contributors. Com- mitters can<br>
freely submit patches without liability. We believe that an effective<br>
and immediate action would be to update the code of conduct of OSS,<br>
such as adding a term like “by submitting the patch, I agree to not<br>
intend to introduce bugs.” Only committers who agreed to it would be<br>
allowed to go ahead to submit the patches. By introducing the<br>
liability, the OSS would not only discourage malicious committers but<br>
also raise the awareness of potential introduced bugs for benign<br>
committers.<br>
--<br>
This is a mitigation. Have contributors claim they are not introducing<br>
bugs (at least intentionally).<br>
<br>
The rest of the mitigations are equally bizarre. They are not telling<br>
us anything we don't know. There is nothing original in this work<br>
(except for the human experimentation aspect of it.)<br>
<br>
Now let's talk about the negative impact. It is already hard enough to<br>
contribute to the linux kernel. It is built on trust. They have<br>
destroyed any trust we had in code coming from UMN. How do we know we<br>
are not being experimented for research? Like Greg pointed out, it is<br>
much easier for us to ignore all their stuff. I don't have enough<br>
seconds in my minute to get my day job done. On top of that, any new<br>
comer will have to face a much higher bar, making it even more<br>
hostile. (I actually see it as a negative, because it is easier to<br>
ignore the newcomer as opposed to doing the extra work. And generally<br>
most newcomers with some work turn out to be darn good contributors.)<br>
It will make it harder to look at non corporate contributions<br>
seriously.<br>
<br>
And as far as UMN is concerned, this is not the first time they have<br>
been involved in questionable experiments. The last time had much more<br>
serious consequences.<br>
<a href="https://en.wikipedia.org/wiki/Death_of_Dan_Markingson" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/Death_of_Dan_Markingson</a><br>
<br>
Dhaval<br></blockquote><div><br></div><div>Speak of the devil and he appears :-)<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Post to this mailing list <a href="mailto:talk@gtalug.org" target="_blank">talk@gtalug.org</a><br>
Unsubscribe from this mailing list <a href="https://gtalug.org/mailman/listinfo/talk" rel="noreferrer" target="_blank">https://gtalug.org/mailman/listinfo/talk</a><br>
</blockquote></div></div>