Bruce Perens 670 ezer dollárt akar a Grsecurity-s Brad Spengler-től

 ( trey | 2018. február 11., vasárnap - 10:10 )

Miután a bíróságon első körben sikertelenül perelte Bruce Perens-t a Grsecurity mögött álló Open Source Security Inc., Perens most visszavágna és a jogi procedúra költségeit behajtaná a cég mögött álló Bradley Spengler-en. Perens a kaliforniai anti-SLAPP törvényre hivatkozva perelné vissza a költségeket.

Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Helyes!

+1

nehez ugy. Egyreszt igaza van Perens-nek, hogy ha Spengler birosag ele vitte/kenyszeritette, akkor behajtja rajta azt a bo fel milliot. Masreszt, ha Spengler eves bevetele ennek csak a fele (gondolom, az a ~600k dollar megszokott ugyvedi koltseg), akkor Grsecurity-s baratunk bizony 19-re huzott lapot, es bukta a partit. Viszont rossz lenne, ha a Grsecurity projekt eme meggondolatlan mozdulat miatt eltunne a sullyesztoben.

Amerikaban ugyvednek jo lenni, nem IT-snak...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Miert lenne baj ha eltunne a sulyesztoben?

Ez a projekt es igy, ezekkel az emberekkel?

Ne erts felre nem a security eszkozok letjogosultsagat kerdojelezem meg, csak erdekel miert lenne kar pont ezert a projektert.

Ez a két ember (PaxTeam és Spengler) nagyon sokat tett azért, hogy a Linux és áttételesen egész IT biztonságosabb legyen, pl. ha jól emlékszem olyan apróságok feltalálásával, mint az ASLR, ami mára minden OS-nek része. Ami miatt szerintem előremutató a tevékenységük, hogy a biztonság témáját rendszerként közelítik meg, pl. a fent említett ASLR-re nem végső megoldásként, hanem átmeneti stopgap-ként tekintettek mindig is.

A tragédia a történetben (aminek leginkább mi isszuk meg a levét), hogy gyakorlatilag személyes és kommunikációs okok miatt nem sikerült ezeket a patcheket mainstreammé tenniük. Nem volt körülöttük egy olyan ember, aki a kapcsolattartást intézte volna, hogy ők nyugodtan kódoljanak.

Talán jelez valamit, hogy miután bejelentették a grsecurity forrásának bezárását, a "kernel-hardening" projekt gyakorlatilag azon dolgozik, hogy a grsecurity-t beemeljék a mainline kernelbe. Azonban ezt az eredeti szerzők segítsége nélkül kell tenniük, és ez nem egy átlag webshop vagy akár kernel driver bonyolultságú kód.

Ettől független ez a per egyértelműen hiba volt szerintem, és valószínűleg elbukják ezt a perköltség részét is.

kosz

Hozzá kell tenni még azt is, hogy:

"a "kernel-hardening" projekt gyakorlatilag azon dolgozik, hogy a grsecurity-t beemeljék a mainline kernelbe. Azonban ezt az eredeti szerzők segítsége nélkül kell tenniük"

Ez azért így történik, mert az _ezért_ fizetett, hozzánemértő emberek kvázi social engineering módszerekkel akarták rávenni a fent nevezett szerzőpárost, hogy ingyen csinálják ezt meg helyettük.
A per tárgyát képező blogpost is ennek a "bulinak" a része.

Behúzták őket a csőbe, rábasztak.

...aztán amikor rájöttek, hogy ez az ingyen dolgoztatás nem fog működni, akkor elkezdték a kódjukat lopni, izé, "újraimplementálni". Twitteren rendszeresen égetik őket ezzel Spenglerék, idéznek "gyanúsan hasonló" diff-eket stb.

--
„Spiró ótvar, Konrád átok, Nádastól meg mindjárt hányok!”

Az egy dolog, hogy átemelik, de néha egy-egy bénázásból arra lehet következtetni, hogy a komplexitás bizony kifog némelyik kopírozón. Ha összegrundoltak egy egész kis csapatot a projektre, számos cég részvételével, akkor nem értem miért így kellett az egészet megszervezni? Mármint a Google részéről. Révfy Emese véleménye érdekelne egyébként az egészről, még nem láttam sehol sem megnyilvánulni.
A grsec-eseket korábban az zavarta, amikor mindenféle device cégek használták a kódjukat és mivel nem követték a mainstream-et, ezért backportolgatták az általuk használt kernel verziókba, de bénán.
Gyomorforgató buzgómócsing ez a Perens. Ettől lesz jobb az Open Source? Gratulálok!

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Semmivel sem gyomorforgatóbb, mint amit a Grsecurity mögött és körül levő emberek csináltak az interneten évek óta. Azt, hogy akik nem szopkorászták őket körbe, elmondták mindennek.

--
trey @ gépház

Nem hiszem, hogy erről volt szó, hiszen te például próbáltad körbeszopkorászni őket, mégis el lettél küldve a picsába. Szerintem nincs türelmük, kedvük a hozzánemértő de rajoskodó, okoskódó emberekkel foglalkozni, és ezeket a rájuk jellemző kretén stílussal kiosztották. Aztán a kiosztottak nyomták a cicaharcot, ők meg beleálltak. Ahelyett, hogy telibeszarták volna az egészet, vagy kerítettek volna maguk köré valakit, aki kulturáltan rakja helyre a kibiceket.

Értem én, hogy megpróbálod szerény személyem belerángatni ebbe az ügybe, de szerintem ne nevettesd ki magad. Itt komoly emberek vívják harcukat most! :D

--
trey @ gépház

Valami hasonlót érzek én is (az első mondatot nem kommentálva). Ami részben érthető, részben meg nem. Ha Linus vagy Poettering olykor faszparaszt stílusát elnézzük, elnézi a linuxos társadalom, akkor itt is hasonlót várnék el.

Mindenesetre ez már kicsit sok, ami itt megy, remélem nemsokára lenyugodnak a kedélyek. Ezt segítené, ha nem ítélné meg a bíró az ellenperben feldobott összeget.

Szvsz a Linuxnak az nagy előrelépés lenne, ha végre elkezdenék beépíteni a grsec fejlesztéseit, és mindkét fél azzal törődne, hogy mi a legjobb az egész közösségnek (incl. Linux & grsec & mindenki más). De hát ehhez jó hosszú ideig tartó mediációra lenne szükség a felek között, meg arra, hogy hajlandóak legyenek kicsit feladni a betonba öntött elveikből és hozzáállásukból, kezdve a peccsek méreteitől az istenkomplexusukon át egészen triviális dolgokig.

szerk.: Pont újra megtaláltam egy idézetet Linustól is, ez nem az a szint sajnos, amin értelmes közös munka elvégezhető lenne: "Don't bother with Grsecurity. Their approach has always been "we don't care if we break anything, we'll just claim it's because we're extra secure". The thing is a joke, and they are clowns. When they started talking about people taking advantage of them, I stopped trying to be polite about their bullshit. Their patches are pure garbage."

Ja, "Their patches are pure garbage", közben mennyien is használják?

ja, több millió légy nem tévedhet. egyébként mennyien használják?


"I'd rather be hated for who I am, than loved for who I am not."

Ugyanez az érv a linux ellen is felhozható ám.

akkor hozd fel érvként, bár nem mondtam, hogy jó a linux mert mennyien használják. és ettől amit leírtam pont ugyanúgy igaz. de ismét, mennyien használják? nekem nincsen róla információm, hátha tudod, ha már hivatkoztál rá.


"I'd rather be hated for who I am, than loved for who I am not."

én nem tudom, de talán nem kéne eltérni a témától :)

torvalds beszólásán keresztül a grsecurityről van szó, ez elég témába vág. :)


"I'd rather be hated for who I am, than loved for who I am not."

Ez a mondatod: 'Ja, "Their patches are pure garbage", közben mennyien is használják?' azt sugallja, hogy Linus velemenye hamis kell legyen, hiszen rengetegen hazsnaljak a grsecurity-t. A kollega meg visszakerdezett, hogy akkor hanyan is? Mi az a szam, ami megcafolja azt, hogy a grsecurity patch-ei gazosak.

Linus nem mondta, hogy a grsecurity maga egy szar. Viszont azt allitja, hogy ahogy a Linux kernelhez reszelgetik, na az mar hagy kivannivalot maga utan.

A mondatod alapjan ez ha nem is hazugsag, de a tenyek elferditese, mivel "mennyien is hasznaljak" a grsecurity-t.

Szoval en ertem a kollegat es en is kivancsi vagyok:
- mennyien hasznaljak?
- a mennyiseg alapjan meg lehet e itelni a patch-ek minoseget?
- Linus ert e a Linuxhoz (kernel), hogy a velemenyet elfogadjuk ebben az esetben?
- A grsecurity team jobban tudja e, hogy a Linux projektnek mi kellene legyen az iranya, mint azok akik a projektben reszt vesznek?

Én is kíváncsi vagyok, Linus szerint miért pure garbage, ha bele se nézett.
Továbbá, miért fogadjuk el alapnak, hogy Linusnak mindig igaza van?
Miért oké, hogy Linus gyűlöli a security-t?
Mint egy hisztis hülyegyerek. Jaj, egy patch, ami nem hagyja, hogy valaki szétbassza a kernel contextet? Utter _bullshit_!!!44444négy2+2 Nem úgy állnak a dolgokhoz mint én? Clowns!!!!3+1!!
Van egy ezeréves bug, amit a grsec amúgy mitigált, de NEHOGY úgy javítsd meg, mint ők!

"Linus nem mondta, hogy a grsecurity maga egy szar. Viszont azt allitja, hogy ahogy a Linux kernelhez reszelgetik, na az mar hagy kivannivalot maga utan."
Dehogynem. Pont ez a hisztije lényege, hogy szerinte nincs olyan, hogy security hardening. Ezért nem szabad kimondani előtt a security szót se.

"Grsecurity is an extensive security enhancement to the Linux kernel"
Akkor most hozzáreszelik a linugzhoz, vagy eleve a Linuxra csinálták?

Külön poén ez a SO válasz.

De látom sikerült eltérni a témától, jól van.

Ehhez hozzá tenném még, hogy Linus azt is kifejtette, hogy szerinte nem létezik olyan, hogy security bug. Csak bugok vannak, punktum. Aki szerint nem, az meg nyilván bohóc, meg majom, stb... Szívesen meghallgatnám egyszer, ahogy Theo de Raadt-tal mondjuk megvitatják, hogy akkor most létezik-e olyan, hogy security bug? Gyanítom nem lennének egy véleményen. Linux be van oltva security ellen és ezt még a homeopaták sem fogják belőle "kivezetni". Persze vannak még más operációs rendszerek is, ahol nem ő diktál (és nyilván sok majom, meg bohóc fejleszti), kicsit azért pech...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Ha ez amit Linus szájába adsz igaz lenne, akkor nem olvasztotta volna be a Meltdown patchet, ugyanis nem szoftverhiba.

Szájába adtam? Nézd át kérlek ezt a thread-et:
https://lkml.org/lkml/2017/11/17/767
Idézem Linus-t: "I say that security problems are primarily 'just bugs'", és jön utána persze a "Those security people are f*cking morons."
"Because honestly, the kind of security person who doesn't accept that security problems are primarily just bugs, I don't want to work with."
Többek között azt is szapulja, aki a copy-paste-elés közben néha bénázgat és előfordul, hogy túlgondolja a dolgokat.
Amin egyébként fölkapta Linus a vizet ebben a thread-ben azzal részben egyet kell értsek.
Későbbi érvei alapján viszont (https://lkml.org/lkml/2017/11/21/356) pont nem a Meltdown-t kellett volna beolvasztania. Szóval a felvetésed jó: double standard?

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Elég nehéz beolvasztani valamit, amit maguk a készítők sem akarnak. Ugyanis elhangzott a szájukból, hogy soha nem küldtek be semmit ilyen céllal és szándékosan.

"eloszor is, *mi* soha semmilyen formaban nem kuldtunk be semmit se a pax-bol se a grsec-bol (nem szamolva altalanos bugfixeket persze). es most tessek figyelni nagyon: *SZANDEKOSAN*"

Ezt neked, az akkori topik nyitójának pontosan kellene tudnia.

--
trey @ gépház

Ez így van. Most egy kicsit elbizonytalanodtam, hogy ebben a thread-ben valahol írtam ennek az ellenkezőjét? Nem állt szándékomban.
Annak idején még talán az lkml-en(?) te is írtál ezzel kapcsolatban - nem linkelem be.
Az általad is idézett korábbi előzmény még nem azt jelenti, hogy úgy kéne ezek után tolni az ipart, mint a Greg / Kees féle koncepció.

Arra szerettem volna rámutatni, hogy Linus nem konzekvens. Egyszer kinyilatkoztatja az elveit, máskor a korábbi érveinek ellentmondva cselekszik - mondjuk persze kényszerhelyzetben. Konzekvenciák nincsenek.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

En keszseggel elhiszem amit mondasz (bar kicsit ugy erzem sarkitasz, bar en szemelyesen sosem beszeltem vele, csak hallgattam, igy nem tudom megcafolni amit mondasz), de miert engedte, hogy bekeruljon a kernelbe a(z):
- Linux kernel firewall
- selinux
- namespaces
- cgroups

???

Ha Linus vagy Poettering olykor faszparaszt stílusát elnézzük, elnézi a linuxos társadalom

talan nem kene masok neveben nyilatkoznod, mert en pl. nem nezem el. Bar konnyebb a lebaszassal azonosulni, ha az illetovel egyetertesz. Ez viszont a poettering nevu entitas eseteben nehezemre esik. Szamomra valahol a cryptolocker irokkal van egy dobozban a nyomorult. Na mindegy, ez most egy mellekszal csak.

ha nem ítélné meg a bíró az ellenperben feldobott összeget.

-2. Egeszen addig vagy ezen a velemenyen, amig valaki nem teged cibal a court ele, es gombol le rolad egy lakas arat per/ugyvedi koltseg cimen.

nagy előrelépés lenne, ha végre elkezdenék beépíteni a grsec fejlesztéseit

ezzel nagyon egyetertek, de valoszinuleg ennel azert komplikaltabb a dolog, kulonben mar regota a kernel resze lenne...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

"kulonben mar regota a kernel resze lenne..."

Linus "security ellenes". Valaki mar linkelt egy emailt tole, amiben ellenzi a "security" mint szo emlegeteset is. A grsec-es emailje alapján szerintem ő gyak. leszarja a security-t, mint olyat.
"Ne írj szar kódot" -- kösz, ez kurvára nem segít.

ez ugye nem egeszen igaz. csak arrol van szo, hogy nem a security a minden. ne legyen hasznalhatatlan a rendszer a security miatt. azert en ismerek olyan secfreek-et, aki addig tudna biztonsagosabba tenni a rendszereket, mig azokat nem lehet hasznalni.

Lehet en vagyok nagyon oreg, de en inkabb hiszek az auditban, mint egy rendszer vegltekig bezarasaban (secure de hsznalhatatlan, inkabb megyek windowsra :D)

Amugy ha egyszer szetbasszak a mainline-t a patcheikkel, akkor miert gond az, ha valaki azt mondja: "koszonom, akkor inkabb nem". Vannak kinevezett kernelek, amikre ra lehet fesziteni a grsecurity-t. Ha annyira igyekeznenek, akkor minden kernellel mehetne (na jo, itt kellene mind a ket fel konstruktiv hozzaallasa).

Na de en be is fejeztem. :D

Se a grsecesek, se Linus hozzáállása nem volt produktív a Linux, mint ökoszisztéma szempontjából.
A grseceseknek a pofájukból kellene visszavenni, Linusnak meg úgyszintén.

De egyetértek veled.

Pocsteringet senki sem szereti. Szerintem meg a sajat szulei is letagadjak. :D

Amugy semmit sem neznek el neki. Ki lett osztva az a barom mar akkor is, amikor szetbarmolta a kernel debug reszet, majd beboffentette, hogy a linux kernel szar, mert nem megy rajta a fos systemd. Ki is lett baszva mindenhonnan. De a RedHat-nal tuti van egy fiuja a vezetok kozott, hogy ennyire nyomjak ezt az agyremet.

De a RedHat-nal tuti van egy fiuja a vezetok kozott, hogy ennyire nyomjak ezt az agyremet.

valami hasonlora gondolok en is...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

job security

backdoor

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

"Ha Linus vagy Poettering olykor faszparaszt stílusát elnézzük, elnézi a linuxos társadalom, akkor itt is hasonlót várnék el."

Nevezettek közül melyik perelt be valakit véleménynyilvánításért?

--
trey @ gépház

touché

' "kernel-hardening" projekt gyakorlatilag azon dolgozik, hogy a grsecurity-t beemeljék a mainline kernelbe. '
Es a szebb commit message-el fogjak ravenni a fo pingvint ?
https://www.theregister.co.uk/2017/06/26/linus_torvalds_slams_pure_garbage_from_clowns_at_grsecurity/

Van valami forras ?

Voltak otletek amik bekerultek mainline-ba, lehe hogy meg lesznek is,
de az kozel sem jelenti azt, hogy barki is teljes grsec betolsan dolgozna,
ami ellen gyarkan szolnak compatibilitasi, teljestmeny es jozan esz ervek.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

http://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project, Mission Statement.

Ha megnézed az Areas of Work-öt meglepően sok GRSEC meg PAX opció szerepel az egyes helyeknél.

kernel-hardening csak a levlista neve, hogy egyszerűbb legyen...:)

Miből gondolja a The Register, hogy visszaperelné? A bíró jelenetek kifejezetten megtiltotta az első linkelt cikk szerint.

Mivel az Open Source Security folytatni akarja a pereskedést fellebbezéssel,

"We have specifically requested the Court to enter judgment of dismissal of Plaintiffs' complaint, pursuant to its December 21 Order, so that we can begin the appeal process," Chhabra told The Register in an email."

Perens előhúzhatja az anti-SLAPP kártyát. Ha pedig megteszi és nyer, a perköltséget bevasalhatja.

https://www.theregister.co.uk/2018/01/19/grsecurity_libel_appeal/

--
trey @ gépház