Bruce Perens 670 ezer dollárt akar a Grsecurity-s Brad Spengler-től

Szerzői jog, Online jog, Szólásszabadság

Miután a bíróságon első körben sikertelenül perelte Bruce Perens-t a Grsecurity mögött álló Open Source Security Inc., Perens most visszavágna és a jogi procedúra költségeit behajtaná a cég mögött álló Bradley Spengler-en. Perens a kaliforniai anti-SLAPP törvényre hivatkozva perelné vissza a költségeket.

Részletek itt.

( sj | 2018. 02. 11., v – 12:28 )

nehez ugy. Egyreszt igaza van Perens-nek, hogy ha Spengler birosag ele vitte/kenyszeritette, akkor behajtja rajta azt a bo fel milliot. Masreszt, ha Spengler eves bevetele ennek csak a fele (gondolom, az a ~600k dollar megszokott ugyvedi koltseg), akkor Grsecurity-s baratunk bizony 19-re huzott lapot, es bukta a partit. Viszont rossz lenne, ha a Grsecurity projekt eme meggondolatlan mozdulat miatt eltunne a sullyesztoben.

Amerikaban ugyvednek jo lenni, nem IT-snak...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Ez a két ember (PaxTeam és Spengler) nagyon sokat tett azért, hogy a Linux és áttételesen egész IT biztonságosabb legyen, pl. ha jól emlékszem olyan apróságok feltalálásával, mint az ASLR, ami mára minden OS-nek része. Ami miatt szerintem előremutató a tevékenységük, hogy a biztonság témáját rendszerként közelítik meg, pl. a fent említett ASLR-re nem végső megoldásként, hanem átmeneti stopgap-ként tekintettek mindig is.

A tragédia a történetben (aminek leginkább mi isszuk meg a levét), hogy gyakorlatilag személyes és kommunikációs okok miatt nem sikerült ezeket a patcheket mainstreammé tenniük. Nem volt körülöttük egy olyan ember, aki a kapcsolattartást intézte volna, hogy ők nyugodtan kódoljanak.

Talán jelez valamit, hogy miután bejelentették a grsecurity forrásának bezárását, a "kernel-hardening" projekt gyakorlatilag azon dolgozik, hogy a grsecurity-t beemeljék a mainline kernelbe. Azonban ezt az eredeti szerzők segítsége nélkül kell tenniük, és ez nem egy átlag webshop vagy akár kernel driver bonyolultságú kód.

Ettől független ez a per egyértelműen hiba volt szerintem, és valószínűleg elbukják ezt a perköltség részét is.

Hozzá kell tenni még azt is, hogy:

"a "kernel-hardening" projekt gyakorlatilag azon dolgozik, hogy a grsecurity-t beemeljék a mainline kernelbe. Azonban ezt az eredeti szerzők segítsége nélkül kell tenniük"

Ez azért így történik, mert az _ezért_ fizetett, hozzánemértő emberek kvázi social engineering módszerekkel akarták rávenni a fent nevezett szerzőpárost, hogy ingyen csinálják ezt meg helyettük.
A per tárgyát képező blogpost is ennek a "bulinak" a része.

Behúzták őket a csőbe, rábasztak.

...aztán amikor rájöttek, hogy ez az ingyen dolgoztatás nem fog működni, akkor elkezdték a kódjukat lopni, izé, "újraimplementálni". Twitteren rendszeresen égetik őket ezzel Spenglerék, idéznek "gyanúsan hasonló" diff-eket stb.

--
„Spiró ótvar, Konrád átok, Nádastól meg mindjárt hányok!”

Az egy dolog, hogy átemelik, de néha egy-egy bénázásból arra lehet következtetni, hogy a komplexitás bizony kifog némelyik kopírozón. Ha összegrundoltak egy egész kis csapatot a projektre, számos cég részvételével, akkor nem értem miért így kellett az egészet megszervezni? Mármint a Google részéről. Révfy Emese véleménye érdekelne egyébként az egészről, még nem láttam sehol sem megnyilvánulni.
A grsec-eseket korábban az zavarta, amikor mindenféle device cégek használták a kódjukat és mivel nem követték a mainstream-et, ezért backportolgatták az általuk használt kernel verziókba, de bénán.
Gyomorforgató buzgómócsing ez a Perens. Ettől lesz jobb az Open Source? Gratulálok!

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Nem hiszem, hogy erről volt szó, hiszen te például próbáltad körbeszopkorászni őket, mégis el lettél küldve a picsába. Szerintem nincs türelmük, kedvük a hozzánemértő de rajoskodó, okoskódó emberekkel foglalkozni, és ezeket a rájuk jellemző kretén stílussal kiosztották. Aztán a kiosztottak nyomták a cicaharcot, ők meg beleálltak. Ahelyett, hogy telibeszarták volna az egészet, vagy kerítettek volna maguk köré valakit, aki kulturáltan rakja helyre a kibiceket.

Valami hasonlót érzek én is (az első mondatot nem kommentálva). Ami részben érthető, részben meg nem. Ha Linus vagy Poettering olykor faszparaszt stílusát elnézzük, elnézi a linuxos társadalom, akkor itt is hasonlót várnék el.

Mindenesetre ez már kicsit sok, ami itt megy, remélem nemsokára lenyugodnak a kedélyek. Ezt segítené, ha nem ítélné meg a bíró az ellenperben feldobott összeget.

Szvsz a Linuxnak az nagy előrelépés lenne, ha végre elkezdenék beépíteni a grsec fejlesztéseit, és mindkét fél azzal törődne, hogy mi a legjobb az egész közösségnek (incl. Linux & grsec & mindenki más). De hát ehhez jó hosszú ideig tartó mediációra lenne szükség a felek között, meg arra, hogy hajlandóak legyenek kicsit feladni a betonba öntött elveikből és hozzáállásukból, kezdve a peccsek méreteitől az istenkomplexusukon át egészen triviális dolgokig.

szerk.: Pont újra megtaláltam egy idézetet Linustól is, ez nem az a szint sajnos, amin értelmes közös munka elvégezhető lenne: "Don't bother with Grsecurity. Their approach has always been "we don't care if we break anything, we'll just claim it's because we're extra secure". The thing is a joke, and they are clowns. When they started talking about people taking advantage of them, I stopped trying to be polite about their bullshit. Their patches are pure garbage."

akkor hozd fel érvként, bár nem mondtam, hogy jó a linux mert mennyien használják. és ettől amit leírtam pont ugyanúgy igaz. de ismét, mennyien használják? nekem nincsen róla információm, hátha tudod, ha már hivatkoztál rá.

"I'd rather be hated for who I am, than loved for who I am not."

Ez a mondatod: 'Ja, "Their patches are pure garbage", közben mennyien is használják?' azt sugallja, hogy Linus velemenye hamis kell legyen, hiszen rengetegen hazsnaljak a grsecurity-t. A kollega meg visszakerdezett, hogy akkor hanyan is? Mi az a szam, ami megcafolja azt, hogy a grsecurity patch-ei gazosak.

Linus nem mondta, hogy a grsecurity maga egy szar. Viszont azt allitja, hogy ahogy a Linux kernelhez reszelgetik, na az mar hagy kivannivalot maga utan.

A mondatod alapjan ez ha nem is hazugsag, de a tenyek elferditese, mivel "mennyien is hasznaljak" a grsecurity-t.

Szoval en ertem a kollegat es en is kivancsi vagyok:
- mennyien hasznaljak?
- a mennyiseg alapjan meg lehet e itelni a patch-ek minoseget?
- Linus ert e a Linuxhoz (kernel), hogy a velemenyet elfogadjuk ebben az esetben?
- A grsecurity team jobban tudja e, hogy a Linux projektnek mi kellene legyen az iranya, mint azok akik a projektben reszt vesznek?

Én is kíváncsi vagyok, Linus szerint miért pure garbage, ha bele se nézett.
Továbbá, miért fogadjuk el alapnak, hogy Linusnak mindig igaza van?
Miért oké, hogy Linus gyűlöli a security-t?
Mint egy hisztis hülyegyerek. Jaj, egy patch, ami nem hagyja, hogy valaki szétbassza a kernel contextet? Utter _bullshit_!!!44444négy2+2 Nem úgy állnak a dolgokhoz mint én? Clowns!!!!3+1!!
Van egy ezeréves bug, amit a grsec amúgy mitigált, de NEHOGY úgy javítsd meg, mint ők!

"Linus nem mondta, hogy a grsecurity maga egy szar. Viszont azt allitja, hogy ahogy a Linux kernelhez reszelgetik, na az mar hagy kivannivalot maga utan."
Dehogynem. Pont ez a hisztije lényege, hogy szerinte nincs olyan, hogy security hardening. Ezért nem szabad kimondani előtt a security szót se.

"Grsecurity is an extensive security enhancement to the Linux kernel"
Akkor most hozzáreszelik a linugzhoz, vagy eleve a Linuxra csinálták?

Külön poén ez a SO válasz.

De látom sikerült eltérni a témától, jól van.

Ehhez hozzá tenném még, hogy Linus azt is kifejtette, hogy szerinte nem létezik olyan, hogy security bug. Csak bugok vannak, punktum. Aki szerint nem, az meg nyilván bohóc, meg majom, stb... Szívesen meghallgatnám egyszer, ahogy Theo de Raadt-tal mondjuk megvitatják, hogy akkor most létezik-e olyan, hogy security bug? Gyanítom nem lennének egy véleményen. Linux be van oltva security ellen és ezt még a homeopaták sem fogják belőle "kivezetni". Persze vannak még más operációs rendszerek is, ahol nem ő diktál (és nyilván sok majom, meg bohóc fejleszti), kicsit azért pech...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Szájába adtam? Nézd át kérlek ezt a thread-et:
https://lkml.org/lkml/2017/11/17/767
Idézem Linus-t: "I say that security problems are primarily 'just bugs'", és jön utána persze a "Those security people are f*cking morons."
"Because honestly, the kind of security person who doesn't accept that security problems are primarily just bugs, I don't want to work with."
Többek között azt is szapulja, aki a copy-paste-elés közben néha bénázgat és előfordul, hogy túlgondolja a dolgokat.
Amin egyébként fölkapta Linus a vizet ebben a thread-ben azzal részben egyet kell értsek.
Későbbi érvei alapján viszont (https://lkml.org/lkml/2017/11/21/356) pont nem a Meltdown-t kellett volna beolvasztania. Szóval a felvetésed jó: double standard?

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Elég nehéz beolvasztani valamit, amit maguk a készítők sem akarnak. Ugyanis elhangzott a szájukból, hogy soha nem küldtek be semmit ilyen céllal és szándékosan.

"eloszor is, *mi* soha semmilyen formaban nem kuldtunk be semmit se a pax-bol se a grsec-bol (nem szamolva altalanos bugfixeket persze). es most tessek figyelni nagyon: *SZANDEKOSAN*"

Ezt neked, az akkori topik nyitójának pontosan kellene tudnia.

--
trey @ gépház

Ez így van. Most egy kicsit elbizonytalanodtam, hogy ebben a thread-ben valahol írtam ennek az ellenkezőjét? Nem állt szándékomban.
Annak idején még talán az lkml-en(?) te is írtál ezzel kapcsolatban - nem linkelem be.
Az általad is idézett korábbi előzmény még nem azt jelenti, hogy úgy kéne ezek után tolni az ipart, mint a Greg / Kees féle koncepció.

Arra szerettem volna rámutatni, hogy Linus nem konzekvens. Egyszer kinyilatkoztatja az elveit, máskor a korábbi érveinek ellentmondva cselekszik - mondjuk persze kényszerhelyzetben. Konzekvenciák nincsenek.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Linux kernel firewall?
Ez milyen alrendszer? Hol lehet olvasni róla?

Én helyette a netfiltert/iptables-t illetve az nftables-t említettem volna.
A Linux kernel firewall-ról még nem hallottam. Google se dob nekem ilyen találatokat, ami ne iptables v. nftables related topic lenne.

Nemrég nézegettem a forrást, de ezt az alrendszert, nem emlékszem, hogy láttam volna.
Tudsz adni pointert, merre keressem? Biztos nagyon új lehet!

Én nem akarom. De lásd be: némi szakmai hitelességgel / pontosabb / helytállóbb megnevezésekkel az érveidben is kevesebb támadási pont lenne a trollok részéről. ;-)
Pl. ha már "linux kernel firewall", akkor akár azt is ki lehetne emelni, hogy több ilyen alrendszer is van: netfilter/iptables és nftables. Az más tészta, hogy ugyanúgy a netfilter core team a gazdája mindkettőnek.

En meg ezen a neven tanultam, hogy ez a linux kernelen belul levo tuzfal es csak egy tool a hozza tartozo iptables. Persze ez nagyon regen volt.

En kerek elnezest, hogy ilyen oreg es bulye vagyok. Bocs. :D

Meghajlok a hatalmas tudasod elott mester. :D

Koszonom, hogy megmutattad mennyire tudatlan is vagyok. :D

Ha már kötexünk, legyünk precízek, mert ez így gáz: az iptables az a netfilter parancssori interface, amennyire tudom. Ahogy az nftables is, amit a korábbi (ip,ip6,eb,arp)tables leváltására találtak ki, bár úgy látom, még nem terjedt el a köztudatban.
Ettől még a netfiltert, az netfilter :)

Az nftables pedig:
- nem 1 v 1 leváltásra van. Másik approach. Más data path-al.
Kb. úgy képzeld el a analógiát, mint a linux kernel natív bridge kódja és az openvswitch. Csak annyi különbséggel, hogy itt az eredeti netfilter nem egy akkora hitvány szar, mint a linux kernel eredeti bridge kódja, ami miatt elkezdték az openvswitch-et.

- Bizonyos dolgokat, amiket meg tudsz csinálni netfilteren, nftables-en valószínűleg by design sosem fogsz tudni, és vica versa.

- Ami biztosan szempont volt az nftables esetén: egységes szintaxis AF-től függetlenül.
Legalábbis nekem úgy rémlik, hogy ez egy cél volt. Emlékezetből írtam, nem googliztam az emlékeim validálására.

Ha Linus vagy Poettering olykor faszparaszt stílusát elnézzük, elnézi a linuxos társadalom

talan nem kene masok neveben nyilatkoznod, mert en pl. nem nezem el. Bar konnyebb a lebaszassal azonosulni, ha az illetovel egyetertesz. Ez viszont a poettering nevu entitas eseteben nehezemre esik. Szamomra valahol a cryptolocker irokkal van egy dobozban a nyomorult. Na mindegy, ez most egy mellekszal csak.

ha nem ítélné meg a bíró az ellenperben feldobott összeget.

-2. Egeszen addig vagy ezen a velemenyen, amig valaki nem teged cibal a court ele, es gombol le rolad egy lakas arat per/ugyvedi koltseg cimen.

nagy előrelépés lenne, ha végre elkezdenék beépíteni a grsec fejlesztéseit

ezzel nagyon egyetertek, de valoszinuleg ennel azert komplikaltabb a dolog, kulonben mar regota a kernel resze lenne...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

"kulonben mar regota a kernel resze lenne..."

Linus "security ellenes". Valaki mar linkelt egy emailt tole, amiben ellenzi a "security" mint szo emlegeteset is. A grsec-es emailje alapján szerintem ő gyak. leszarja a security-t, mint olyat.
"Ne írj szar kódot" -- kösz, ez kurvára nem segít.

ez ugye nem egeszen igaz. csak arrol van szo, hogy nem a security a minden. ne legyen hasznalhatatlan a rendszer a security miatt. azert en ismerek olyan secfreek-et, aki addig tudna biztonsagosabba tenni a rendszereket, mig azokat nem lehet hasznalni.

Lehet en vagyok nagyon oreg, de en inkabb hiszek az auditban, mint egy rendszer vegltekig bezarasaban (secure de hsznalhatatlan, inkabb megyek windowsra :D)

Amugy ha egyszer szetbasszak a mainline-t a patcheikkel, akkor miert gond az, ha valaki azt mondja: "koszonom, akkor inkabb nem". Vannak kinevezett kernelek, amikre ra lehet fesziteni a grsecurity-t. Ha annyira igyekeznenek, akkor minden kernellel mehetne (na jo, itt kellene mind a ket fel konstruktiv hozzaallasa).

Na de en be is fejeztem. :D

Pocsteringet senki sem szereti. Szerintem meg a sajat szulei is letagadjak. :D

Amugy semmit sem neznek el neki. Ki lett osztva az a barom mar akkor is, amikor szetbarmolta a kernel debug reszet, majd beboffentette, hogy a linux kernel szar, mert nem megy rajta a fos systemd. Ki is lett baszva mindenhonnan. De a RedHat-nal tuti van egy fiuja a vezetok kozott, hogy ennyire nyomjak ezt az agyremet.

' "kernel-hardening" projekt gyakorlatilag azon dolgozik, hogy a grsecurity-t beemeljék a mainline kernelbe. '
Es a szebb commit message-el fogjak ravenni a fo pingvint ?
https://www.theregister.co.uk/2017/06/26/linus_torvalds_slams_pure_garb…

Van valami forras ?

Voltak otletek amik bekerultek mainline-ba, lehe hogy meg lesznek is,
de az kozel sem jelenti azt, hogy barki is teljes grsec betolsan dolgozna,
ami ellen gyarkan szolnak compatibilitasi, teljestmeny es jozan esz ervek.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( Hijaszu | 2018. 02. 11., v – 21:27 )

Miből gondolja a The Register, hogy visszaperelné? A bíró jelenetek kifejezetten megtiltotta az első linkelt cikk szerint.

Mivel az Open Source Security folytatni akarja a pereskedést fellebbezéssel,

"We have specifically requested the Court to enter judgment of dismissal of Plaintiffs' complaint, pursuant to its December 21 Order, so that we can begin the appeal process," Chhabra told The Register in an email."

Perens előhúzhatja az anti-SLAPP kártyát. Ha pedig megteszi és nyer, a perköltséget bevasalhatja.

https://www.theregister.co.uk/2018/01/19/grsecurity_libel_appeal/

--
trey @ gépház