"butthurt"

Re: Majd egy Ingo-interjú után, ahol olvasói kérdésekre is válaszol. ;)

Ha jól emlékszem, valamikor olvastam egy régebbi, elég hosszú szálat PaXTeam és Ingo között. A téma a szokásos "a biztonsági hiba külön kategória-e vagy sem" kérdés volt, meg az ismert hibák, CVE-k egyértelmű megjelölése.

Nem mintha számítana a véleményem, illetve meglennének az elég mély ismereteim ahhoz, hogy érdemben "elbíráljam" a vitát, mindenesetre úgy gondoltam, hogy PaXTeam-nek volt igaza. (Azért ennek a kérdésnek van sok olyan következménye, ami nem technikai, hanem, hm, "társadalmi", és azért azt talán sikerült felfognom.) Mindezek ellenére PaXTeam leereszkedő, vállveregető stílusát gyomorforgatónak tartottam. Szerintem erre akkor sincs mentség, ha az embernek történetesen igaza van, és a másik (talán irracionálisan) ragaszkodik az álláspontjához.

Úgyhogy felteszem, a felvetett "olvasói kérdések" jó eséllyel erre összpontosulnának az n+1-edik alkalommal is; tehát az ötlet bizonyára vicc, illetve piszkálódás. Senki sem várhatja, hogy a fenti vita harmincadik végigpörgetéséből bármelyik fél is máshogyan jönne ki, mint eddig.

(Mielőtt elindulna az ugatókórus, szeretném zárójelben jelezni, hogy találtam és javítottam már kernel/Xen CVE-t, nem egyet. Sosem állítottam, hogy a biztonsági szakembereket a szakterületükön akár csak meg is tudnám közelíteni. Sohasem érdekelt például, hogy egy integer overflow-t távlatilag mire lehet kihasználni, a kód mely egyéb részeibe lehet elcsámborogni -- ez a biztonságiak dolga, őket ez érdekli, és őket ezért fizetik (legalábbis a felvilágosultabb cégek). Nekem elég, ha azonosítom és legjobb tudásom szerint elhárítom a hibát, meg persze szólok, akinek kell.

Nem látom be, hogy az "attacker's mindset" miért a priori felsőbbrendű, mint a "creator's mindset". Mindkettőre szükség van. Mindenesetre a fölényes HTH-itokat feldughatjátok magatoknak. Igen, valóban "butthurt"; nem hiszem, hogy rászolgáltam erre, sem hogy végletesen naiv lennék.)

Ettől persze PaXTeam életműve szerintem is forradalmi, meg minden. Ebben az interjúban találtam egy ábrát arról, hogy mi mindenre hatott.

Hozzászólások

Nem tisztem PaXTeamet védeni, de ez a "biztonsági hiba külön kategória-e vagy sem" dolog nem az első és nem a második vita volt, ahol Ingo irracionálisan nyilatkozott és árnyékbokszolta PaXTeam érveit. Arról már nem is beszélve, hogy jópár esetben (mint legutóbb a vsyscall javításnál) Ingo először egyazon véleményem volt, mint PaXTeam (hisz Ingonak is érdeke volt megoldani a vsyscall problémát), de amikor Linus 'nem értett egyet' PaXTeammel (== lehülyézte), akkor Ingo is gyönyörű pálfordulást tett és immár Linus mellett kardoskodott annak "igazáért". Az ilyen gerinctelen hozzáállású embereket pedig sokan nem szeretik, nem csak PaXTeam, így érthető, hogy néha már ő sem tudja diplomatikusan kezelni az ilyen és ehhez hasonló köpönyegforgató szarháziak N+1-ik szemét kis húzásait, amely nem szól másról, mint direkt, minden témában ellenvoksolni annak, mint ő.

Hasonló okok miatt voltam én is lefáradva azon, hogy a "cracker" szó használatának hiányát emlegetted. Mivel nem először, nem másodszor, nem harmadszor volt már téma (és nem egyszer, nem kétszer és nem háromszor (rohadt sokszor) volt már flame belőle, ahol magukat "hozzáértőnek" kikiáltók trollkodtak azon, hogy márpedig "cracker" a megfelelő kifejezés), ezért már nem akartam ismét előhozni hosszasan a témát és átrágzni ezeregyedszer is, főleg mivel azt hittem, hogy már olvastad ezeket korábban és direkt előhozott trollkodás csupán a részedről. Ha nem így volt, akkor elnézést kérek érte. Légyszíves olvasd el a linkelt szálakat, hogy hányszor volt már téma ez és az érveim ellenére hányszor lettem leugatva olyanok által, akik az ESR propagandáját ész nélkül harsogták vissza, figyelmen kívül hagyva minden más véleményt (és a tényeket).

Nem trollkodtam. A hacker/cracker propagandát (ezek szerint) én is bevettem anno, mindenesetre éppen az abból való őszinte "kigyógyulásomat" vélted provokációnak.

A linkelt szálakba belenéztem; nem emlékeztem egyikre sem -- ha megnyitottam is korábban, valószínűleg még azelőtt menekültem, hogy a hozzászólásaidhoz eljutottam volna. Azt természetesen osztom, hogy ötvenedszerre elmondani ugyanazt a tényt nagyon idegesítő.

Egyébként én is túlreagáltam egy kicsit, bocsánat. Ráteszem a TODO listámra, hogy "több pihenés, kevesebb idegeskedés" :)

Nekem pedig nem tisztem Linust védeni, de az laikusként is nyilvánvaló, hogy Linus érvei a kernel egészét érintve igencsak logikusan hangzanak. Még a legapróbb hibának is lehet biztonsággal kapcsolatos vonzata, és a "színtiszta" biztonsági hibák sem feltétlenül a legvészesebbek, például a fájlrendszer korrupciós hibák is tudnak fájni legalább annyira. Más kérdés, hogy a security bugok kérdése igen komoly érzelmi kérdés is egyben, tehát "piár szempontból" Linus valóban jól tenné, ha külön kezelné ezeket.

Ingot sem tisztem védeni, sőt, azonban hadd mondjam el, hogy PaXTeam patcheiért Ingo több ízben is igen komolyan kiállt Linus ellenében, pontosan annyira, amennyire annak Linus ellenében értelmessége volt. Ha tényszerűen megnézed, Ingo úgy tett be PaXTeam-patcheket a kernelbe, hogy a szokásoktól eltérően saját nevét adta PaXTeam patcheihez, mintegy vállalva érte a felelősséget, különben azok _egyáltalán nem_ kerülhettek volna be a kernelbe az anonimitásuk miatt.

PaXTeam viszont tényleg érdekes figura. Az a véleményem (teóriám), hogy őt nem érinti ennyire érzelmileg az ügy, mert egyrészt _résztvevőként_ pontosan tisztában van a fentiekkel, másrészt profi, profik pedig nem csinálnak ebből ekkora érzelmi kérdést.

Drága Lacos, említetted PaXTeam gyomorforgató stílusát. Egy ilyen rejtőzködő stílusú ember, ha valóban profi, igyekszik minél kevesebb infót adni magáról, mert köztudott tény, hogy a neten kisebb-nagyobb munkával, csupán a szóhasználata alapján is felgöngyölíthető az emberek valódi személyisége. Tehát PaXTeam netes személyisége minden bizonnyal egy fölvett személyiség. Talán épp emiatt intéz ilyen gyomorforgatónak tűnő kirohanásokat, már ha ő tényleg profi, és mi okunk lenne azt hinni, hogy nem az.

Ezzel a kommentemmel nem volt célom a trollokat etetni. Csak úgy motoszkáltak bennem egy ideje ezek a gondolatok, senkit nem volt szándékom mindezzel megbántani, sőt!

PaXTeam netes személyisége minden bizonnyal egy fölvett személyiség

Hát ez nem jutott eszembe, bevallom. Én naiv vagyok, plusz nyitott könyv. Ha mérges vagyok, ordítok (sőt, csapkodni is szoktam, csak az nem látszik az adott post-ban). Példákat nem idéznék. Ha boldog vagyok, bájolgok.

Ad safety vs. security: ha jól emlékszem, Schneier egyik könyvében olvastam ezeknek a pontos definícióját (bár asszem Hunger nem igazán csípi Schneier-t :)). Természetesen nem emlékszem, mit olvastam, de talán a kettőt az választja el egymástól, hogy az előbbi "véletlen" (a "véletlen" valamilyen értelmezésére), az utóbbi pedig "kihasználható" (szándékosan, tervezetten reprodukálható valamilyen gondolkodó fél által, általában valamilyen jól azonosított érdekkel). A "safety"-ben nincs céltudatos támadó, a "security"-ben van. Valószínűleg nem választható el a kettő borotvaélesen egymástól (időben / a környezettel is változhat ugyanannak a jelenségnek a minősítése), de ha jól emlékszem, a vita arról folyt, hogy legalább a nyilvánvaló eseteket (= ahol egyértelműen látható a rosszindulatú use-case és a módszer) jelöljék meg. Egy ilyen lista persze nem teljes, de azért helyes, és több, mint a semmi.

Az más kérdés, hogy ennek alapján a rendszergazdák a CVE-re fognak greppelni (teljesnek tekintve a nem teljes listát), és ennek alapján fognak frissíteni. "Ha nincs CVE, és nem fáj konkrétan semmi, akkor nem frissítek." Valahol érthető ez is, mert a folyamatos frissítés néha beránt egy-két regressziót, amivel aztán a rendszergazdának el kell számolnia a pénzes emberek felé. (Persze, persze, okosabbak több lépésben/fázisban upgrade-elnek.) Ha van CVE, akkor van mire mutogatni. Szerintem ez jogos hozzáállás.

Úgy gondolom, hogy ez a különbségtétel, bár a fenti formájában nem borotvaéles, visszaköszön a különféle bűncselekmények minősítésénél is (ott persze rendkívül pontosan). Nem vagyok jogász, de ha jól saccolom, a szándékosság, előre kiterveltség sokkal súlyosabb, mint pl. a gondatlanság. Az előbbit a security, az utóbbit a safety analógiájára próbálom erőltetni. Azaz jelezni, hogy a gondolkodásunkban e két kategória azért régóta eltér.

Ez természetesen csak műkedvelés, mindenki megnyugodhat, nem ezzel keresem a kenyerem :) (Lett volna lehetőségem beszállni / beletanulni, de nem akartam.)