Grupa istraživača sa Univerziteta Minnesota, čije je promjene nedavno blokirao Greg Croah-Hartman, objavila je otvoreno pismo u kojem se izvinjava i objašnjava motive svojih aktivnosti. Podsjetimo, grupa je istraživala slabosti u pregledu dolaznih zakrpa i procjenjivala mogućnost promoviranja promjena sa skrivenim ranjivostima kernela. Nakon što su od jednog od članova grupe dobili sumnjivu zakrpu sa besmislenim popravkom, pretpostavilo se da istraživači ponovo pokušavaju da sprovedu eksperimente na programerima kernela. Budući da takvi eksperimenti potencijalno predstavljaju sigurnosnu prijetnju i oduzimaju vrijeme izvršiocima, odlučeno je blokirati prihvatanje izmjena i poslati sve prethodno prihvaćene zakrpe na ponovni pregled.
Grupa je u svom otvorenom pismu navela da su njihove aktivnosti motivisane isključivo dobrim namerama i željom da se unapredi proces pregleda promena identifikacijom i otklanjanjem slabosti. Grupa već dugi niz godina proučava procese koji dovode do ranjivosti i aktivno radi na identifikaciji i uklanjanju ranjivosti u Linux kernelu. Za svih 190 zakrpa koje su dostavljene na ponovni pregled se kaže da su legitimne, rješavaju postojeće probleme i ne sadrže namjerne greške ili skrivene ranjivosti.
Alarmantna studija o promovisanju skrivenih ranjivosti sprovedena je prošlog avgusta i bila je ograničena na slanje tri zakrpe grešaka, od kojih nijedna nije ušla u bazu koda kernela. Aktivnosti vezane za ove zakrpe bile su ograničene samo na diskusiju i napredak zakrpa je zaustavljen u fazi prije nego što su promjene dodane u Git. Kod za tri problematične zakrpe još nije dat, jer bi se na taj način otkrili identiteti onih koji su izvršili početnu reviziju (informacije će biti otkrivene nakon dobijanja saglasnosti programera koji nisu prepoznali greške).
Glavni izvor istraživanja nisu bile naše vlastite zakrpe, već analiza tuđih zakrpa koje su ikada dodane kernelu, zbog čega su kasnije isplivale ranjivosti. Tim Univerziteta u Minnesoti nema nikakve veze sa dodavanjem ovih zakrpa. Proučeno je ukupno 138 problematičnih zakrpa koje su dovele do grešaka, a do objavljivanja rezultata studije, sve povezane greške su ispravljene, uključujući i učešće tima koji je sproveo studiju.
Istraživači žale što su koristili neodgovarajuću eksperimentalnu metodu. Greška je bila što je studija sprovedena bez dobijanja dozvole i bez obavještavanja zajednice. Motiv za skrivenu aktivnost bila je želja da se postigne čistoća eksperimenta, budući da je obavijest mogla privući posebnu pažnju na zakrpe i njihovu evaluaciju ne na opštoj osnovi. Iako cilj nije bio poboljšanje sigurnosti kernela, istraživači su sada shvatili da je korištenje zajednice kao pokusnog kunića neprikladno i neetično. Istovremeno, istraživači uvjeravaju da nikada ne bi namjerno naškodili zajednici i da neće dozvoliti da se nove ranjivosti unesu u radni kernel kod.
Što se tiče besmislene zakrpe koja je poslužila kao katalizator zabrane, ona nije povezana s prethodnim istraživanjem i povezana je s novim projektom koji ima za cilj kreiranje alata za automatizirano otkrivanje grešaka koje se pojavljuju kao rezultat dodavanja drugih zakrpa.
Članovi grupe trenutno pokušavaju pronaći načine da se vrate razvoju i namjeravaju popraviti svoj odnos sa Linux fondacijom i zajednicom programera dokazujući svoju korisnost u poboljšanju sigurnosti kernela i izražavajući želju da naporno rade za opće dobro i povrate povjerenje.
izvor: opennet.ru