Un grup d'investigadors de la Universitat de Minnesota, els canvis dels quals van ser bloquejats recentment per Greg Croah-Hartman, van publicar una carta oberta demanant disculpes i explicant els motius de les seves activitats. Recordem que el grup estava investigant les debilitats en la revisió dels pegats entrants i avaluant la possibilitat de promoure canvis amb vulnerabilitats ocultes al nucli. Després de rebre un pegat dubtós amb una solució sense sentit d'un dels membres del grup, es va suposar que els investigadors tornaven a intentar dur a terme experiments amb els desenvolupadors del nucli. Atès que aquests experiments poden suposar una amenaça per a la seguretat i ocupen temps dels committers, es va decidir bloquejar l'acceptació de canvis i enviar tots els pegats acceptats anteriorment per a una revisió.
En la seva carta oberta, el grup va afirmar que les seves activitats estaven motivades únicament per les bones intencions i la voluntat de millorar el procés de revisió del canvi identificant i eliminant les debilitats. El grup porta molts anys estudiant els processos que condueixen a vulnerabilitats i treballa activament per identificar i eliminar vulnerabilitats al nucli de Linux. Es diu que tots els 190 pedaços enviats per a una revisió són legítims, solucionen els problemes existents i no contenen errors intencionats ni vulnerabilitats ocultes.
L'alarmant estudi sobre la promoció de vulnerabilitats ocultes es va dur a terme l'agost passat i es va limitar a enviar tres pegats d'error, cap dels quals va arribar a la base de codi del nucli. L'activitat relacionada amb aquests pedaços es va limitar només a la discussió i el progrés dels pedaços es va aturar en l'etapa abans que els canvis s'afegeixessin a Git. El codi dels tres pedaços problemàtics encara no s'ha proporcionat, ja que això revelaria les identitats dels que van realitzar la revisió inicial (la informació es revelarà després d'obtenir el consentiment dels desenvolupadors que no van reconèixer els errors).
La font principal de la investigació no van ser els nostres propis pedaços, sinó l'anàlisi dels pedaços d'altres persones que s'han afegit mai al nucli, a causa del qual van sorgir vulnerabilitats posteriorment. L'equip de la Universitat de Minnesota no té res a veure amb l'addició d'aquests pegats. Es van estudiar un total de 138 pegats problemàtics que van provocar errors i, quan es van publicar els resultats de l'estudi, s'havien corregit tots els errors associats, inclòs amb la participació de l'equip que va dur a terme l'estudi.
Els investigadors lamenten haver utilitzat un mètode experimental inadequat. L'error va ser que l'estudi es va fer sense obtenir permís i sense avisar a la comunitat. El motiu de l'activitat oculta era el desig d'aconseguir la puresa de l'experiment, ja que la notificació podia cridar una atenció especial als pegats i la seva avaluació no de manera general. Tot i que l'objectiu no era millorar la seguretat del nucli, els investigadors ara es van adonar que utilitzar la comunitat com a conillet d'índies era inadequat i poc ètic. Al mateix temps, els investigadors asseguren que mai perjudicarien intencionadament la comunitat i que no permetrien que s'introduïssin noves vulnerabilitats al codi del nucli de treball.
Pel que fa al pegat inútil que va servir de catalitzador de la prohibició, no està relacionat amb les investigacions anteriors i s'associa a un nou projecte destinat a crear eines de detecció automatitzada d'errors que apareixen com a conseqüència de l'addició d'altres pedaços.
Actualment, els membres del grup estan intentant trobar maneres de tornar al desenvolupament i tenen la intenció de reparar la seva relació amb la Fundació Linux i la comunitat de desenvolupadors demostrant la seva utilitat per millorar la seguretat del nucli i expressant el desig de treballar dur pel bé comú i recuperar la confiança.
Font: opennet.ru