Skupina výzkumníků z University of Minnesota, jejíž změny nedávno zablokoval Greg Croah-Hartman, zveřejnila otevřený dopis, v němž se omlouvá a vysvětluje motivy jejich aktivit. Připomeňme, že skupina zkoumala slabá místa v revizi příchozích patchů a posuzovala možnost prosazování změn se skrytými zranitelnostmi jádra. Po obdržení pochybného patche s nesmyslnou opravou od jednoho z členů skupiny se předpokládalo, že se výzkumníci opět pokoušejí provádět experimenty na vývojářích jádra. Protože takové experimenty potenciálně představují bezpečnostní hrozbu a zabírají čas od zadavatelů, bylo rozhodnuto zablokovat přijímání změn a odeslat všechny dříve přijaté záplaty k opětovné kontrole.
Ve svém otevřeném dopise skupina uvedla, že jejich aktivity byly motivovány výhradně dobrými úmysly a touhou zlepšit proces kontroly změn identifikací a odstraněním slabých stránek. Skupina již mnoho let studuje procesy, které vedou k zranitelnostem, a aktivně pracuje na identifikaci a odstranění zranitelností v jádře Linuxu. O všech 190 záplatách předložených k opětovné kontrole se říká, že jsou legitimní, opravují existující problémy a neobsahují žádné záměrné chyby nebo skryté zranitelnosti.
Alarmující studie o propagaci skrytých zranitelností byla provedena loni v srpnu a omezila se na odeslání tří oprav chyb, z nichž se žádná nedostala do kódové základny jádra. Činnost související s těmito záplatami byla omezena pouze na diskusi a vývoj záplat byl zastaven ve fázi před přidáním změn do Gitu. Kód pro tři problematické záplaty zatím nebyl poskytnut, protože by to odhalilo identitu těch, kteří provedli počáteční kontrolu (informace budou zveřejněny po získání souhlasu od vývojářů, kteří chyby nerozpoznali).
Hlavním zdrojem výzkumu nebyly naše vlastní záplaty, ale analýza záplat jiných lidí, které byly kdy přidány do jádra, kvůli kterým se následně objevily zranitelnosti. Tým University of Minnesota nemá nic společného s přidáním těchto oprav. Bylo studováno celkem 138 problematických záplat, které vedly k chybám, a v době, kdy byly výsledky studie zveřejněny, byly všechny související chyby opraveny, a to i za účasti týmu provádějícího studii.
Vědci litují, že použili nevhodnou experimentální metodu. Chybou bylo, že studie byla provedena bez získání povolení a bez upozornění komunity. Motivem skryté aktivity byla touha dosáhnout čistoty experimentu, protože upozornění mohlo upoutat zvláštní pozornost na záplaty a jejich hodnocení ne obecně. Přestože cílem nebylo zlepšit zabezpečení jádra, vědci si nyní uvědomili, že používat komunitu jako pokusného králíka je nevhodné a neetické. Zároveň výzkumníci ujišťují, že nikdy úmyslně nepoškodí komunitu a nedovolí, aby do fungujícího kódu jádra byla zanesena nová zranitelnost.
Pokud jde o nesmyslný patch, který sloužil jako katalyzátor zákazu, nesouvisí s předchozím výzkumem a souvisí s novým projektem zaměřeným na vytvoření nástrojů pro automatickou detekci chyb, které se objevují v důsledku přidávání dalších patchů.
Členové skupiny se v současné době snaží najít způsoby, jak se vrátit k vývoji, a hodlají napravit svůj vztah s Linux Foundation a vývojářskou komunitou tím, že prokážou svou užitečnost při zlepšování zabezpečení jádra a vyjadřují touhu tvrdě pracovat pro obecné dobro a znovu získat důvěru.
Zdroj: opennet.ru