Das Team der University of Minnesota hat die Motive hinter den Experimenten mit fragwürdigen Commits im Linux-Kernel erläutert.

Eine Gruppe von Forschern der Universität Minnesota, deren Änderungen kürzlich von Greg Kroah-Hartman blockiert wurden, hat ein offenes Schreiben veröffentlicht, in dem sie sich entschuldigen und ihre Beweggründe darlegen. Zur Erinnerung: Die Gruppe beschäftigte sich mit der Untersuchung von Schwachstellen im Review-Prozess eingehender Patches und der Bewertung der Möglichkeit, Änderungen mit versteckten Sicherheitsanfälligkeiten in den Kernel zu integrieren. Nachdem ein dubioser Patch mit bedeutungslosen Änderungen von einem Gruppenmitglied eingereicht wurde, wurde die Vermutung geäußert, dass die Forscher erneut versuchen, Experimente an den Kernel-Entwicklern durchzuführen. Da solche Experimente potenziell eine Bedrohung für die Sicherheit darstellen und die Zeit der Commiter in Anspruch nehmen, wurde beschlossen, die Annahme von Änderungen zu blockieren und alle zuvor akzeptierten Patches zur erneuten Überprüfung zurückzusenden.

In ihrem offenen Schreiben erklärte die Gruppe, dass ihre Aktivitäten ausschließlich aus edlen Motiven und dem Wunsch entstanden seien, den Änderungsüberprüfungsprozess zu verbessern, indem sie Schwachstellen identifizieren und beseitigen. Die Gruppe beschäftigt sich seit vielen Jahren mit den Prozessen, die zu Sicherheitsanfälligkeiten führen, und arbeitet aktiv an der Identifizierung und Behebung von Schwachstellen im Linux-Kernel. Es wird behauptet, dass alle 190 eingereichten Patches zur erneuten Überprüfung legitim sind, bestehende Probleme beheben und keine absichtlichen Fehler oder versteckten Sicherheitsanfälligkeiten enthalten.

Im August letzten Jahres wurde eine besorgniserregende Untersuchung zur Einführung von versteckten Schwachstellen durchgeführt, die lediglich in der Veröffentlichung von drei Fehlerpatches resultierte, von denen keiner in den Quellcode des Kernels aufgenommen wurde. Die damit verbundenen Aktivitäten beschränkten sich auf Diskussionen, und die Promotion dieser Patches wurde vor der Implementierung der Änderungen in Git gestoppt. Der Code der drei problematischen Patches wird derzeit nicht bereitgestellt, da dies die Identität der Personen, die die ursprüngliche Begutachtung vorgenommen haben, offenbaren würde (Informationen werden nach Erhalt der Zustimmung der Entwickler, die die Fehler nicht erkannt haben, veröffentlicht).

Der Hauptfokus der Untersuchung waren nicht die eigenen Patches, sondern die Analyse von Patches anderer, die jemals in den Kernel eingefügt wurden und durch die nachfolgend Schwachstellen auftraten. Das Team der Universität Minnesota ist für die Hinzufügung dieser Patches nicht verantwortlich. Insgesamt wurden 138 problematische Patches untersucht, die zu Fehlern führten, und zum Zeitpunkt der Veröffentlichung der Forschungsergebnisse waren alle damit verbundenen Fehler behoben, auch unter Mitwirkung des Forschungsteams.

Forscher bedauern, dass sie eine unangebrachte Methode zur Durchführung des Experiments gewählt haben. Ein Fehler war, dass die Untersuchung ohne Genehmigung und ohne Benachrichtigung der Community durchgeführt wurde. Das Motiv für die verdeckten Aktivitäten war der Wunsch, die Reinheit des Experiments zu gewährleisten, da eine Benachrichtigung möglicherweise besondere Aufmerksamkeit auf die Patches und deren Bewertung lenken könnte. Obwohl das Ziel die Verbesserung der Sicherheit des Kernels war, haben die Forscher jetzt erkannt, dass die Verwendung der Community als Versuchskaninchen unangemessen und unethisch war. Die Forscher versichern jedoch, dass sie niemals absichtlich der Community schaden oder neue Schwachstellen im funktionsfähigen Kernel-Code einführen wollten.

Was den sinnlosen Patch betrifft, der als Katalysator für die Sperrung diente, so steht er in keinem Zusammenhang mit der früheren Untersuchung und ist mit einem neuen Projekt verbunden, das darauf abzielt, ein Werkzeug zur automatisierten Fehlererkennung zu entwickeln, das durch das Hinzufügen anderer Patches entsteht.

Derzeit versuchen die Mitglieder der Gruppe, Wege zurückzufinden, um an der Entwicklung teilzunehmen und ihre Beziehungen zur Linux Foundation sowie zur Entwicklergemeinschaft zu verbessern, indem sie ihre Nützlichkeit in der Sicherheitsverbesserung des Kernels nachweisen und den Wunsch äußern, intensiv für das gemeinsame Wohl und die Wiederherstellung des Vertrauens zu arbeiten.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster