Un grupo de investigadores de la Universidad de Minnesota, cuyos cambios fueron bloqueados recientemente por Greg Croah-Hartman, publicó una carta abierta disculpándose y explicando los motivos de sus actividades. Recordemos que el grupo estaba investigando debilidades en la revisión de parches entrantes y evaluando la posibilidad de promover cambios con vulnerabilidades ocultas en el kernel. Después de recibir un parche dudoso con una solución sin sentido de uno de los miembros del grupo, se supuso que los investigadores estaban nuevamente intentando realizar experimentos con los desarrolladores del kernel. Dado que tales experimentos representan potencialmente una amenaza a la seguridad y consumen tiempo de los responsables, se decidió bloquear la aceptación de cambios y enviar todos los parches aceptados previamente para su nueva revisión.
En su carta abierta, el grupo afirmó que sus actividades estaban motivadas únicamente por buenas intenciones y el deseo de mejorar el proceso de revisión de cambios identificando y eliminando debilidades. El grupo ha estado estudiando los procesos que conducen a vulnerabilidades durante muchos años y está trabajando activamente para identificar y eliminar vulnerabilidades en el kernel de Linux. Se dice que los 190 parches enviados para una nueva revisión son legítimos, solucionan problemas existentes y no contienen errores intencionales ni vulnerabilidades ocultas.
El alarmante estudio sobre la promoción de vulnerabilidades ocultas se llevó a cabo en agosto pasado y se limitó a enviar tres parches de errores, ninguno de los cuales llegó al código base del kernel. La actividad relacionada con estos parches se limitó únicamente a la discusión y el progreso de los parches se detuvo en la etapa anterior a que se agregaran los cambios a Git. El código de los tres parches problemáticos aún no se ha proporcionado, ya que esto revelaría las identidades de quienes realizaron la revisión inicial (la información se divulgará después de obtener el consentimiento de los desarrolladores que no reconocieron los errores).
La fuente principal de la investigación no fueron nuestros propios parches, sino el análisis de los parches de otras personas añadidos al kernel, por lo que posteriormente surgieron vulnerabilidades. El equipo de la Universidad de Minnesota no tiene nada que ver con la adición de estos parches. Se estudiaron un total de 138 parches problemáticos que provocaron errores y, cuando se publicaron los resultados del estudio, todos los errores asociados se habían corregido, incluso con la participación del equipo que realizó el estudio.
Los investigadores lamentan haber utilizado un método experimental inadecuado. El error fue que el estudio se realizó sin obtener permiso y sin notificar a la comunidad. El motivo de la actividad oculta fue el deseo de lograr la pureza del experimento, ya que la notificación podría atraer una atención especial sobre los parches y su evaluación no de forma general. Aunque el objetivo no era mejorar la seguridad del kernel, los investigadores se dieron cuenta ahora de que utilizar a la comunidad como conejillo de indias era inapropiado y poco ético. Al mismo tiempo, los investigadores aseguran que nunca dañarían intencionalmente a la comunidad y no permitirían que se introdujeran nuevas vulnerabilidades en el código del kernel en funcionamiento.
En cuanto al parche inútil que sirvió de catalizador para la prohibición, no tiene relación con la investigación anterior y está asociado con un nuevo proyecto destinado a crear herramientas para la detección automatizada de errores que aparecen como resultado de la adición de otros parches.
Actualmente, los miembros del grupo están tratando de encontrar formas de volver al desarrollo y tienen la intención de mejorar su relación con la Fundación Linux y la comunidad de desarrolladores demostrando su utilidad para mejorar la seguridad del kernel y expresando su deseo de trabajar duro por el bien común y recuperar la confianza.
Fuente: opennet.ru