گروهی از محققان دانشگاه مینهسوتا که اخیراً توسط گرگ کروآ هارتمن مسدود شده بود، نامهای سرگشاده منتشر کردند و در آن عذرخواهی کردند و انگیزههای فعالیتهای خود را توضیح دادند. به یاد بیاوریم که این گروه در حال بررسی نقاط ضعف در بررسی وصله های دریافتی و ارزیابی امکان ارتقاء تغییرات با آسیب پذیری های پنهان در هسته بود. پس از دریافت یک پچ مشکوک با یک اصلاح بی معنی از یکی از اعضای گروه، فرض بر این بود که محققان دوباره در تلاش برای انجام آزمایش بر روی توسعه دهندگان هسته هستند. از آنجایی که چنین آزمایشهایی به طور بالقوه یک تهدید امنیتی هستند و زمان زیادی را از committerها میگیرند، تصمیم گرفته شد که پذیرش تغییرات را مسدود کرده و همه وصلههای پذیرفته شده قبلی را برای بررسی مجدد ارسال کنند.
این گروه در نامه سرگشاده خود اعلام کردند که فعالیت های آنها صرفاً با نیت خوب و تمایل به بهبود روند بررسی تغییرات با شناسایی و رفع نقاط ضعف انجام شده است. این گروه سالهاست که در حال مطالعه فرآیندهایی است که منجر به آسیبپذیری میشود و به طور فعال برای شناسایی و حذف آسیبپذیریها در هسته لینوکس کار میکند. گفته میشود که تمام ۱۹۰ وصله ارسال شده برای بازبینی مجدد، قانونی هستند، مشکلات موجود را برطرف میکنند و هیچ باگ عمدی یا آسیبپذیری پنهانی ندارند.
مطالعه هشداردهنده در مورد ترویج آسیبپذیریهای پنهان در آگوست گذشته انجام شد و به ارائه سه وصله باگ محدود شد که هیچکدام به پایگاه کد هسته راه پیدا نکرد. فعالیت مربوط به این وصله ها فقط به بحث محدود شد و پیشرفت وصله ها در مرحله قبل از اضافه شدن تغییرات به Git متوقف شد. کد سه وصله مشکلساز هنوز ارائه نشده است، زیرا این امر هویت افرادی را که بررسی اولیه را انجام دادهاند نشان میدهد (اطلاعات پس از کسب رضایت از توسعهدهندگانی که خطاها را تشخیص ندادهاند فاش میشود).
منبع اصلی تحقیق وصلههای خود ما نبود، بلکه تجزیه و تحلیل وصلههای افراد دیگر بود که تا به حال به هسته اضافه شده بود، به همین دلیل آسیبپذیریها متعاقبا ظاهر شدند. تیم دانشگاه مینه سوتا هیچ ارتباطی با اضافه شدن این پچ ها ندارد. در مجموع 138 وصله مشکل ساز که منجر به خطا می شد مورد مطالعه قرار گرفت و تا زمان انتشار نتایج مطالعه، تمام خطاهای مرتبط از جمله با مشارکت تیم انجام دهنده مطالعه تصحیح شد.
محققان از این که از یک روش آزمایشی نامناسب استفاده کردند متاسفند. اشتباه این بود که مطالعه بدون کسب مجوز و بدون اطلاع جامعه انجام شد. انگیزه فعالیت پنهان، تمایل به دستیابی به خلوص آزمایش بود، زیرا اعلان میتوانست توجه ویژهای را به وصلهها و ارزیابی آنها جلب کند، نه به صورت کلی. اگرچه هدف بهبود امنیت هسته نبود، اما محققان اکنون دریافتند که استفاده از جامعه به عنوان خوکچه هندی نامناسب و غیراخلاقی است. در عین حال، محققان اطمینان میدهند که هرگز عمداً به جامعه آسیب نمیرسانند و اجازه نمیدهند آسیبپذیریهای جدیدی به کد هسته کار وارد شود.
در مورد وصله بی معنی که به عنوان کاتالیزور ممنوعیت عمل کرد، به تحقیقات قبلی مربوط نمی شود و با پروژه جدیدی با هدف ایجاد ابزارهایی برای تشخیص خودکار خطاهایی که در نتیجه اضافه شدن وصله های دیگر ظاهر می شوند مرتبط است.
اعضای گروه در حال حاضر در حال تلاش برای یافتن راههایی برای بازگشت به توسعه هستند و قصد دارند با اثبات سودمندی خود در بهبود امنیت هسته و ابراز تمایل به کار سخت برای منافع عمومی و بازیابی اعتماد، رابطه خود را با بنیاد لینوکس و جامعه توسعهدهنده ترمیم کنند.
منبع: opennet.ru