Minnesotan yliopiston tutkijaryhmä, jonka muutokset Greg Croah-Hartman äskettäin esti, julkaisi avoimen kirjeen, jossa hän pyysi anteeksi ja selitti toimintansa motiiveja. Muistakaamme, että ryhmä tutki saapuvien korjaustiedostojen tarkastelun heikkouksia ja arvioi mahdollisuutta edistää muutoksia ytimeen piilotetuilla haavoittuvuuksilla. Saatuaan yhdeltä ryhmän jäseneltä epäilyttävän korjaustiedoston, jossa oli merkityksetön korjaus, oletettiin, että tutkijat yrittivät jälleen tehdä kokeita ytimen kehittäjillä. Koska tällaiset kokeet voivat aiheuttaa turvallisuusuhan ja vievät aikaa sitoutujilta, päätettiin estää muutosten hyväksyminen ja lähettää kaikki aiemmin hyväksytyt korjaustiedostot uudelleenarviointiin.
Avoimessa kirjeessään ryhmä totesi, että heidän toimintaansa motivoivat pelkästään hyvät aikomukset ja halu parantaa muutoksen arviointiprosessia tunnistamalla ja poistamalla heikkouksia. Ryhmä on tutkinut haavoittuvuuksiin johtavia prosesseja useiden vuosien ajan ja työskentelee aktiivisesti Linux-ytimen haavoittuvuuksien tunnistamiseksi ja poistamiseksi. Kaikkien 190 uudelleenarviointiin lähetetyn korjaustiedoston sanotaan olevan laillisia, korjaavat olemassa olevat ongelmat eivätkä sisällä tahallisia virheitä tai piilotettuja haavoittuvuuksia.
Hälyttävä tutkimus piilotettujen haavoittuvuuksien edistämisestä tehtiin viime elokuussa ja rajoittui kolmen virhekorjauksen lähettämiseen, joista yksikään ei päässyt ytimen koodikantaan. Näihin korjauksiin liittyvä toiminta rajoittui vain keskusteluun ja korjauspäivitysten eteneminen pysäytettiin siinä vaiheessa, kun muutokset lisättiin Gitiin. Kolmen ongelmallisen korjaustiedoston koodia ei ole vielä toimitettu, koska se paljastaisi alkuperäisen tarkistuksen suorittaneiden henkilöllisyyden (tiedot julkistetaan saatuaan suostumuksen kehittäjiltä, jotka eivät tunnistaneet virheitä).
Tutkimuksen päälähde ei ollut omat korjaustiedostomme, vaan muiden ihmisten ytimeen koskaan lisättyjen korjaustiedostojen analyysi, jonka vuoksi haavoittuvuuksia myöhemmin ilmaantui. Minnesotan yliopiston tiimillä ei ole mitään tekemistä näiden korjaustiedostojen lisäämisen kanssa. Virheisiin johtaneita ongelmalaastareita tutkittiin yhteensä 138, ja tutkimustulosten julkaisuun mennessä kaikki niihin liittyvät virheet oli korjattu, mukaan lukien tutkimuksen suorittaneen ryhmän osallistuminen.
Tutkijat pahoittelevat, että he käyttivät sopimatonta kokeellista menetelmää. Virhe oli, että tutkimus tehtiin ilman lupaa ja ilmoittamatta yhteisölle. Piilotetun toiminnan motiivina oli halu saavuttaa kokeen puhtaus, koska ilmoitus saattoi kiinnittää erityistä huomiota laastareihin ja niiden arviointiin ei yleisellä tasolla. Vaikka tavoitteena ei ollut parantaa ytimen turvallisuutta, tutkijat ymmärsivät nyt, että yhteisön käyttäminen marsuina oli sopimatonta ja epäeettistä. Samalla tutkijat vakuuttavat, että he eivät koskaan vahingoittaisi yhteisöä tarkoituksella eivätkä salli uusien haavoittuvuuksien tuomista toimivaan ydinkoodiin.
Mitä tulee kiellon katalysaattorina toimineeseen turhaan korjaustiedostoon, se ei liity aikaisempaan tutkimukseen ja liittyy uuteen projektiin, jonka tavoitteena on luoda työkaluja muiden korjaustiedostojen lisäyksen seurauksena ilmenevien virheiden automaattiseen havaitsemiseen.
Ryhmän jäsenet yrittävät parhaillaan löytää tapoja palata kehitystyöhön ja aikovat parantaa suhdettaan Linux Foundationiin ja kehittäjäyhteisöön osoittamalla hyödyllisyytensä ytimen turvallisuuden parantamisessa ja ilmaisemalla halunsa työskennellä lujasti yhteisen hyvän eteen ja palauttaa luottamus.
Lähde: opennet.ru