Grupa istraživača sa Sveučilišta u Minnesoti, čije je izmjene nedavno blokirao Greg Croah-Hartman, objavila je otvoreno pismo u kojem se ispričava i objašnjava motive svojih aktivnosti. Podsjetimo, grupa je istraživala slabosti u pregledu pristiglih zakrpa i procjenjivala mogućnost promicanja promjena sa skrivenim ranjivostima kernela. Nakon što su primili sumnjivu zakrpu s besmislenim popravkom od jednog od članova grupe, pretpostavilo se da istraživači ponovno pokušavaju provesti eksperimente na programerima kernela. Budući da takvi eksperimenti potencijalno predstavljaju sigurnosnu prijetnju i oduzimaju vrijeme komiterima, odlučeno je blokirati prihvaćanje promjena i poslati sve prethodno prihvaćene zakrpe na ponovni pregled.
Grupa je u svom otvorenom pismu navela da su njihove aktivnosti bile motivirane isključivo dobrim namjerama i željom da se poboljša proces pregleda promjena identificiranjem i otklanjanjem slabosti. Grupa godinama proučava procese koji dovode do ranjivosti i aktivno radi na identificiranju i uklanjanju ranjivosti u jezgri Linuxa. Svih 190 zakrpa dostavljenih na ponovni pregled navodno su legitimne, popravljaju postojeće probleme i ne sadrže namjerne greške ili skrivene ranjivosti.
Alarmantna studija o promoviranju skrivenih ranjivosti provedena je prošlog kolovoza i bila je ograničena na podnošenje tri zakrpe bugova, od kojih nijedna nije dospjela u bazu koda kernela. Aktivnost povezana s ovim zakrpama bila je ograničena samo na raspravu, a napredak zakrpa zaustavljen je u fazi prije dodavanja promjena u Git. Kod za tri problematične zakrpe još nije dostavljen, jer bi to otkrilo identitete onih koji su proveli početni pregled (informacije će biti objavljene nakon dobivanja pristanka programera koji nisu prepoznali pogreške).
Glavni izvor istraživanja nisu bile naše vlastite zakrpe, već analiza tuđih zakrpa ikada dodanih u kernel, zbog kojih su se naknadno pojavile ranjivosti. Tim Sveučilišta u Minnesoti nema nikakve veze s dodavanjem ovih zakrpa. Proučeno je ukupno 138 problematičnih zakrpa koje su dovele do pogrešaka, a do trenutka kada su rezultati studije objavljeni, sve povezane pogreške su ispravljene, uključujući i sudjelovanje tima koji je proveo studiju.
Istraživači žale što su koristili neprikladnu eksperimentalnu metodu. Pogreška je bila što je studija provedena bez pribavljanja dopuštenja i bez obavijesti zajednice. Motiv skrivene aktivnosti bila je želja da se postigne čistoća eksperimenta, budući da bi obavijest mogla privući posebnu pozornost na zakrpe i njihovu ocjenu ne na općoj osnovi. Iako cilj nije bio poboljšati sigurnost kernela, istraživači su sada shvatili da je korištenje zajednice kao pokusnog kunića neprikladno i neetično. Istodobno, istraživači uvjeravaju da nikada ne bi namjerno naštetili zajednici i da ne bi dopustili uvođenje novih ranjivosti u radni kod kernela.
Što se tiče besmislene zakrpe koja je poslužila kao katalizator zabrane, ona nije povezana s prethodnim istraživanjem i povezana je s novim projektom koji ima za cilj stvaranje alata za automatizirano otkrivanje grešaka koje se pojavljuju kao rezultat dodavanja drugih zakrpa.
Članovi grupe trenutno pokušavaju pronaći načine da se vrate razvoju i namjeravaju popraviti svoj odnos s Linux Foundation i zajednicom programera dokazujući svoju korisnost u poboljšanju sigurnosti kernela i izražavajući želju da marljivo rade za opće dobro i ponovno steknu povjerenje.
Izvor: opennet.ru