Un gruppo di ricercatori dell'Università del Minnesota, i cui cambiamenti sono stati recentemente bloccati da Greg Croah-Hartman, ha pubblicato una lettera aperta chiedendo scusa e spiegando i motivi delle loro attività. Ricordiamo che il gruppo stava ricercando i punti deboli nella revisione delle patch in arrivo e valutando la possibilità di promuovere modifiche con vulnerabilità nascoste nel kernel. Dopo aver ricevuto una patch dubbia con una correzione priva di significato da uno dei membri del gruppo, si è ipotizzato che i ricercatori stessero nuovamente tentando di condurre esperimenti sugli sviluppatori del kernel. Poiché tali esperimenti rappresentano potenzialmente una minaccia alla sicurezza e richiedono tempo ai committer, è stato deciso di bloccare l'accettazione delle modifiche e inviare tutte le patch precedentemente accettate per una nuova revisione.
Nella lettera aperta, il gruppo ha affermato che le proprie attività erano motivate esclusivamente da buone intenzioni e dal desiderio di migliorare il processo di revisione del cambiamento identificando ed eliminando i punti deboli. Il gruppo studia da molti anni i processi che portano alle vulnerabilità e sta lavorando attivamente per identificare ed eliminare le vulnerabilità nel kernel Linux. Si dice che tutte le 190 patch inviate per una nuova revisione siano legittime, risolvano problemi esistenti e non contengano bug intenzionali o vulnerabilità nascoste.
Lo studio allarmante sulla promozione delle vulnerabilità nascoste è stato condotto lo scorso agosto e si è limitato a presentare tre patch di bug, nessuna delle quali è entrata nel codice base del kernel. L'attività relativa a queste patch è stata limitata alla sola discussione e il progresso delle patch è stato interrotto nella fase precedente all'aggiunta delle modifiche a Git. Il codice delle tre patch problematiche non è stato ancora fornito, in quanto rivelerebbe l'identità di coloro che hanno condotto la revisione iniziale (le informazioni verranno divulgate dopo aver ottenuto il consenso degli sviluppatori che non hanno riconosciuto gli errori).
La fonte principale della ricerca non sono state le nostre patch, ma l’analisi delle patch di altri utenti aggiunte al kernel, a causa delle quali successivamente sono emerse vulnerabilità. Il team dell'Università del Minnesota non ha nulla a che fare con l'aggiunta di queste patch. Sono state studiate un totale di 138 patch problematiche che hanno portato a errori e, al momento della pubblicazione dei risultati dello studio, tutti gli errori associati erano stati corretti, anche con la partecipazione del team che ha condotto lo studio.
I ricercatori si rammaricano di aver utilizzato un metodo sperimentale inappropriato. L'errore è stato che lo studio è stato condotto senza ottenere il permesso e senza avvisare la comunità. Il motivo dell'attività nascosta era il desiderio di raggiungere la purezza dell'esperimento, poiché la notifica poteva attirare un'attenzione particolare sulle patch e sulla loro valutazione non su base generale. Sebbene l'obiettivo non fosse quello di migliorare la sicurezza del kernel, i ricercatori ora si sono resi conto che usare la comunità come cavia era inappropriato e non etico. Allo stesso tempo, i ricercatori assicurano che non danneggeranno mai intenzionalmente la comunità e non permetteranno che nuove vulnerabilità vengano introdotte nel codice funzionante del kernel.
Per quanto riguarda l'inutile patch che è servita da catalizzatore per il divieto, non è correlata alla ricerca precedente ed è associata a un nuovo progetto volto a creare strumenti per il rilevamento automatico degli errori che compaiono come risultato dell'aggiunta di altre patch.
I membri del gruppo stanno attualmente cercando di trovare modi per tornare allo sviluppo e intendono ricucire il loro rapporto con la Linux Foundation e la comunità degli sviluppatori dimostrando la loro utilità nel migliorare la sicurezza del kernel ed esprimendo il desiderio di lavorare sodo per il bene comune e riconquistare la fiducia.
Fonte: opennet.ru