Um grupo de pesquisadores da Universidade de Minnesota, cujas alterações foram recentemente bloqueadas por Greg Croah-Hartman, publicou uma carta aberta pedindo desculpas e explicando os motivos de suas atividades. Lembremos que o grupo estava pesquisando fragilidades na revisão dos patches recebidos e avaliando a possibilidade de promover mudanças com vulnerabilidades ocultas ao kernel. Depois de receber um patch duvidoso com uma correção sem sentido de um dos membros do grupo, presumiu-se que os pesquisadores estavam novamente tentando realizar experimentos com os desenvolvedores do kernel. Como tais experimentos representam potencialmente uma ameaça à segurança e consomem tempo dos committers, foi decidido bloquear a aceitação de alterações e enviar todos os patches previamente aceitos para nova revisão.
Na sua carta aberta, o grupo afirmou que as suas atividades foram motivadas unicamente por boas intenções e pelo desejo de melhorar o processo de revisão de mudanças, identificando e eliminando pontos fracos. O grupo estuda há muitos anos os processos que levam a vulnerabilidades e trabalha ativamente para identificar e eliminar vulnerabilidades no kernel Linux. Todos os 190 patches enviados para nova revisão são considerados legítimos, corrigem problemas existentes e não contêm bugs intencionais ou vulnerabilidades ocultas.
O alarmante estudo sobre a promoção de vulnerabilidades ocultas foi realizado em agosto passado e limitou-se ao envio de três patches de bugs, nenhum dos quais entrou na base de código do kernel. A atividade relacionada a esses patches foi limitada apenas à discussão, e o progresso dos patches foi interrompido no estágio anterior às alterações serem adicionadas ao Git. O código dos três patches problemáticos ainda não foi fornecido, pois isso revelaria as identidades daqueles que conduziram a revisão inicial (as informações serão divulgadas após obtenção do consentimento dos desenvolvedores que não reconheceram os erros).
A principal fonte da pesquisa não foram nossos próprios patches, mas a análise de patches de outras pessoas já adicionados ao kernel, devido aos quais vulnerabilidades surgiram posteriormente. A equipe da Universidade de Minnesota não tem nada a ver com a adição desses patches. Foram estudados um total de 138 patches problemáticos que levaram a erros e, no momento em que os resultados do estudo foram publicados, todos os erros associados foram corrigidos, inclusive com a participação da equipe que conduziu o estudo.
Os pesquisadores lamentam ter usado um método experimental inadequado. O erro foi que o estudo foi realizado sem obter permissão e sem notificar a comunidade. O motivo da atividade oculta foi o desejo de alcançar a pureza do experimento, uma vez que a notificação poderia atrair atenção especial para os patches e sua avaliação não de forma geral. Embora o objetivo não fosse melhorar a segurança do kernel, os pesquisadores perceberam agora que usar a comunidade como cobaia era inapropriado e antiético. Ao mesmo tempo, os pesquisadores garantem que nunca prejudicariam intencionalmente a comunidade e não permitiriam que novas vulnerabilidades fossem introduzidas no código do kernel em funcionamento.
Quanto ao patch inútil que serviu de catalisador para o banimento, ele não está relacionado às pesquisas anteriores e está associado a um novo projeto que visa criar ferramentas para detecção automatizada de erros que surgem como resultado da adição de outros patches.
Os membros do grupo estão atualmente tentando encontrar maneiras de retornar ao desenvolvimento e pretendem consertar seu relacionamento com a Linux Foundation e a comunidade de desenvolvedores, provando sua utilidade na melhoria da segurança do kernel e expressando o desejo de trabalhar duro para o bem comum e reconquistar a confiança.
Fonte: opennet.ru