Skupina výskumníkov z University of Minnesota, ktorej zmeny nedávno zablokoval Greg Croah-Hartman, zverejnila otvorený list, v ktorom sa ospravedlňuje a vysvetľuje motívy ich aktivít. Pripomeňme si, že skupina skúmala slabé miesta pri kontrole prichádzajúcich záplat a posudzovala možnosť presadzovania zmien so skrytými zraniteľnosťami jadra. Po prijatí pochybnej opravy s nezmyselnou opravou od jedného z členov skupiny sa predpokladalo, že výskumníci sa opäť pokúšali vykonať experimenty na vývojároch jadra. Keďže takéto experimenty môžu potenciálne predstavovať bezpečnostnú hrozbu a zaberajú čas od vykonávateľov, rozhodlo sa zablokovať prijímanie zmien a poslať všetky predtým prijaté záplaty na opätovné posúdenie.
Vo svojom otvorenom liste skupina uviedla, že ich aktivity boli motivované výlučne dobrými úmyslami a túžbou zlepšiť proces kontroly zmien identifikáciou a odstránením slabých stránok. Skupina už mnoho rokov študuje procesy, ktoré vedú k zraniteľnostiam a aktívne pracuje na identifikácii a odstraňovaní zraniteľností v jadre Linuxu. Všetkých 190 záplat predložených na opätovné posúdenie je údajne legitímnych, opravuje existujúce problémy a neobsahuje žiadne úmyselné chyby alebo skryté zraniteľnosti.
Alarmujúca štúdia o propagácii skrytých zraniteľností bola vykonaná vlani v auguste a obmedzila sa na odoslanie troch opráv chýb, z ktorých sa žiadna nedostala do kódovej základne jadra. Činnosť súvisiaca s týmito záplatami bola obmedzená len na diskusiu a postup záplat bol zastavený vo fáze pred pridaním zmien do systému Git. Kód pre tri problematické záplaty ešte nebol poskytnutý, pretože by to odhalilo identitu tých, ktorí vykonali prvotnú kontrolu (informácie budú zverejnené po získaní súhlasu od vývojárov, ktorí chyby nerozpoznali).
Hlavným zdrojom výskumu neboli naše vlastné záplaty, ale analýza záplat iných ľudí, ktoré boli kedy pridané do jadra, vďaka čomu sa následne objavili zraniteľnosti. Tím University of Minnesota nemá nič spoločné s pridaním týchto záplat. Celkovo bolo študovaných 138 problematických záplat, ktoré viedli k chybám, a kým boli výsledky štúdie zverejnené, všetky súvisiace chyby boli opravené, a to aj za účasti tímu, ktorý štúdiu vykonával.
Vedci ľutujú, že použili nevhodnú experimentálnu metódu. Chybou bolo, že štúdia bola vykonaná bez získania povolenia a bez upovedomenia komunity. Motívom skrytej aktivity bola túžba dosiahnuť čistotu experimentu, keďže notifikácia by mohla pritiahnuť mimoriadnu pozornosť na záplaty a ich hodnotenie nie na všeobecnej báze. Hoci cieľom nebolo zlepšiť bezpečnosť jadra, vedci si teraz uvedomili, že používanie komunity ako pokusného králika je nevhodné a neetické. Výskumníci zároveň ubezpečujú, že nikdy úmyselne nepoškodia komunitu a nedovolia, aby sa do kódu fungujúceho jadra zavádzali nové zraniteľnosti.
Čo sa týka nezmyselného patchu, ktorý slúžil ako katalyzátor zákazu, nesúvisí s predchádzajúcim výskumom a súvisí s novým projektom zameraným na vytváranie nástrojov na automatizovanú detekciu chýb, ktoré sa objavujú v dôsledku pridávania ďalších patchov.
Členovia skupiny sa v súčasnosti snažia nájsť spôsoby, ako sa vrátiť k vývoju, a majú v úmysle napraviť svoj vzťah s Linux Foundation a komunitou vývojárov tým, že preukážu svoju užitočnosť pri zlepšovaní bezpečnosti jadra a vyjadrujú túžbu tvrdo pracovať pre spoločné dobro a znovu získať dôveru.
Zdroj: opennet.ru