Tim University of Minnesota menjelaskan motivasi bereksperimen dengan kernel Linux

Sekelompok peneliti dari University of Minnesota, yang penerimaan perubahannya baru-baru ini diblokir oleh Greg Kroah-Hartman, memposting surat permintaan maaf terbuka dan menjelaskan alasan aktivitas mereka.

Penyumbatan itu karena kelompok itu sedang menyelidiki kelemahan saat meninjau tambalan yang masukdan evaluasi kemungkinan masuk ke inti perubahan dengan kerentanan tersembunyi. Setelah menerima tambalan yang meragukan dari salah satu anggota grup dengan perbaikan yang tidak masuk akal, diasumsikan bahwa peneliti mencoba lagi untuk bereksperimen dengan pengembang kernel.

Karena eksperimen semacam itu berpotensi menimbulkan risiko keamanan dan membutuhkan waktu bagi pelaku, diputuskan untuk memblokir penerimaan perubahan dan mengirimkan semua tambalan yang diterima sebelumnya untuk ditinjau.

Dalam surat terbukamu, anggota kelompok menyatakan bahwa kegiatan mereka termotivasi secara eksklusif karena niat baik dan keinginan untuk meningkatkan proses peninjauan perubahan mengidentifikasi dan menghilangkan kelemahan.

Grup ini telah mempelajari proses yang menyebabkan munculnya kerentanan selama bertahun-tahun dan secara aktif bekerja untuk mengidentifikasi dan menghilangkan kerentanan di kernel Linux. 190 tambalan yang dikirimkan untuk tinjauan baru dikatakan sah, memperbaiki masalah yang ada, dan tidak mengandung bug yang disengaja atau kerentanan tersembunyi.

Penyelidikan mengkhawatirkan untuk mempromosikan kerentanan tersembunyi dilakukan pada Agustus tahun lalu dan membatasi diri pada pengiriman tiga tambalan bug, tidak ada yang berhasil sampai ke basis kode kernel.

Aktivitas yang terkait dengan patch ini terbatas pada diskusi saja, dan promosi patch dihentikan pada satu tahap sebelum perubahan ditambahkan ke Git.

Kode untuk tiga tambalan bermasalah belum disediakan, karena ini akan mengungkapkan wajah mereka yang melakukan tinjauan awal (informasi akan terungkap setelah mendapat persetujuan dari pengembang yang tidak mengakui bug).

Sumber utama penelitian bukanlah tambalan kami sendiri, tetapi analisis tambalan orang lain yang pernah ditambahkan ke kernel, karena kerentanan yang kemudian muncul. Tim Universitas Minnesota tidak ada hubungannya dengan penambahan tambalan ini.

Sebanyak 138 patch masalah penyebab bug dipelajari, dan pada saat hasil studi dipublikasikan, semua bug terkait telah diperbaiki, bahkan dengan keterlibatan tim peneliti.

Penyelidik mereka menyesal telah menggunakan metode yang tidak tepat untuk melakukan percobaan tersebut. Kesalahannya, penyidikan dilakukan tanpa izin dan tanpa pemberitahuan kepada masyarakat. Alasan aktivitas tersembunyi adalah keinginan untuk mencapai kemurnian eksperimen, karena pemberitahuan dapat menarik perhatian secara terpisah ke patch dan evaluasinya, bukan secara umum.

Sementara tujuannya adalah untuk meningkatkan keamanan dasar, Para peneliti sekarang menyadari bahwa menggunakan komunitas sebagai kelinci percobaan adalah salah dan tidak etis. Pada saat yang sama, para peneliti memastikan bahwa mereka tidak akan pernah secara sengaja merugikan komunitas dan tidak akan mengizinkan pengenalan kerentanan baru dalam kode kernel yang berfungsi.

Adapun patch tidak masuk akal yang berfungsi sebagai katalisator untuk crash, itu tidak terkait dengan penelitian sebelumnya dan terkait dengan proyek baru yang bertujuan untuk membuat alat untuk deteksi otomatis bug yang muncul sebagai hasil dari penambahan patch lainnya.

Grup ini sekarang mencoba menemukan cara untuk kembali ke pengembangan dan bermaksud untuk menjalin hubungannya dengan Linux Foundation dan komunitas pengembang, membuktikan nilainya dalam meningkatkan keamanan kernel dan mengungkapkan keinginan untuk bekerja lebih keras untuk yang lebih baik. Bersama dan mendapatkan kembali kepercayaan diri .

Greg Kroah-Hartman menjawab itu dewan teknis dari Linux Foundation mengirim surat ke Universitas Minnesota pada hari Jumat menjelaskan tindakan spesifik yang harus dilakukan untuk memulihkan kepercayaan dalam grup. Sampai tindakan ini selesai, belum ada yang perlu didiskusikan.

sumber: https://l25kml.org


2 komentar, tinggalkan punyamu

tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   McA dijo

    Kedengarannya seperti:
    Ayolah, kami tahu Anda telah menangkap kami. Tapi sialan sudah lama menginginkan! Bisakah Anda mengizinkan kami memasukkan 20 tambalan lain yang telah kami siapkan? "

    Orang-orang ini memiliki banyak kepala.

  2.   Gregory ros dijo

    Alasan yang benar secara politis, tapi ... tidak lagi menyelinap.