Het team van de University of Minnesota legde de motivatie uit om te experimenteren met de Linux-kernel

Darkcrizt

4 minuten

Een groep onderzoekers van de Universiteit van Minnesota, wiens acceptatie van wijzigingen onlangs werd geblokkeerd door Greg Kroah-Hartman, plaatste een open verontschuldigingsbrief en legt de redenen voor hun activiteiten uit.

De blokkering was te wijten aan de groep onderzocht zwakke punten bij het bekijken van inkomende patchess en evalueer de mogelijkheid om naar de kern van de veranderingen te gaan met verborgen kwetsbaarheden. Na het ontvangen van een twijfelachtige patch van een van de groepsleden met een onzinnige oplossing, werd aangenomen dat onderzoekers opnieuw proberen te experimenteren met kernelontwikkelaars.

Omdat dergelijke experimenten mogelijk een veiligheidsrisico vormen en tijd kosten voor committers, werd besloten om de acceptatie van wijzigingen te blokkeren en alle eerder geaccepteerde patches ter beoordeling in te dienen.

In je open brief, groepsleden verklaarden dat hun activiteiten gemotiveerd waren exclusivamente uit goede bedoelingen en de wens om het beoordelingsproces te verbeteren van veranderingen die zwakke punten identificeren en elimineren.

De groep bestudeert al jaren de processen die leiden tot het ontstaan ​​van kwetsbaarheden en werkt actief aan het identificeren en elimineren van kwetsbaarheden in de Linux-kernel. De 190 patches die voor een nieuwe beoordeling zijn ingediend, zouden legitiem zijn, bestaande problemen oplossen en geen opzettelijke bugs of verborgen kwetsbaarheden bevatten.

Het alarmerende onderzoek om verborgen kwetsbaarheden te promoten, werd in augustus vorig jaar uitgevoerd en beperkte zich tot het indienen van drie bug-patches, die geen van allen de kernelcodebase haalden.

Activiteit met betrekking tot deze patches was beperkt tot alleen discussie, en patchpromotie werd gestopt in een fase voordat de wijzigingen aan Git werden toegevoegd.

De code voor de drie problematische patches moet nog worden verstrekt, omdat dit de gezichten zal onthullen van degenen die de eerste beoordeling hebben gedaan (de informatie zal worden onthuld na het verkrijgen van toestemming van de ontwikkelaars die de bugs niet erkenden).

De belangrijkste bron van onderzoek waren niet onze eigen patches, maar analyse van andermans patches die ooit aan de kernel waren toegevoegd vanwege kwetsbaarheden die later opdoken. Het team van de Universiteit van Minnesota heeft niets te maken met het toevoegen van deze patches.

In totaal werden 138 bug-veroorzakende probleempatches bestudeerd, en tegen de tijd dat de studieresultaten werden gepubliceerd, waren alle gerelateerde bugs verholpen, zelfs met de betrokkenheid van het onderzoeksteam.

De onderzoekers ze betreuren het dat ze een ongeschikte methode hebben gebruikt om het experiment uit te voeren. De fout was dat het onderzoek werd uitgevoerd zonder toestemming en zonder de gemeenschap hiervan op de hoogte te stellen. De reden voor de verborgen activiteit was de wens om de puurheid van het experiment te bereiken, aangezien de melding afzonderlijk de aandacht zou kunnen vestigen op de patches en hun evaluatie, niet op een algemene manier.

Si bien het doel was om de basisbeveiliging te verbeteren, Onderzoekers realiseerden zich nu dat het verkeerd en onethisch was om de gemeenschap als proefkonijn te gebruiken. Tegelijkertijd verzekeren de onderzoekers dat ze nooit opzettelijk schade zouden berokkenen aan de gemeenschap en dat ze de introductie van nieuwe kwetsbaarheden in de werkende kernelcode niet zouden toelaten.

Wat betreft de no-nonsense patch die als katalysator diende voor de crash, deze is niet gerelateerd aan eerder onderzoek en is gerelateerd aan een nieuw project gericht op het creëren van tools voor automatische detectie van bugs die verschijnen als gevolg van het toevoegen van andere patches.

De groep probeert nu manieren te vinden om weer in ontwikkeling te komen en is van plan zijn relatie met de Linux Foundation en de ontwikkelaarsgemeenschap te smeden, de waarde ervan te bewijzen bij het verbeteren van de kernelbeveiliging en de wens uit te drukken om harder te werken voor het beter. Common en herwinnen van vertrouwen .

Greg Kroah-Hartman antwoordde dat de technische raad van de Linux Foundation heeft een brief gestuurd aan de Universiteit van Minnesota op vrijdag een beschrijving van de specifieke acties die moeten worden ondernomen om het vertrouwen in de groep te herstellen. Totdat deze acties zijn voltooid, valt er nog niets te bespreken.

bron: https://l25kml.org


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   McA zei
    geleden Tot 3 jaar

    Klinkt voor mij als:
    Kom op, we weten dat je ons hebt betrapt. Maar verdomme, het heeft gewild! Kun je ons nog 20 patches laten plaatsen die we hadden voorbereid? "

    Deze mensen hebben veel hoofden.

    Reageer op McA
  2.   Gregory ros zei
    geleden Tot 3 jaar

    Politiek correct excuus, maar ... niet langer sluipen.

    Reageer op Gregorio Ros