A equipe da Universidade de Minnesota explicou a motivação para experimentar o kernel Linux

Um grupo de pesquisadores da Universidade de Minnesota, cuja aceitação de mudanças foi recentemente bloqueada por Greg Kroah-Hartman, postou uma carta aberta de desculpas e explica as razões de suas atividades.

O bloqueio foi devido a o grupo estava investigando fraquezas ao revisar os patches recebidosse avaliar a possibilidade de ir ao cerne das mudanças com vulnerabilidades ocultas. Depois de receber um patch questionável de um dos membros do grupo com uma correção sem sentido, presumiu-se que os pesquisadores estão novamente tentando fazer experiências com os desenvolvedores do kernel.

Uma vez que tais experimentos representam potencialmente um risco de segurança e levam tempo para os desenvolvedores, foi decidido bloquear a aceitação das alterações e enviar todos os patches aceitos anteriormente para revisão.

Em sua carta aberta, membros do grupo afirmaram que suas atividades foram motivadas exclusivamente por boas intenções e um desejo de melhorar o processo de revisão de mudanças identificando e eliminando pontos fracos.

O grupo vem estudando os processos que levam ao surgimento de vulnerabilidades há muitos anos e está trabalhando ativamente para identificar e eliminar vulnerabilidades no kernel do Linux. Os 190 patches enviados para uma nova revisão são considerados legítimos, corrigem problemas existentes e não contêm bugs deliberados ou vulnerabilidades ocultas.

A alarmante investigação para promover vulnerabilidades ocultas foi realizada em agosto do ano passado e se limitou a enviar três patches para bugs, nenhum dos quais chegou à base de código do kernel.

A atividade relacionada a esses patches foi limitada à discussão apenas, e a promoção do patch foi interrompida em um estágio antes de as alterações serem adicionadas ao Git.

O código para os três patches problemáticos ainda não foi fornecido, pois isso revelará os rostos daqueles que fizeram a revisão inicial (a informação será revelada após obter o consentimento dos desenvolvedores que não reconheceram os bugs).

A principal fonte de pesquisa não foram os nossos próprios patches, mas a análise de patches de outras pessoas que uma vez foram adicionados ao kernel, devido a vulnerabilidades que surgiram posteriormente. A equipe da Universidade de Minnesota não tem nada a ver com a adição desses patches.

Um total de 138 patches de problemas que geram bugs foram estudados e, no momento em que os resultados do estudo foram publicados, todos os bugs relacionados haviam sido corrigidos, mesmo com o envolvimento da equipe de pesquisa.

Os investigadores eles se arrependem de ter usado um método inadequado para realizar o experimento. O erro foi que a investigação foi realizada sem autorização e sem notificação à comunidade. O motivo da atividade oculta foi o desejo de atingir a pureza do experimento, uma vez que a notificação poderia chamar a atenção separadamente para os patches e sua avaliação, não de forma geral.

Enquanto o objetivo era melhorar a segurança básica, Os pesquisadores agora perceberam que usar a comunidade como cobaia era errado e antiético. Ao mesmo tempo, os pesquisadores garantem que nunca prejudicariam intencionalmente a comunidade e não permitiriam a introdução de novas vulnerabilidades no código do kernel de trabalho.

Quanto ao patch sem sentido que serviu de catalisador para o travamento, ele não tem relação com pesquisas anteriores e está relacionado a um novo projeto que visa a criação de ferramentas para detecção automática de bugs que aparecem como resultado da adição de outros patches.

O grupo agora está tentando encontrar maneiras de voltar ao desenvolvimento e pretende estabelecer seu relacionamento com a Linux Foundation e a comunidade de desenvolvedores, provando seu valor na melhoria da segurança do kernel e expressando o desejo de trabalhar mais para o melhor. Comum e reconquistar a confiança .

Greg Kroah-Hartman respondeu que o conselho técnico do Linux Foundation enviou uma carta para a Universidade de Minnesota na sexta-feira descrevendo as ações específicas a serem executadas para restaurar a confiança no grupo. Até que essas ações sejam concluídas, não há nada para discutir ainda.

fonte: https://l25kml.org


2 comentários, deixe o seu

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   McA dito

    Parece-me:
    Vamos, sabemos que você nos pegou. Mas caramba, estava faltando! Você pode nos deixar colocar mais 20 patches que preparamos? "

    Essas pessoas têm muitas cabeças.

  2.   Gregory Ros dito

    Desculpa politicamente correta, mas ... não foge mais.