Команда Университета Миннесоты объяснила мотивацию экспериментов с ядром Linux

Группа исследователей из Миннесотского университета, принятие изменений которого недавно было заблокировано Грегом Кроа-Хартманом, отправил открытое письмо с извинениями и объясняет причины их деятельности.

Блокировка произошла из-за группа исследовала слабые места при просмотре входящих патчейs и оценить возможность проникновения в суть изменений со скрытыми уязвимостями. После получения сомнительного патча от одного из членов группы с бессмысленным исправлением, было высказано предположение, что исследователи снова пытаются экспериментировать с разработчиками ядра.

Поскольку такие эксперименты потенциально представляют угрозу безопасности и требуют времени для коммиттеров, было решено заблокировать принятие изменений и отправить все ранее принятые исправления на проверку.

В вашем открытом письме члены группы заявили, что их деятельность была мотивирована исключительно из добрых намерений и желания улучшить процесс проверки изменений, выявляющих и устраняющих слабые стороны.

Группа много лет изучает процессы, которые приводят к появлению уязвимостей, и активно работает над выявлением и устранением уязвимостей в ядре Linux. 190 исправлений, представленных на новую проверку, считаются законными, исправляют существующие проблемы и не содержат преднамеренных ошибок или скрытых уязвимостей.

Тревожное расследование по продвижению скрытых уязвимостей было проведено в августе прошлого года и ограничилось отправкой трех исправлений ошибок, ни одно из которых не попало в кодовую базу ядра.

Действия, связанные с этими патчами, ограничивались только обсуждением, а продвижение патчей было остановлено на одном этапе до того, как изменения были добавлены в Git.

Код для трех проблемных патчей еще не предоставлен, так как он покажет лица тех, кто провел первоначальную проверку (информация будет раскрыта после получения согласия разработчиков, которые не признали наличие ошибок).

Основным источником исследований были не наши собственные патчи, а анализ чужих патчей, которые когда-то добавлялись в ядро ​​из-за появившихся впоследствии уязвимостей. Команда Университета Миннесоты не имеет никакого отношения к добавлению этих патчей.

Всего было изучено 138 исправлений, приводящих к ошибкам, и к моменту публикации результатов исследования все связанные ошибки были исправлены, даже с участием исследовательской группы.

Исследователи они сожалеют о том, что использовали неподходящий метод для проведения эксперимента. Ошибка заключалась в том, что расследование проводилось без разрешения и без уведомления общественности. Причиной скрытой активности было желание добиться чистоты эксперимента, так как уведомление могло привлечь внимание отдельно к патчам и их оценке, а не в целом.

В то время как цель состояла в том, чтобы улучшить базовую безопасность, Теперь исследователи поняли, что использование сообщества в качестве подопытного кролика было неправильным и неэтичным. При этом исследователи уверяют, что никогда намеренно не навредят сообществу и не допустят внесения новых уязвимостей в рабочий код ядра.

Что касается бессмысленного патча, который послужил катализатором сбоя, он не имеет отношения к предыдущим исследованиям и связан с новым проектом, направленным на создание инструментов для автоматического обнаружения ошибок, которые появляются в результате добавления других патчей.

В настоящее время группа пытается найти способы вернуться к разработке и намеревается наладить свои отношения с Linux Foundation и сообществом разработчиков, доказывая свою ценность в улучшении безопасности ядра и выражая желание работать усерднее к лучшему. Common и восстановить доверие .

Грег Кроа-Хартман ответил, что технический совет Linux Foundation отправил письмо в Университет Миннесоты в пятницу описание конкретных действий, которые необходимо предпринять для восстановления доверия в группе. Пока эти действия не завершены, обсуждать пока нечего.

источник: https://l25kml.org