ทีมงานของมหาวิทยาลัยมินนิโซตาอธิบายถึงแรงจูงใจในการทดลองกับเคอร์เนลลินุกซ์

กลุ่มนักวิจัยจากมหาวิทยาลัยมินนิโซตา ซึ่งเมื่อไม่นานมานี้ Greg Kroah-Hartman บล็อกการยอมรับการเปลี่ยนแปลง โพสต์จดหมายเปิดผนึกขอโทษ และอธิบายเหตุผลของกิจกรรมของพวกเขา

การอุดตันเกิดจาก กลุ่มนี้กำลังตรวจสอบจุดอ่อน เมื่อตรวจสอบแพตช์ที่เข้ามาและประเมินความเป็นไปได้ที่จะไปถึงหัวใจหลักของการเปลี่ยนแปลงที่มีช่องโหว่ที่ซ่อนอยู่ หลังจากได้รับแพตช์ที่น่าสงสัยจากสมาชิกคนหนึ่งในกลุ่มด้วยการแก้ไขแบบไร้สาระก็ถือว่านักวิจัยพยายามทดลองกับนักพัฒนาเคอร์เนลอีกครั้ง

เนื่องจากการทดลองดังกล่าวอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยและต้องใช้เวลาในการดำเนินการจึงตัดสินใจปิดกั้นการยอมรับการเปลี่ยนแปลงและส่งแพตช์ที่ยอมรับก่อนหน้านี้ทั้งหมดเพื่อตรวจสอบ

ในจดหมายเปิดผนึกของคุณ สมาชิกในกลุ่มระบุว่ากิจกรรมของพวกเขามีแรงจูงใจ เอง จากความตั้งใจที่ดีและความปรารถนาที่จะปรับปรุงกระบวนการตรวจสอบ ของการเปลี่ยนแปลงที่ระบุและกำจัดจุดอ่อน

กลุ่มนี้ได้ศึกษากระบวนการที่นำไปสู่การเกิดช่องโหว่เป็นเวลาหลายปีและกำลังทำงานอย่างแข็งขันเพื่อระบุและกำจัดช่องโหว่ในเคอร์เนล Linux แพตช์ 190 รายการที่ส่งมาเพื่อการตรวจสอบใหม่นั้นถูกต้องตามกฎหมายแก้ไขปัญหาที่มีอยู่และไม่มีจุดบกพร่องโดยเจตนาหรือช่องโหว่ที่ซ่อนอยู่

การตรวจสอบที่น่าตกใจเพื่อส่งเสริมช่องโหว่ที่ซ่อนอยู่ได้ดำเนินการในเดือนสิงหาคมปีที่แล้วและ จำกัด ตัวเองไว้ที่การส่งแพตช์จุดบกพร่องสามตัวซึ่งไม่ได้ส่งไปยังฐานรหัสเคอร์เนล

กิจกรรมที่เกี่ยวข้องกับแพตช์เหล่านี้ จำกัด เฉพาะการสนทนาเท่านั้นและการโปรโมตแพตช์หยุดลงในขั้นตอนหนึ่งก่อนที่จะเพิ่มการเปลี่ยนแปลงลงใน Git

ยังไม่มีการระบุรหัสสำหรับแพตช์ที่มีปัญหาทั้งสามชุดเนื่องจากจะเปิดเผยใบหน้าของผู้ที่ทำการตรวจสอบเบื้องต้น (ข้อมูลจะเปิดเผยหลังจากได้รับความยินยอมจากนักพัฒนาที่ไม่ได้รับทราบข้อบกพร่อง)

แหล่งที่มาหลักของการวิจัยไม่ใช่แพตช์ของเราเอง แต่เป็นการวิเคราะห์แพตช์ของคนอื่นที่เคยเพิ่มลงในเคอร์เนลเนื่องจากช่องโหว่ที่เกิดขึ้นในภายหลัง ทีมงานของมหาวิทยาลัยมินนิโซตาไม่มีส่วนเกี่ยวข้องกับการเพิ่มแพตช์เหล่านี้

มีการศึกษาแพตช์ปัญหาการให้ข้อบกพร่องทั้งหมด 138 รายการและเมื่อถึงเวลาที่เผยแพร่ผลการศึกษาข้อบกพร่องที่เกี่ยวข้องทั้งหมดได้รับการแก้ไขแม้จะมีส่วนร่วมของทีมวิจัยก็ตาม

นักวิจัย พวกเขาเสียใจที่ใช้วิธีการที่ไม่เหมาะสมในการทดลอง ความผิดพลาดคือการสอบสวนดำเนินการโดยไม่ได้รับอนุญาตและไม่แจ้งให้ชุมชนทราบ เหตุผลของกิจกรรมที่ซ่อนอยู่คือความปรารถนาที่จะบรรลุความบริสุทธิ์ของการทดสอบเนื่องจากการแจ้งเตือนสามารถดึงดูดความสนใจแยกกันไปที่แพตช์และการประเมินผลไม่ใช่ในลักษณะทั่วไป

ในขณะที่ เป้าหมายคือการปรับปรุงความปลอดภัยขั้นพื้นฐาน ขณะนี้นักวิจัยตระหนักแล้วว่าการใช้ชุมชนเป็นหนูตะเภานั้นผิดและผิดจรรยาบรรณ ในขณะเดียวกันนักวิจัยยืนยันว่าพวกเขาจะไม่มีเจตนาทำร้ายชุมชนและไม่อนุญาตให้มีการเปิดช่องโหว่ใหม่ในโค้ดเคอร์เนลที่ใช้งานได้

สำหรับแพตช์ไร้สาระที่ทำหน้าที่เป็นตัวเร่งปฏิกิริยาสำหรับการขัดข้องนั้นไม่เกี่ยวข้องกับการวิจัยก่อนหน้านี้และเกี่ยวข้องกับโครงการใหม่ที่มุ่งสร้างเครื่องมือสำหรับการตรวจหาจุดบกพร่องโดยอัตโนมัติซึ่งเป็นผลมาจากการเพิ่มแพตช์อื่น ๆ

ขณะนี้กลุ่มกำลังพยายามหาวิธีกลับเข้าสู่การพัฒนาและตั้งใจที่จะสร้างความสัมพันธ์กับ Linux Foundation และชุมชนนักพัฒนาโดยพิสูจน์คุณค่าในการปรับปรุงความปลอดภัยของเคอร์เนลและแสดงความปรารถนาที่จะทำงานให้หนักขึ้นเพื่อสิ่งที่ดีกว่าทั่วไปและคืนความมั่นใจ .

Greg Kroah-Hartman ตอบว่า สภาเทคนิคของ Linux Foundation ได้ส่งจดหมาย ไปยังมหาวิทยาลัยมินนิโซตาเมื่อวันศุกร์ อธิบายการดำเนินการเฉพาะที่ต้องดำเนินการเพื่อคืนความไว้วางใจในกลุ่ม จนกว่าการดำเนินการเหล่านี้จะเสร็จสมบูรณ์ยังไม่มีอะไรจะหารือ

Fuente: https://l25kml.org