El equipo de la Universidad de Minnesota explicó la motivación para experimentar con el kernel de Linux
Un grupo de investigadores de la Universidad de Minnesota, cuya aceptación de cambios fue bloqueada recientemente por Greg Kroah-Hartman, publicó una carta abierta de disculpa y explica los motivos de sus actividades.
El bloqueo se debió a que el grupo estaba investigando debilidades al revisar los parches entrantes y evaluar la posibilidad de pasar al núcleo de los cambios con vulnerabilidades ocultas. Después de recibir un parche cuestionable de uno de los miembros del grupo con una solución sin sentido, se asumió que los investigadores están nuevamente tratando de experimentar con los desarrolladores del kernel.
Dado que tales experimentos presentan potencialmente un riesgo de seguridad y toman tiempo para los confirmadores, se decidió bloquear la aceptación de cambios y enviar todos los parches previamente aceptados para su revisión.
En su carta abierta, los miembros del grupo manifestaron que sus actividades estaban motivadas exclusivamente por las buenas intenciones y el deseo de mejorar el proceso de revisión de cambios identificando y eliminando debilidades.
El grupo ha estado estudiando los procesos que conducen a la aparición de vulnerabilidades durante muchos años y está trabajando activamente para identificar y eliminar vulnerabilidades en el kernel de Linux. Se dice que los 190 parches enviados para una nueva revisión son legítimos, solucionan problemas existentes y no contienen errores deliberados ni vulnerabilidades ocultas.
La alarmante investigación para promover vulnerabilidades ocultas se llevó a cabo en agosto del año pasado y se limitó a enviar tres parches de errores, ninguno de los cuales llegó al código base del kernel.
La actividad relacionada con estos parches se limitó solo a la discusión y la promoción de parches se detuvo en una etapa antes de que se agregaran los cambios a Git.
El código para los tres parches problemáticos aún no se ha proporcionado, ya que esto revelará los rostros de quienes realizaron la revisión inicial (la información se revelará después de obtener el consentimiento de los desarrolladores que no reconocieron los errores).
La principal fuente de investigación no fueron nuestros propios parches, sino el análisis de los parches de otras personas que alguna vez se agregaron al núcleo, debido a que posteriormente surgieron vulnerabilidades. El equipo de la Universidad de Minnesota no tiene nada que ver con agregar estos parches.
Se estudiaron un total de 138 parches problemáticos que dieron lugar a errores y, cuando se publicaron los resultados del estudio , todos los errores relacionados se habían solucionado, incluso con la participación del equipo de investigación.
Los investigadores lamentan haber utilizado un método inadecuado para realizar el experimento. El error fue que la investigación se realizó sin permiso y sin notificar a la comunidad. El motivo de la actividad oculta fue el deseo de lograr la pureza del experimento, ya que la notificación podría llamar la atención por separado sobre los parches y su evaluación, no de manera general.
Si bien el objetivo era mejorar la seguridad básica, los investigadores ahora se dieron cuenta de que usar a la comunidad como conejillo de indias era incorrecto y poco ético. Al mismo tiempo, los investigadores aseguran que nunca dañarían intencionalmente a la comunidad y no permitirían la introducción de nuevas vulnerabilidades en el código de trabajo del kernel.
En cuanto al parche sin sentido que sirvió como catalizador para el bloqueo, no está relacionado con investigaciones anteriores y está relacionado con un nuevo proyecto destinado a crear herramientas para la detección automatizada de errores que aparecen como resultado de agregar otros parches.
El grupo ahora está tratando de encontrar formas de volver al desarrollo y tiene la intención de forjar su relación con la Fundación Linux y la comunidad de desarrolladores, demostrando su valor para mejorar la seguridad del kernel y expresando el deseo de trabajar más duro por el bien común y recuperar la confianza.
Greg Kroah-Hartman respondió que el consejo técnico de la Fundación Linux envió una carta a la Universidad de Minnesota el viernes en la que se describen las acciones específicas que se deben tomar para restaurar la confianza en el grupo. Hasta que se completen estas acciones, no hay nada que discutir todavía.
Fuente: https://lkml.org