Несколько дней назад Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за стабильную ветку ядра Linux, сообщил, что специалистам Университета Миннесоты отныне запрещено отправлять любые изменения в ядро Linux, а все коммиты с адресов @umn.edu будут отклонены.

Дело в том, что три исследователя из Университета Миннесоты (Цюши Ву, Канцже Лу и Адитья Пакки) решили провести эксперимент, который они назвали «лицемерные коммиты». Эксперты умышленно добавляли в код уязвимости, желая продемонстрировать, что потенциально вредоносный код может остаться незамеченным и пройти процесс утверждения.

Для этого исследователи использовали инструмент статического анализа и нашли в коде ядра ряд низкоприоритетных уязвимостей, которые назвали «незрелыми». Затем они создали исправления для них, однако эти патчи лишь усугубляли «незрелые» уязвимости и делали их полноценными. После этого представители университета отправили свои «исправления» сопровождающим ядра, чтобы понять, обнаружат ли разработчики серьезную проблему в их патче для исправления мелкого бага. Получив ответ, исследователи сообщали, что их патч «неправильный», указывали на ошибку в нем и предлагали нормальное исправление.

Когда об этом эксперименте стало известно, Грег Кроа-Хартман откатил около 200 коммитов, пришедших с адресов @umn.edu и отправил их на повторную проверку. Из-за своей деятельности исследователи из Университета Миннесоты подверглись жесткой критике не только со стороны Кроа-Хартмана, но и всего сообщества.

«Нашему сообществу не нравится, когда над ним экспериментируют и “проверяют”, отправляя патчи, которые либо умышленно ничего не делают, либо умышленно вносят в код ошибки», — писал Кроа-Хартман.

В свою очередь, исследовательская группа сообщает, что уже прекратила данный эксперимент, и в минувшие выходные опубликовала открытое письмо, в котором извиняется перед всем сообществом Linux. Впрочем, многие эксперты отмечают, что извинения скорее похожи на попытки оправдаться и донести свою позицию.

«Мы хотим, чтобы вы знали, что мы никогда намеренно не навредим сообществу ядра Linux и никогда не станем внедрять уязвимости намеренно. Наше исследование проводилось с наилучшими намерениями и было направлено ​​на поиск и устранение уязвимостей.

Работа “лицемерные коммиты” проводилась в августе 2020 года и была направлена на повышение безопасности процесса установки исправлений в Linux. В рамках проекта мы изучили потенциальные проблемы с процессом установки исправлений, включая причины возникновения проблем, и предложили методы их устранения.

Наше исследование не привнесло уязвимости в код Linux. Три некорректных патча лишь подверглись обсуждению, но не продвинулись дальше этого, они не попали в код. Мы изложили результаты и свои выводы (за исключением некорректных патчей) в нашей работе для сообщества Linux перед публикацией статьи, собрали отзывы и включили их в публикацию», — гласит письмо представителей университета.

Сейчас в университете проводится разбирательство, ведь, к примеру, эта работа по какой-то причине не была классифицирована, как исследование на людях.

Что до извинений, Кроа-Хартман, похоже, не слишком впечатлен открытым письмом:

«Как вам известно, в пятницу Linux Foundation и Technical Advisory Board направили вашему университету письмо с изложением конкретных действий, которые нужно предпринять, чтобы ваша группа и ваш университет смогли восстановить доверие сообщество ядра Linux. Пока не будут предприняты эти действия, нам больше нечего обсуждать», — пишет он.

5 комментариев

  1. Аватар

    0d8bc7

    30.04.2021 в 12:06

    Интересно смотрится формулировка
    > Работа “лицемерные коммиты” проводилась в августе 2020 года и была направлена на повышение безопасности процесса установки исправлений в Linux.
    Исправления устанавливают разработчики Linux, и повышение безопасности происходит не силами этих исследователей и не по волшебству, а силами разработчиков. Говорящий «наша работа направлена на непосредственное повышение качества вашей работы» как бы ставит себя выше исполнителя.
    Хотя не знаю, разработчикам это не понравилось или же они сочли этих исследователей неблагонадёжными поставщиками кода.

  2. Аватар

    Lex.Mikachev

    02.05.2021 в 11:57

    Как бы то ни было, вредоносные или нерабочие патчи наносят вред в плане безопасности и стабильности ядра, что в свою очередь наносит вред сообществу Linux. Считаю, что в ближайшие 5 лет не стоит рассматривать вопрос о возвращении доверия к Университету Миннесоты — нужно думать наперёд о последствиях тех или иных действий, а не развлекаться как душе угодно.
    Благодарю автора статьи и редакцию ][ за новость, держите нас в курсе 😉

  3. Аватар

    gigacelitel

    03.05.2021 в 09:39

    Решили развлечься, вышло боком такое развлечение.

  4. Аватар

    Andrey_Vladimirovich

    03.05.2021 в 16:36

    Я так и не понял, этот эксперимент закончился успешно или нет? То есть, те, кто проверяют код на безопасность проморгали эти уязвимости или нет? Если первое, так претензии нужно предъявлять себе, а не другим. А если второе, тогда их реакция доказала, что код проверятся качественно и тщательно, это только в плюс репутации.

  5. Аватар

    EvgenyP

    04.05.2021 в 05:50

    Ребята хотели обратить внимание на безопсаность, смелый конечно ход. Думаю их просто игнорировали.
    Надеюсь ребят не привлекут к правовой ответственности.

Оставить мнение