I ricercatori dell'Università del Minnesota si scusano con la comunità Linux

I ricercatori dell'Università del Minnesota si scusano con la comunità Linux

Abbiamo sbagliato, ma in buonafede: questa la sintesi delle scuse con cui i ricercatori dell'Università del Minnesota dietro allo studio sui "commit ipocriti" cercano di ricucire il rapporto con la comunità del kernel Linux.

di pubblicata il , alle 11:21 nel canale Sistemi Operativi
Linux
 

Linux vs Università del Minnesota, atto terzo: le scuse. La nuova puntata del caso che ha infiammato la comunità open source negli ultimi giorni vede il pentimento dei ricercatori dell'ateneo, forse portati a questo gesto anche dall'indagine interna avviata dal Dipartimento di Informatica dell'UMN. "Ci scusiamo sinceramente per qualsiasi danno arrecato dal nostro gruppo di ricerca alla comunità del kernel Linux", esordiscono Kangjie Lu, Qiushi Wu e Aditya Pakki.

Si cospargono il capo di cenere gli autori dello studio volto a fotografare la risposta della comunità alla gestione delle patch per il kernel. Il caso si è creato perché i ricercatori hanno inviato commit ipocriti, ossia patch equivoche, potenzialmente pericolose o prive di valore, senza avvisare nessuno, rischiando quindi di mettere a rischio la sicurezza del kernel e, soprattutto, facendo perdere tempo ed energie ai manutentori.

"Il nostro obiettivo era identificare i problemi nel processo di aggiornamento e modi per affrontarli, e siamo molto dispiaciuti che il metodo utilizzato nel documento 'hypocrite commits' fosse inappropriato. Come molti osservatori ci hanno fatto notare, abbiamo sbagliato a non trovare un modo per consultare la comunità e ottenere il permesso prima di svolgere questo studio; lo abbiamo fatto perché sapevamo che non potevamo chiedere a manutentori di Linux il permesso, o avrebbero riposto attenzione nella ricerca di commit ipocriti".

"Mentre il nostro obiettivo era migliorare la sicurezza di Linux, ora sappiamo che era dannoso per la comunità renderla il soggetto della nostra ricerca e farle dilapidare sforzi nel rivedere queste patch senza la sua conoscenza o l'autorizzazione. Vogliamo solo che sappiate che non avremmo mai danneggiato intenzionalmente la comunità del kernel Linux e non abbiamo mai introdotto vulnerabilità di sicurezza. Il nostro lavoro è stato condotto con le migliori intenzioni e si concentrava nel trovare e risolvere falle di sicurezza".

La lunga lettera aperta continua entrando nei dettagli di quanto avvenuto, ribadendo come non siano mai state effettivamente introdotte vulnerabilità nel codice (tre patch "dubbie" sono state bloccate prima) e che le altre 190 patch pubblicate dall'ateneo non hanno nulla a che fare con lo studio in oggetto, ma pensate per risolvere bug reali nel codice.

Si parla inoltre anche dalla seconda ondata di patch prive di valore, che sono poi state quelle che hanno fatto perdere le staffe ai mantainer del kernel: "le recenti patch dell'aprile 2021 non fanno parte del paper sui commit ipocriti. Stavamo portando avanti un nuovo progetto che mira a identificare automaticamente i bug introdotti da altre patch (non da noi). Le nostre patch sono state preparate e inviate per correggere i bug identificati seguendo regole della divulgazione responsabile e siamo felici di condividere dettagli di questo nuovo progetto con la comunità Linux".

"Questo incidente ha causato molta rabbia nella comunità Linux verso di noi, il gruppo di ricerca e l'Università del Minnesota. Ci scusiamo incondizionatamente per ciò che ora riconosciamo come una violazione della fiducia condivisa nella comunità open source e chiediamo perdono per i nostri passi falsi. Cerchiamo di ricostruire il rapporto con la Linux Foundation e la comunità da un principio di umiltà da cui creare una base da cui, speriamo, possiamo nuovamente contribuire al nostro comune obiettivo di migliorare la qualità e la sicurezza del software Linux".

Caso chiuso? Arriverà il perdono di Greg Kroah-Hartman o i ricercatori dovranno scontare un periodo in purgatorio? Le risposte a queste domande alla prossima puntata.

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Unrue26 Aprile 2021, 11:31 #1
Comportamento molto deprecabile: se nel frattempo qualcuno sfruttava quelle falle? Chi pagava i danni?

E ad ogni modo ne approfitto per chiedere, come vengono controllati i commit in generale sul kernel?
Ago7226 Aprile 2021, 11:35 #2
Partendo dal presupposto che le scuse sono un atto dovuto, in quanto i metodi della ricerca sono al limite del legale, se non del tutto illegali. In quanto sarebbe bastato un proof-of-concept non malevolo, invece che una serie di azioni.
Io ancora non riesco a capire quali azioni la comunity di Linux ha intenzioni di intraprendere per evitare che malintenzionati aggiungano funzioni malevoli nel kernel.
jepessen26 Aprile 2021, 11:37 #3
Riesco ad immaginare chiaramente nella mia testa l'immane cazziatone del rettore dell'universita' ai ricercatori, sicuramente avvenuto prima delle scuse...
Notturnia26 Aprile 2021, 12:08 #4
quindi anche gli utonti di linux sono utonti..

pensavo che chi usava Linux facesse più attenzione ed invece questi dell'università hanno dimostrato che anche li è facile imbrogliare e far installare codice malevolo senza fatica..

metodo particolare ma ha dimostrato certamente che anche gli utilizzatori di Linux prestano poca o nessuna attenzione ai kernel che installano visto il putiferio che ne è uscito..
!fazz26 Aprile 2021, 12:35 #5
Originariamente inviato da: Notturnia
quindi anche gli utonti di linux sono utonti..

pensavo che chi usava Linux facesse più attenzione ed invece questi dell'università hanno dimostrato che anche li è facile imbrogliare e far installare codice malevolo senza fatica..

metodo particolare ma ha dimostrato certamente che anche gli utilizzatori di Linux prestano poca o nessuna attenzione ai kernel che installano visto il putiferio che ne è uscito..


In verità il putiferio è uscito proprio perchè le patch sono state controllate dai maintainer
io78bis26 Aprile 2021, 12:40 #6


Da come l'ho capita io nulla è finito nel Kernel perchè le patch sono state tutte bloccate dai mainteners.

Quindi la sicurezza del kernel è stata verificata, anche se il rischio che qualche bug venga introdotto rimane visto che il revisore essendo umano può non notare il bug.
marcram26 Aprile 2021, 13:41 #7
Penso ci sarà anche qualche sistema basato su fiducia e reputazione, nel senso che le patch inviate da sconosciuti saranno probabilmente controllate e ricontrollate, mentre quelle di soggetti conosciuti e affidabili vengono controllate un po' meno...
In questo caso sono state bloccate, e sicuramente l'ente in questione ha perso reputazione (sì, è stato bannato, ma se venisse reintegrato sarebbe sicuramente sottoposto a controlli più stringenti).
Comunque, nonostante il putiferio, alla fine il sistema si è dimostrato funzionante.
Notturnia26 Aprile 2021, 14:52 #8
in tal caso è stato solo provato che qualcuno verifica prima di farle passare
quindi in un modo o nell'altro è servito allo scopo..
certo che si sono suicidati per provare il funzionamento del sistema.. ma almeno a qualcosa è servito :-D
Ago7226 Aprile 2021, 15:11 #9
Originariamente inviato da: io78bis
Da come l'ho capita io nulla è finito nel Kernel perchè le patch sono state tutte bloccate dai mainteners.

Quindi la sicurezza del kernel è stata verificata, anche se il rischio che qualche bug venga introdotto rimane visto che il revisore essendo umano può non notare il bug.


Io invece ho capito diversamente. Un primo set di exploit sono finiti ramo stable del kenel.

"i ricercatori dell'Università del Minnesota spiegano di aver intenzionalmente introdotto falle di sicurezza (nello specifico Use-After-Free) nel ramo principale del kernel Linux. Un atto a fini di ricerca, ma che non è andato giù a chi lavora quotidianamente per rendere il mondo open source sempre più sicuro e credibile.

Il problema è che dopo la pubblicazione del documento, i ricercatori della University of Minnesota hanno inviato un'altra ondata di patch creata automaticamente da un presunto tool di analisi statica. Il contenuto di questi commit si è rivelato senza valore" (fonte 1)

Solo la seconda ondata è stata bloccata dai mainteners.
TonyVe26 Aprile 2021, 16:15 #10
Originariamente inviato da: Notturnia
quindi anche gli utonti di linux sono utonti..


È bello constatare che tu non abbia capito granché dell'accaduto.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^