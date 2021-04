Крупного разработчика Linux изгнали из сообщества за издевательские эксперименты над пользователями

Университет Минессоты был исключен из числа разработчиков ядра Linux – его сотрудники намеренно разрабатывали патчи со скрытыми уязвимостями, чтобы понаблюдать за реакцией сообщества. Комьюнити не захотело, чтобы на них ставили эксперименты – новые патчи Университета приниматься не будут, а все имеющиеся (их около 190) исключены из состава ядра и отправлены на повторную проверку. В некоторых из них выявлены различные ошибки.

Эксперимент пошел не по плану

В списке разработчиков ядра Linux произошли изменения – из него исключен Университет Миннесоты (University of Minnesota, UMN). Такое решение, пишет портал Neowin, принял лично Грег Кроа-Хартман (Greg Kroah-Hartman) – ответственный за поддержку стабильной ветки ядра.

Кроа-Хартман подчеркнул, что сотрудники Университета выпускали патчи для Linux, содержавшие различные уязвимости, и делали они это намеренно. В вузе была сформирована специальная исследовательская группа, которая проводила эксперимент по изучению возможности внедрения скрытых уязвимостей в различные проекты с исходным кодом. Входящие в нее разработчики в ходе своего исследования наблюдали за реакцией Linux-сообщества и попутно готовили статью «Возможность скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью поддельных коммитов» (On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits).

Разработчики намеренно делали ядро Linux менее безопасным, за что и поплатились

В своем письме разработчикам из Университета Миннесоты Хартман написал: «Вы и ваша группа публично признались в отправке патчей с известными ошибками, чтобы увидеть, как сообщество (разработчиков – прим. CNews) ядра отреагирует на них, и опубликовали документ, основанный на этой работе». «Теперь вы снова отправляете новую серию явно неправильных исправлений, и что я должен думать об этом?», – добавил он.

Суть конфликта

Университет Миннесоты в рамках своего исследования незаметно внедрил в ядро Linux уязвимость Use-After-Free, но сообщество посчитало это этичным экспериментом. Гнев Грега Кроа-Хартмана вызывала еще одна попытка умышленной «порчи» ядра. Он связался с автором патча, которым оказался студент факультета компьютерных наук и инженерии Адитья Пакки (Aditya Pakki), и тот попытался оправдаться, заявив, что разработал «новый статистический анализатор», и что подготовил патч в соответствии с результатами проверки в нем.

Адитья Патакки подставил весь Университет Минессоты

«Эти патчи были отправлены как часть нового статического анализатора, который я написал, и его чувствительность явно невысока. Я отправил патчи в надежде получить обратную связь», – заявил Пакки в ответном письме Кроа-Хартману. «Очевидно, это неправильный шаг, но ваши предвзятые предубеждения настолько сильны, что вы делаете необоснованные утверждения. Я не буду больше отправлять патчи из-за такого отношения, которое не только нежелательно, но и пугает новичков и неспециалистов», – добавил он.

В ответ на это Кроа-Хартман направил Пакки длинное письмо с описанием того, как он видит ситуацию. «Очевидно, эти исправления НЕ были созданы инструментом статического анализа, обладающим каким-либо интеллектом, поскольку все они являются результатом совершенно разных шаблонов, и все они, очевидно, даже ничего не исправляют. Итак, что я должен думать, кроме того, что вы и ваша группа продолжаете экспериментировать с разработчиками сообщества ядра, рассылая такие бессмысленные патчи? <…> Наше сообщество приветствует разработчиков, которые хотят помочь и улучшить Linux. Это НЕ то, что вы пытаетесь сделать», – написал он.

Неутешительный итог

Грег Кроа-Хартман решил исключить Университет Миннесоты из числа разработчиков ядра Linux. Все новые патчи, присылаемые связанными с ними программистами, не будут приниматься к рассмотрению и в новые сборки Linux больше не попадут.

Более того, Кроа-Хартман заявил, что в качестве дополнительной ответной меры из ядра будут отозваны все ранее принятые патчи Университета для их повторного рецензирования. Степень вероятности их повторного возвращения в состав ядра он не уточнил.

Обсуждение патчей UMN

На момент публикации материала Кроа-Хартман откатил около 190 исправлений, присланных с адресов «@umn.edu». Все они отправлены на проверку, и некоторые из них успели пройти ее – сомнительные элементы в них обнаружены не были, однако ряд патчей все же содержали небольшие ошибки.

К разбору ситуации подключилось и руководство Университета Минессоты. Замдекана факультета компьютерных наук и инженерии Лорен Тервин (Loren Terveen) опубликовала в Twitter официальное заявление факультета.

Публикация Лорен Тервин в Twitter

«Руководство факультета компьютерных наук и инженерии Миннесотского университета узнало сегодня о деталях исследования безопасности ядра Linux, проводимого одним из его преподавателей и аспирантов. Используемый метод исследования вызвал серьезные опасения в сообществе ядра Linux, и на сегодняшний день это привело к тому, что университету запретили вносить вклад в ядро Linux», – говорится в этом заявлении.

Текст заявления

«Мы очень серьезно относимся к этой ситуации. Это направление исследований немедленно приостановлено. Мы изучим метод исследования и процесс, с помощью которого этот метод исследования был одобрен, определим соответствующие меры по исправлению положения и при необходимости защитимся от будущих проблем», – добавила Лорен Тервин. Отчет о результатах этой проверки Университет передаст сообществу разработчиков.