Om te zeggen dat Linux-kernelontwikkelaars boos zijn op een paar UMN-afgestudeerde studenten die spelen met kwetsbaarheden in de Linux-kernel voor de doeleinden van een onderzoeksartikel.Over de haalbaarheid van het heimelijk introduceren van kwetsbaarheden in open source software via Hypocrite Commits“Het is een totaal understatement.
Greg Kroah-Hartman, supervisor voor Linux-kernelonderhoud voor de stabiele tak en bekend als de meest genereuze en gemakkelijk te onderhouden Linux-kernel, blies op en UMN-ontwikkelaars konden niet op de Linux-kernel draaien. Dit komt doordat hun patches “duidelijk te kwader trouw werden gepresenteerd met de bedoeling problemen te veroorzaken”.
Onderzoekers, Qiushi Wu en Aditya Pakki, en hun afgestudeerde adviseur, Kangjie Lu, universitair docent bij de afdeling Computer Science and Engineering aan het UMN UMN verontschuldigde zich toen voor de fatale Linux-kernelfouten.
dit is niet genoeg. Linux-kernelontwikkelaars, Linux Foundation technische adviesraad Aan de overkant Linux Foundation Het vroeg UMN om specifieke acties te ondernemen voordat het zijn medewerkers weer kon bijdragen aan Linux. We weten nu wat deze eisen zijn.
Het bericht van Mike Dolan, Senior Vice President van Linux Foundation en General Manager Projects, begint:
We hebben vernomen dat sommige onderzoekers bij U of MN lijken te experimenteren met mensen, met name Linux-kernelontwikkelaars, zonder de voorafgaande kennis of toestemming van deze ontwikkelaars. Dit werd gedaan door een bekende zwakke code in de Linux-kernel voor te stellen die algemeen wordt gebruikt als onderdeel van het werk “over de haalbaarheid van het stiekem introduceren van kwetsbaarheden in open source software via Hypocrite Commits”; Er kunnen ook andere papers en projecten bij betrokken zijn. Deze lijken De proeven werden uitgevoerd zonder beoordeling of voorafgaande goedkeuring door een institutionele beoordelingsraad (IRB), wat onaanvaardbaar is, en de IRB post-fact review stemde in met dit proces tegen degenen die het oneens waren.
Het is waar. Wu en Lu openden hun memo voor de UMN IRB door te zeggen: “We hebben onlangs een onderzoek afgerond naar het patchproces voor OSS.” Ze vroegen alleen toestemming van de IRB Nadat ze de samenvatting van het onderzoekspaper op Twitter hadden gedeeld. Vervolgens, nadat ze hadden toegegeven dat de publicatie van de samenvatting “verhitte discussies en afwijkende meningen” had veroorzaakt, verwijderden ze de samenvatting en boden ze hun excuses aan bij de IRB voor het veroorzaken van “veel verwarring en misverstanden”.
Hoewel de IRB dit onderzoek achteraf lijkt te hebben goedgekeurd, is de Linux-kernelgemeenschap niet op de hoogte gehouden. De onderzoekers beweren met mensen in de Linux-gemeenschap te hebben gesproken, maar ze zijn nooit geïdentificeerd. Daarom reageerde Kroah-Hartman opnieuw met het introduceren van “zinloze correcties”, behalve dat hij geloofde dat het weer een poging was om de tijd van Linux-kernelstewards te verspillen door “door te gaan met experimenteren met ontwikkelaars van kernelgemeenschappen”.
Dolan vervolgde:
We moedigen en verwelkomen onderzoek om beveiligings- en beveiligingsaudits te verbeteren. Het ontwikkelingsproces van de Linux-kernel neemt stappen om code te herzien om fouten te voorkomen. Wij zijn echter van mening dat het uitvoeren van experimenten op mensen zonder hun toestemming onethisch is en dat er veel juridische problemen aan verbonden zijn. Mensen zijn een integraal onderdeel van het evaluatie- en ontwikkelingsproces van software. Linux-kernelontwikkelaars zijn geen proefpersonen en mogen niet als zodanig worden behandeld.
Dit is een belangrijk punt. Ten eerste beweren de onderzoekers in de FAQ van de International Review Board: “Dit is geen menselijk onderzoek. Dit project bestudeert enkele kwesties die verband houden met het patchproces in plaats van individueel gedrag, en we hebben geen persoonlijke informatie verzameld.”
In de volgende paragraaf hebben UMN-onderzoekers deze claim ingetrokken.
“Tijdens het onderzoek dachten we eerlijk gezegd niet dat dit menselijk onderzoek was, dus hebben we in eerste instantie geen IRB-goedkeuring aangevraagd. Onze excuses voor de geuite bezorgdheid. Dit is een belangrijke les die we hebben geleerd – vertrouw onszelf niet in het definiëren van menselijk onderzoek; verwijs altijd naar de IRB als het omvat. Bestudeer een van de mensen op enigerlei wijze. ”
Dolan Gold:
Dit heeft ook hun kostbare tijd verspild en de miljarden mensen over de hele wereld die op hun resultaten vertrouwen, in gevaar gebracht. Terwijl U of MN-onderzoekers beweerden stappen te hebben ondernomen om te voorkomen dat zwakke punten in het uiteindelijke programma worden opgenomen, wijst het uitblijven van goedkeuring op een gebrek aan zorg. Er zijn ook overdreven gevolgen omdat wijzigingen in de Linux-kernel worden opgepikt door veel van de downstreamprojecten die de kernelcodefundament bouwen.
Dan komen we tot de kern van de zaak. Terwijl Dolan zei De verontschuldigingen van de UMN-onderzoekers waren veelbelovendDe Linux-gemeenschap heeft meer nodig. Of zoals Kroah-Harman Hij zei ronduit:
Zoals u weet, hebben de Linux Foundation en de Linux Foundation Technical Advisory Board vrijdag een brief naar uw universiteit gestuurd waarin ze de specifieke acties uiteenzetten die moeten plaatsvinden zodat uw groep en uw universiteit kunnen werken om het vertrouwen van de Linux-kernelgemeenschap te herstellen.
Totdat deze maatregelen zijn genomen, hebben we niets anders te bespreken over deze kwestie.
Deze “verzoeken” zijn:
Geef het publiek op een snelle manier alle nodige informatie om alle codevoorstellen te identificeren die risico lopen bij een U of MN-onderzoek. De informatie moet de naam van elk doelprogramma, nalevingsinformatie, vermeende naam van de aanvrager, e-mailadres, datum / tijd, onderwerp en / of code bevatten, zodat alle softwareontwikkelaars deze voorstellen snel kunnen identificeren en mogelijk corrigerende maatregelen kunnen nemen voor dergelijke experimenten .
Vind al deze code een echt probleem. Linux-kernelontwikkelaar, Al Viro, die in april de eerste neppatch ontdekte, Aangeduid: “Gebrek aan gegevens maakt het geheel onevenredig: als ze de moeite nemen om een lijst met SHA1-links bij te voegen die voortkomen uit hun ervaring, of beter nog, de lijst met bericht-ID’s bijhouden en verstrekken voor alle transmissies, of ze nu succesvol zijn of nee, deze puinhoop met algemene retourverzoeken enz. zou een stuk kleiner zijn geworden (als het ooit zou zijn gebeurd).
Zoals het er nu uitziet, branden Linux-ontwikkelaars en -ontwikkelaars nu tijd om honderden UMN Linux-kernelpatches te herzien. Ze hebben geen lol.
Dolan heeft geëist dat de paper wordt teruggetrokken uit officiële publicatie en officiële presentatie. Al het onderzoekswerk dat is gebaseerd op dit onderzoek of soortgelijk onderzoek waarbij het lijkt alsof mensen een experiment hebben ondergaan zonder hun voorafgaande toestemming. Het is een goede zaak om archiefinformatie online te publiceren. , aangezien het meestal echt openbaar is, maar er zou geen onderzoekstitel moeten zijn voor dergelijke werken. “
Dankzij de veelgestelde vragen van de krant weten we al dat deze al eerder is geaccepteerd voor publicatie IEEE-seminar over beveiliging en privacy (IEEE S&P) 2021. Dit is het topforum voor computerbeveiligingsonderzoekers. De virtuele bijeenkomst voor 2021 vindt binnenkort plaats tussen 23 mei en 27 mei. Het UMN moet nog zeggen of het het zal intrekken.
Dolan werd onder druk gezet om ervoor te zorgen dat mensen meer UMN-onderzoeken konden uitvoeren om de IRB te beoordelen voordat het experiment begon.
“Zorg ervoor dat alle toekomstige IRB-beoordelingen van voorgestelde onderzoeken bij proefpersonen er natuurlijk voor zullen zorgen dat degenen die worden getest het daarmee eens zijn, volgens de gebruikelijke onderzoeksnormen en wetten,” zei hij.
Op dit moment heeft UMN niet gereageerd op ons verzoek om informatie over wat de school van plan is.
Dolan zei dat het doel van dit alles is “om alle mogelijkheden en het bewustzijn van de schade veroorzaakt door deze activiteiten te elimineren, elk vermeend voordeel van deze activiteiten te elimineren en herhaling ervan te voorkomen. We hopen productieve en gepaste bijdragen te zien van open source. in de toekomst van uw studenten en docenten zoals we hebben gezien. “In de voorgaande jaren van uw organisatie.”
De Linux Foundation wil dat de school zo snel mogelijk op deze verzoeken reageert. Linux-beheerders willen ook weten wat er met UMN-patches aan de hand is, zodat ze een weg vooruit kunnen vinden. Ze werken liever aan het optimaliseren van Linux dan opzettelijk gecategoriseerde bugs na te jagen.
Tot nu toe hebben ze niets gevonden. Maar als u verantwoordelijk bent voor het onderhouden van het belangrijkste besturingssysteem ter wereld, is het beter om veilig te zijn dan sorry.
Gerelateerde verhalen:
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’
