Universität von Minnesota entschuldigt sich für das Einbringen von bösartigem Code in das Linux-Projekt

Cyber Security News

Forscher der University of Minnesota entschuldigten sich am Samstag bei den Maintainern des Linux-Kernel-Projekts dafür, dass sie absichtlich Schwachstellen in den Code des Projekts eingebaut hatten, was dazu führte, dass der Schule untersagt wurde, in Zukunft zum Open-Source-Projekt beizutragen.

“Während unser Ziel war, die Sicherheit von Linux zu verbessern, verstehen wir jetzt, dass es verletzend für die Gemeinschaft war, sie zum Gegenstand unserer Forschung zu machen und ihre Bemühungen zu verschwenden, diese Patches ohne ihr Wissen oder ihre Erlaubnis zu überprüfen”, sagte Assistenzprofessor Kangjie Lu, zusammen mit den Doktoranden Qiushi Wu und Aditya Pakki, in einer E-Mail.

“Wir haben das getan, weil wir wussten, dass wir die Maintainer von Linux nicht um Erlaubnis bitten konnten, oder sie würden nach den scheinheiligen Patches Ausschau halten”, fügten sie hinzu.

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Die Entschuldigung kommt über eine Studie über sogenannte “Heuchler-Commits”, die Anfang Februar dieses Jahres veröffentlicht wurde. Das Projekt zielte darauf ab, im Namen der Sicherheitsforschung absichtlich Use-after-free-Schwachstellen zum Linux-Kernel hinzuzufügen, offenbar in dem Versuch, aufzuzeigen, wie sich potentiell bösartiger Code am Genehmigungsprozess vorbeischleichen könnte, und als Konsequenz Wege zur Verbesserung der Sicherheit des Patching-Prozesses vorzuschlagen.

In einem Klarstellungsdokument, das am 15. Dezember 2020 geteilt wurde, sagten die Forscher, dass die Forschungsethikkommission der Universität die Studie überprüft und festgestellt hat, dass es sich nicht um Forschung am Menschen handelt.

Während die Forscher behaupteten, “wir haben keinen Fehler oder eine Schwachstelle in OSS eingeführt oder beabsichtigt, sie einzuführen”, führte die Tatsache, dass Beweise für das Gegenteil auftauchten – was impliziert, dass die Forschung ohne angemessene Aufsicht durchgeführt wurde – und die Sicherheit des Kernels gefährdete, zu einem einseitigen Verbot von Code-Einreichungen von jedem, der eine “umn.edu” -E-Mail-Adresse verwendet, zusätzlich zur Ungültigmachung aller von den Forschern der Universität eingereichten früheren Codes.

“Unsere Community schätzt es nicht, wenn man mit ihr experimentiert und sie ‘testet’, indem man bekannte Patches einreicht, die (sic) entweder absichtlich nichts tun oder absichtlich Fehler einführen”, sagte Linux-Kernel-Maintainer Greg Kroah-Hartman in einem der Austausche letzte Woche.

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Nach dem Vorfall sagte das Department of Computer Science and Engineering der Universität, dass es den Vorfall untersucht und fügte hinzu, dass es die “Forschungsmethode und den Prozess, durch den diese Forschungsmethode genehmigt wurde, untersucht, um angemessene Abhilfemaßnahmen zu bestimmen und sich gegen zukünftige Probleme zu schützen.”

“Das ist schlimmer als nur ein Experiment; das ist so, als würde man als ‘Sicherheitsforscher’ in einen Lebensmittelladen gehen und die Bremsleitungen aller Autos durchschneiden, um zu sehen, wie viele Leute beim Verlassen des Ladens einen Unfall bauen. Enorm unethisch,” getwittert Jered Floyd.

In der Zwischenzeit wird erwartet, dass alle Patches, die von den Forschern und Dozenten der Universität für die Codebasis eingereicht wurden, zurückgenommen und erneut überprüft werden, um zu überprüfen, ob es sich um gültige Korrekturen handelt.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com