Naukowcy celowo wprowadzili wadliwy kod do Linuksa - w imię nauki!

Dwóch doktorantów z University of Minnesota celowo wprowadziło do kernela Linuksa wadliwy kod w postaci popsutych łatek - i to kilka razy. To nie spodobało się developerom pracującym nad kernelem i cały Uniwersytet Minnesoty dostał zakaz wysyłania poprawek do Linuksa.

Cała sytuacja polegała na tym, że naukowcy prowadzili badania do swojej pracy pt. "On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits" i podjęli próbę umieszczenia w kernelu luki typu Use-After-Free (UAF), a problemy, które by się potencjalnie pojawiły w kernelu, posłużyłyby jako materiał naukowy. Ponieważ prób wprowadzenia wadliwego kodu było więcej, niż jedna, do sprawy włączyli się najbardziej poważani i doświadczeni developerzy pracujący nad Linuksem, czyli Greg Kroah-Hartman i Leon Romanovsky.

Społeczność Linuksa odebrała to również jako atak na nich samych - przeprowadzanie takich testów jest generalnie OK, ale wypadałoby poinformować o tym wcześniej zainteresowanych. A w przypadku dwóch badaczy było zupełnie na odwrót - nie tylko dołożyli oni maintainerom roboty, ale wprowadzili do kernela wadliwy kod bez wiedzy zainteresowanych.

Greg Kroah-Hartman włączył się do sprawy, gdy starano się dokonać drugiego “ataku”.

W prawym narożniku: Greg Kroah-Hartman i Leon Romanovsky

Kroah-Hartman napisał następującego tweeta na temat całej tej sprawy:

Kroah-Hartman ponownie poprosił doktorantów o zaprzestanie wysyłania wadliwych łatek, tym razem na liście mailingowej Linuksa. Powiedział on po prostu, że takie działania nie są OK i że będzie trzeba dać znać Uniwersytetowi o działaniach studentów. 

Do dyskusji włączył się również Leon Romanovsky, starszy developer kernela Linuksa, i powiedział, że takie działania są nie na miejscu w społeczności open source, a zwłaszcza, jeśli chodzi o Linuksa - bo dużą rolę odgrywa tutaj zaufanie między developerami. Romanovsky dodaje też, że celowe wprowadzanie złośliwego oprogramowanie jest mocno nieetyczne.  

Do dyskusji dołączył też Jered Floyd z Red Hat Technology i powiedział, że takie coś to nie są zwykłe eksperymenty - to jak pójść do sklepu i poucinać linki hamulcowe wszystkich zaparkowanych samochodów, aby sprawdzić, ilu ludzi będzie rzeczywiście miało wypadek. 

W lewym narożniku: Aditya Pakki

Może się wydawać, że tyle wystarczy, aby uświadomić sprawcom całego zamieszania, że postępują niewłaściwie i mieć problem z głowy. Aditya Pakki, jeden z badaczy, poprosił jednak Grega Kroah-Hartmana, aby ten przestał ich o cokolwiek oskarżać, bo cała ta sytuacja już prawie wyczerpuje znamiona zniesławienia. 

Pakki powiedział również, że łatki pochodzą z nowego statycznego analizatora, który sam stworzył, i dodał, że nie będzie już nic wprowadzał, bo atmosfera jest nieprzyjazna i nie sprzyja tym, którzy nie są ekspertami. 

Yhm.

Miarka się przebrała

Dwójka badaczy-developerów nie będzie już raczej miała prawa wstępu do Linuksa, ponieważ Greg Kroah-Hartman dał totalnego bana nie tylko im, ale całemu University of Minnesota - nikt z instytucji naukowej nie raczył powstrzymać dwójki studentów po pierwszych ostrzeżeniach. Oto co Kroah-Hartman napisał na liście mailingowej Linuksa:

“Jestem zmuszony zabronić wprowadzania jakichkolwiek zmian w kernelu naukowcom z University of Minnesota i usunąć każdą poprzednią zmianę, którą wprowadzili. Zmiany, które zostały wprowadzone, były podszyte złymi intencjami i miały na celu sprawienie problemów”

Społeczność Linuksa popiera Grega Kroah-Hartmana. Co więcej, po czymś takim nikt nie będzie chciał z nimi pracować w całym środowisku open-source.