Le scuse non bastano, la pace tra l’Università del Minnesota e Linux passa da azioni ben precise
Scuse non accettate, almeno per ora. Il caso che ha investito il mondo Linux negli ultimi giorni, legato ai commit ipocriti inviati da tre ricercatori dell’Università del Minnesota (UMN), continua a far discutere. Come scritto in precedenza, i ricercatori dell’ateneo hanno inviato delle patch con vulnerabilità e/o prive di valore per l’integrazione nel kernel allo scopo di verificare, a fini di studio, la risposta da parte dei manutentori. Il tutto, ovviamente, all’insaputa della comunità con il rischio che nel kernel finisse del codice potenzialmente pericoloso.
Per il loro studio i tre ricercatori hanno individuato nel kernel Linux dei bug a bassa priorità facili da risolvere e hanno realizzato quelle che, in estrema sintesi, possiamo definire delle patch incomplete, creando delle “vulnerabilità immature”, ossia potenziali problemi privi di una condizione per diventare reali. Così facendo hanno però elevato la pericolosità dei bug, al solo scopo di capire se sarebbero stati rilevati dai manutentori oppure no.
Quando questi ultimi hanno rilevato le criticità, i ricercatori hanno offerto delle patch complete e corrette per i problemi introdotti e questo ha sollevato le ire di chi si prende cura quotidianamente del prezioso kernel, in quanto non solo i ricercatori hanno messo a rischio la sicurezza del progetto, ma soprattutto hanno fatto perdere ai manutentori del tempo prezioso, rendendoli peraltro oggetti di studio, come fossero delle cavie.
Così si è arrivati alla decisione da parte del capo dei manutentori Greg Kroah-Hartman di rimuovere tutti i commit precedentemente inviati dall’Università e di bannare l’ateneo da eventuali contributi futuri. Dopo l’esplosione del dibattito nella comunità sulla vicenda, nelle scorse ore sono arrivate le scuse da parte dei ricercatori con una lettera aperta in cui provano a ricucire il rapporto con il mondo Linux e dove ammettono di aver compiuto diverse leggerezze, ma non in malafede.
Greg Kroah-Hartman non è apparso molto impressionato dall’ammissione di colpe. “Come sapete, la Linux Foundation e il Technical Advisory Board della Linux Foundation hanno inviato venerdì una lettera alla vostra Università delineando le azioni specifiche che devono essere svolte affinché il vostro gruppo e la vostra Università riguadagnino la fiducia della comunità del kernel Linux. Fino a quando queste azioni non saranno intraprese, non abbiamo altro da discutere su questo problema”.
Zdnet ha ottenuto una copia della missiva. Mike Dolan, vicepresidente senior e direttore generale dei progetti della Linux Foundation, punta il dito sul processo di revisione dell’esperimento e sulla sua approvazione postuma, ma soprattutto ritiene non eticamente corretto fare ricerca sulle persone, in questo caso i manutentori.
“Incoraggiamo e accogliamo con favore la ricerca per migliorare la sicurezza e i suoi processi di revisione. Lo sviluppo del kernel Linux segue dei passaggi per rivedere il codice per prevenire difetti. Tuttavia, riteniamo che gli esperimenti sulle persone senza il loro consenso non siano etici e probabilmente implichino molte questioni legali. Le persone sono parte integrante del processo di revisione e sviluppo del software. Gli sviluppatori del kernel Linux non sono soggetti di test e non devono essere trattati come tali“.
Secondo Dolan, lo studio ha anche “sprecato il loro prezioso tempo e messo a rischio i miliardi di persone in tutto il mondo che dipendono dai loro risultati. […] Le conseguenze sono anche amplificate perché le modifiche al kernel di Linux vengono recepite da molti altri progetti a valle che si basano sul suo codice di base”.
La Linux Foundation chiede quindi di “fornire al pubblico, in modo rapido, tutte le informazioni necessarie per identificare tutte le proposte di codice vulnerabile noto, legato a qualsiasi esperimento dell’UMN. Le informazioni dovrebbero includere il nome di ogni software a cui sono destinate, le informazioni sui commit, il presunto nome del proponente, indirizzo email, data/ora, oggetto e/o codice, in modo che tutti gli sviluppatori possano identificare rapidamente tali proposte e potenzialmente intraprendere azioni correttive per tali esperimenti”.
Dolan ha concluso chiedendo che il documento fosse ritirato “dalla pubblicazione formale e dalla presentazione”, in quanto si tratta di un lavoro in cui delle persone sono state oggetto di sperimentazione “senza il loro previo consenso. Lasciare le informazioni su Internet va bene, poiché sono per lo più già pubbliche, ma non dovrebbero esserci crediti di ricerca per un tale lavoro”.
Fonte: http://feeds.hwupgrade.it/