L’Università del Minnesota ha inviato di proposito patch buggate per il Kernel Linux… per la scienza

La questione del “quanto ci si può spingere avanti nel nome della scienza e della ricerca” è una domanda che si fanno in molti, in tutti i campi.

Questa volta è capitato al Kernel Linux che si è ritrovato ad essere cavia per alcuni “giovani brillanti” dell’Università del Minnesota che hanno poi pubblicato la ricerca, ammettendo di fatto di aver “sabotato” di proposito il Kernel Linux, in nome della scienza. Ovviamente.

I ricercatori hanno introdotto di nascosto delle vulnerabilità Use-After-Free – un bug relativo all’utilizzo errato della memoria dinamica durante l’esecuzione di un programma; dopo aver liberato la memoria, il programma non cancella il pointer verso quell’indirizzo che diventa utilizzabile per eventuali attacchi quali corruzione dati, crash o esecuzione arbitraria di codice.

Fin qui, potrebbe anche essere uno studio interessante ed anche eticamente accettabile… ma sul Kernel di “casa tua”.

Invece hanno ben pensato di usare tutta la community presentandosi come maintainers ed inviando diverse patch chiaramente malevole.

C’è stato un (imbarazzante) scambio di comunicazioni tra uno degli studenti e Greg Kroah-Hartman a tal proposito, in cui tale Aditya Pakki chiede a Kroah-Hartman, con toni discutibili, di smettere di attaccarli, che quelli erano errori legittimi, da inesperti, e che la colpa era anche di un non meglio identificato “static analyzer”.

Ed in conclusione:

I will not be sending any more patches due to the attitude that is not only unwelcome but also intimidating to newbies and non experts.

Non invierò più patch per l’atteggiamento non solo poco gradito ma anche intimidatorio nei confronti dei neofiti e dei meno esperti.

A questo punto immaginiamo che Kroah-Hartman abbia sfoderato tutte le sue nozioni di training autogeno prima di scrivere una risposta, in sintesi questa (ma che potete leggere per intero sulla LKML):

You, and your group, have publicly admitted to sending known-buggy patches to see how the kernel community would react to them, and published a paper based on that work.

Now you submit a new series of obviously-incorrect patches again, so what am I supposed to think of such a thing?

Our community welcomes developers who wish to help and enhance Linux. That is NOT what you are attempting to do here, so please do not try to frame it that way.

Because of this, I will now have to ban all future contributions from your University and rip out your previous contributions, as they were obviously submitted in bad-faith with the intent to cause problems.

Tu ed il tuo gruppo avete ammesso pubblicamente di aver inviato di proposito patch buggate per vedere come la community che lavora sul Kernel avrebbe reagito, e pubblicato uno studio a riguardo.
Adesso state inviando una serie di patch chiaramente non corrette, dunque cosa dovrei pensare di questa cosa?
La nostra community accoglie gli sviluppatoru che desiderano aiutare e migliorare Linux. Non è quello che state cercando di fare qui, dunque per favore non provare a metterla così.
A causa di questo, adesso mi trovo costretto ad impedire qualsiasi contributo futuro proveniente dalla vostra Università ed a rimuovere tutti i contributi precedenti visto che sono stati chiaramente inviati con l’intento di causare problemi.

La cosa sembra avere fatto non poco rumore, sia tra le fila della community, sia in Università, che a seguito della vicenda ha rilasciato un comunicato:

E tutto questo sarebbe per amore della ricerca?

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un'opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l'ho scritto io.

Tags: , , ,