Een Amerikaanse universiteit heeft het onderzoek gestaakt waarbij werd gekeken naar de mogelijkheid om opzettelijk kwetsbare patches aan de Linux-kernel toe te voegen. Tevens stelt de University of Minnesota (UMN) een onderzoek in naar de gebruikte onderzoeksmethode en het proces dat ervoor zorgde dat het onderzoek werd goedgekeurd.

Greg Kroah-Hartman, een ontwikkelaar van de Linux-kernel, maakte gisteren bekend dat de University of Minnesota niet meer mag bijdragen aan het Linux-project. Aanleiding is het onderzoek waarbij patches voor de Linux-kernel werden ingediend die volgens Kroah-Hartman opzettelijk van kwetsbaarheden waren voorzien, om zo te kijken hoe de Linux-gemeenschap hierop reageerde.

Vorig jaar november publiceerden de onderzoekers hun onderzoek genaamd "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits" waarin ze lieten zien hoe een aanvaller via kleine patches kwetsbaarheden aan opensourceprojecten zou kunnen toevoegen (pdf). Het onderzoek zorgde voor de nodige ophef, waarop de onderzoekers lieten weten dat geen van de ingediende patches aan de Linux-kernel is toegevoegd (pdf).

Met hun onderzoek wilden ze naar eigen zeggen de veiligheid van de Linux-kernel juist verbeteren. Daarbij werd gekeken hoe haalbaar het is voor een aanvaller om patches in te dienen die bewust aangebrachte kwetsbaarheden bevatten. "Dit experiment is op veilige wijze uitgevoerd. We hebben geen kwetsbaarheden in de Linux-kernel geïntroduceerd en waren dit ook niet van plan. Alle patches met kwetsbaarheden bleven beperkt tot e-mailuitwisselingen, zonder dat ze aan een Linux-branch zijn toegevoegd."

Kroah-Hartman stelt dat de onderzoekers onlangs opnieuw opzettelijk incorrecte patches hebben ingediend. Aanleiding voor de Linux-ontwikkelaar om de volledige universiteit te verbannen van het indienden van nieuwe Linux-patches en alle ingediende patches terug te draaien. "Onze gemeenschap is geen proefkonijn en houdt er niet van om "getest" te worden door patches in te dienen die niets doen of opzettelijk bugs bevatten."

Volgens beveiligingsexpert Robert Graham is het onderzoek naar malafide patches juist nuttig voor de gemeenschap, maar zijn er wel vragen over hoe ethisch het onderzoek is. Naar aanleiding van de ban en ophef in de media is de universiteit zelf ook met een verklaring op Twitter gekomen. Daarin laat het weten dat het onderzoek is gestaakt en er een onderzoek wordt uitgevoerd naar de gebruikte onderzoeksmethode en het goedkeuringsproces. Indien nodig zal de universiteit het beleid aanpassen.