Universitet stängs av från att bidra till Linux

Syftet är troligen gott, att tvinga fram rutiner för att granska kod mot illvilliga försök, men man borde inte ha gjort det utan att meddela saken innan. Och att ha fått godkänt. Samt ett tidsfönster för testet.

Problemet blir ju att då blir inte testet lika verkligt.
T.ex. om du jobbar som säkerhetsexpert och har i uppdrag att testa it säkerhet på ett bolag, så blir ju inte testet direkt bra om it personalen på det bolaget blir informerade om att du kommer försöka "bryta dig in" klockan 09:00 onsdag morgon å de då sitter vaksamma och samtidigt har slängt in senaste säkerhetsupdateringar några timmar innan.

Edit: Jag menade förstås inte att man bara helt ovetandes av kunden ska försöka bryta sig in, det är ju så klart olagligt och i det här fallet jäkligt dumt att medvetet introducera buggar i koden för att skriva ett arbete om det om ingen där visste om det. Trodde det framgick av min ursprungliga post att man fick uppdrag av kunden att testa säkerheten (i mitt exempel) utan att t.ex. itpersonalen var informerad.

Tycker det är helt rätt med en avstägning, inget säger ju att den inte kan bli hävd framöver. Denna typ av forskning kanske i botten är god men kan också potentiellt skada.

Jag har inget bra förslag på hur man skulle kunna genomföra denna typ av forskning på ett bättre sätt, men så är ju inte jag heller en linux kernel utvecklare så min insyn i hur de arbetar är obefintlig.

Kan vi vänta oss en "University of Minnesota - fuck you!" av Linux Linus?

Vem sa att säkerhetsexperten behöver veta det? Det räcker med att de "högst upp" känner till detta, så att de inte bannar universitetet.....

Fast den där jämförelsen är helt fel. I scenariot du beskriver har någon beställt ett penetrationstest, dvs, minst en eller flera är medvetna om situationen. Testarna har fått tillåtelse att utföra handlingen under en given tidsram, och har bevis på detta. Annars är det ett brott; intrång.

Universitetet borde talat med en eller flera ansvariga och fått godkännande att utföra testet under en given tidsram, och fört noggran kommunikation om vad de lyckats få in i kodbasen för att sedan reverta patcherna. Nu vet man inte vart koden kan ha spridit sig, till vilken distro, vilka forks, osv. Väldigt dåligt skött.

Man kanske skulle göra en vetenskaplig studie hur säkerhetstjänsten hanterar hot mot rikets säkerhet... Låter som ett rimligt forskningsprojekt

Helt korrekt! Man måste dubbelkolla med IT innan man börjar med sånt här. Det sker i en produktionsmiljö och man kan allvarligt störa ut affärskritiska system vilket aldrig är ok. Hela syftet är ju att hindra systemen från att gå ner, inte orsaka dem

Hela IT kan t.ex. sitta med en incident, och då är det inte läge för pen-tester. Så hör med en ansvarig på IT att det är OK att börja, sen kör man sin testsvit (som tidigare nämnts bör vara tidsbestämd).

En annan orsak att berätta innan är att IT ofta kallar in konsulter vid misstänkt intrång. Snordyra konsulter! Detta är inget man vill göra i en övning.

Kanske passar approachen till små 10-manna företag, men till multimiljardföretag så skulle "testarna" fått sparken, riktigt hårt.

Man får sätta upp en egen test verksamhet som man kör experiment mot. Båda ledningar måste ha vetskap om man ska göra något liknande skarpt.

Nej. De hade behövt prata med någon kerneldev först och få tillstånd att göra studien. Full förståelse för att GKH är irriterad och det är med all rätt han säger ifrån.

Helt oetiskt utförd forskning. Antingen så skulle de informera och få godkännande av någon (standard inom pentest) eller kolla på historisk data.
De har bara lämnat all skit efter sig till Linux utvecklarna att städa upp. Förståeligt beslut att dra ut alla deras commits och sedan porta dem, för allting det universitet har bidragit med har varit involverat i detta projektet.
Rätt tydligt att de bara eftersträvade en forskningsartikel som refereras så mycket som möjligt.

Hoppas forskarna blir granskade av ett etikråd.

Undrar om någon på Apple fått lovbord om han testat skadlig kod i MacOS eller vice versa på Microsoft.

Nu kanske de har rutiner för att stoppa att det händer men förmodligen hade det renderat ett fotavtryck i rumpan och i värsta fall en stämning på rätt många dollars.

Tydligen inte första gången de bidraget med tvivelaktig kod:

Man borde vänta tills man inte är nybörjare längre innan man commitar till ett sådant projekt.

Väldigt oprofessionellt, vad är det för jönsar som inte har koll på grundläggande forskningsetik?!

Säger mig snarare att det är mycket pålitligt eftersom felen upptäcktes och korrigerades innan de kom i bruk. Irriterande för utvecklare att reparera medvetna sabotage speciellt om de inte upptäcktes direkt så förstår deras ilska.

Se till att de som var med i detta aldrig får ett it relaterat jobb i framtiden.
De saknar moral och konsekvenstänk.