<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Apr 25, 2021 at 11:32 AM D. Hugh Redelmeier via talk <<a href="mailto:talk@gtalug.org">talk@gtalug.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">| From: Aruna Hewapathirane via talk <<a href="mailto:talk@gtalug.org" target="_blank">talk@gtalug.org</a>><br>
<br>
Thanks for pointing this out.  (I used to subscribe to the LKML but it<br>
just got too voluminous.)<br></blockquote><div><br></div><div>Hello Hugh I never subscribed I just read it now and then :-)</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
| I am still trying to understand the reason 'why' would anyone even want to<br>
| do this ?<br>
<br>
The first question is "what, exactly, is 'this'?".<br>
<br>
I've ONLY read media reports and their recent apology.  So I'm not the<br>
most informed.<br>
<<a href="https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u" rel="noreferrer" target="_blank">https://lore.kernel.org/lkml/CAK8KejpUVLxmqp026JY7x5GzHU2YJLPU8SzTZUNXU2OXC70ZQQ@mail.gmail.com/T/#u</a>><br>
<br>
Some reactions.<br>
<br>
The apology starts with:<br>
<br>
  "We sincerely apologize for any harm our research group did to the<br>
   Linux kernel community."<br>
<br>
This common formulation rubs me the wrong way.  The word "any" means<br>
that they are not actually admitting to there being harm.  If they had used<br>
"the" or "all", I would interpret it as a genuine apology.<br>
<br>
Later they seem more contrite.  But it is buried at the end of a<br>
paragraph, near the end of the message><br>
<br>
  "We apologize unconditionally for what we now recognize was a breach of<br>
   the shared trust in the open source community and seek forgiveness for<br>
   our missteps."<br>
<br>
I think that they may have done the communities a service.  This kind<br>
of weakness injection has always been available to bad actors.  In<br>
this case, it was an actor intending to do good.<br>
<br>
- they don't think that they actually added a vulnerability<br>
<br>
- they demonstrated how adding a vulnerability could be done<br>
<br>
GKH appears to have over-reacted.  (I may be wrong: he's always seemed<br>
like a rock-steady guy.)<br>
<br>
He's reverting 190 commits that were not declared to be part of this<br>
experiment.  It is claimed, in the apology, that those ones were done<br>
in good faith.<br>
<br>
I do find it odd that the "research" was done last August but that the<br>
hoax was only revealed recently.<br>
<br>
Looking more closely at a claim in the apology message:<br>
<br>
* This work did not introduce vulnerabilities into the Linux code. The<br>
  three incorrect patches were discussed and stopped during exchanges in<br>
  a Linux message board, and never committed to the code. We reported<br>
  the findings and our conclusions (excluding the incorrect patches) of<br>
  the work to the Linux community before paper submission, collected<br>
  their feedback, and included them in the paper.<br>
<br>
What "message board"?  Do they mean the Linux Kernel Mailing List (not<br>
a message board)?<br>
<br>
What does "stopped" actually mean?  My understanding was that these<br>
changes were actually committed.  Perhaps I'm wrong.<br>
<br>
<br>
This is intriguing:<br>
<br>
* We understand the desire of the community to gain access to and<br>
  examine the three incorrect patches. Doing so would reveal the<br>
  identity of members of the community who responded to these patches on<br>
  the message board. Therefore, we are working to obtain their consent<br>
  before revealing these patches.<br>
<br>
So there *must* be more disclosure.  Until then, we cannot be<br>
satisfied.<br></blockquote><div><br></div><div>I think the best person who is 'qualified' to answer these questions would be Dhaval ?</div><div>As he has code in the kernel and is the current Software manager at Oracle.<br></div><div><br></div><div>Aruna ( Am thinking what have I started now ... )<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
---<br>
Post to this mailing list <a href="mailto:talk@gtalug.org" target="_blank">talk@gtalug.org</a><br>
Unsubscribe from this mailing list <a href="https://gtalug.org/mailman/listinfo/talk" rel="noreferrer" target="_blank">https://gtalug.org/mailman/listinfo/talk</a><br>
</blockquote></div></div>