Decir que los desarrolladores del kernel de Linux están enojados con un par de estudiantes graduados de la UMN que juegan insertando vulnerabilidades en el kernel de Linux con el propósito de un trabajo de investigación.Sobre la viabilidad de introducir sigilosamente vulnerabilidades en el software de código abierto a través de Hypocrite Commits“Es una subestimación total.
Greg Kroah-Hartman, supervisor de mantenimiento del kernel de Linux para la rama estable y conocido por ser el administrador de mantenimiento del kernel de Linux más generoso y sencillo, explotó y Se impidió que los desarrolladores de UMN se ejecutaran en el kernel de Linux. Esto se debe a que sus parches «se presentaron claramente de mala fe con la intención de causar problemas».
Investigadores, Qiushi Wu y Aditya Pakki, y su asesor de posgrado, Kangjie Lu, profesor asistente en el Departamento de Ciencias de la Computación e Ingeniería de la UMN UMN luego se disculpó por los errores fatales del kernel de Linux.
esto no es suficiente. Desarrolladores de kernel de Linux, Junta Asesora Técnica de la Fundación Linux A través de Fundación Linux Pidió a UMN que tomara acciones específicas antes de permitir que sus empleados contribuyan nuevamente a Linux. Ahora sabemos cuáles son estas demandas.
El mensaje, de Mike Dolan, vicepresidente senior de Linux Foundation y director general de proyectos, comienza:
Hemos aprendido que algunos investigadores de la U of MN parecen estar experimentando con personas, en particular con los desarrolladores del kernel de Linux, sin el conocimiento previo o el consentimiento de estos desarrolladores. Esto se hizo proponiendo un código débil conocido en el kernel de Linux ampliamente utilizado como parte del trabajo «sobre la viabilidad de introducir vulnerabilidades subrepticiamente en software de código abierto a través de Hypocrite Commits»; También pueden estar involucrados otros trabajos y proyectos. Estos parecen Los ensayos se realizaron sin revisión ni aprobación previa de una junta de revisión institucional. (IRB), lo cual es inaceptable, y la revisión posterior a los hechos del IRB estuvo de acuerdo con este ensayo de aquellos que no estuvieron de acuerdo.
Es verdad. Wu y Lu abrieron su memorando al IRB de la UMN diciendo: «Recientemente terminamos un trabajo examinando el proceso de parcheo para OSS». Solo solicitaron permiso del IRB Después de que compartieran el resumen del trabajo de investigación en Twitter.. Luego, después de admitir que la publicación del resumen había causado «un acalorado debate y disensión», retiraron el resumen y se disculparon con el IRB por causar «mucha confusión y malentendidos».
Si bien el IRB parece haber aprobado esta investigación después del hecho, la comunidad del kernel de Linux no se ha mantenido al tanto. Los investigadores afirman haber hablado con personas de la comunidad Linux, pero nunca fueron identificados. Por lo tanto, Kroah-Hartman reaccionó, una vez más, con la introducción de «correcciones sin sentido» excepto por creer que era otro intento de perder el tiempo de los administradores del kernel de Linux al «continuar experimentando con los desarrolladores de la comunidad del kernel».
Dolan continuó:
Alentamos y agradecemos la investigación para mejorar la seguridad y las auditorías de seguridad. El proceso de desarrollo del kernel de Linux toma medidas para revisar el código y evitar fallas. Sin embargo, creemos que realizar experimentos en personas sin su consentimiento no es ético y conlleva muchos problemas legales. Las personas son una parte integral del proceso de revisión y desarrollo de software. Los desarrolladores del kernel de Linux no son sujetos de prueba y no deben ser tratados como tales.
Este es un punto importante. Primero, los investigadores afirman en las preguntas frecuentes del IRB que: «Esta no es una investigación en humanos. Este proyecto estudia algunos problemas relacionados con el proceso de parcheo en lugar de los comportamientos individuales, y no recopilamos ninguna información personal».
En el siguiente párrafo, los investigadores de la UMN se retractaron de esta afirmación.
«A lo largo del estudio, francamente no pensamos que se tratara de una investigación en humanos, por lo que al principio no solicitamos la aprobación del IRB. Nos disculpamos por las preocupaciones planteadas. Esta es una lección importante que aprendimos: no confíe en nosotros mismos para definir la investigación en humanos; Siempre consulte el IRB cuando incluya Estudiar a cualquiera de las personas de alguna manera «.
Dolan Gold:
Esto también ha desperdiciado su valioso tiempo y ha puesto en riesgo a miles de millones de personas en todo el mundo que confían en sus resultados. Si bien los investigadores de la U of MN afirmaron haber tomado medidas para evitar que las debilidades se incluyeran en el programa final, su fracaso en obtener la aprobación indica una falta de atención. También hay consecuencias infladas porque los cambios en el kernel de Linux son recogidos por muchos de los proyectos posteriores que construyen la base del código del kernel.
Luego llegamos al meollo del asunto. Mientras Dolan dijo La disculpa de los investigadores de la UMN fue prometedoraLa comunidad de Linux necesita más. O como Kroah-Harman Dijo con franqueza:
Como sabe, la Fundación Linux y la Junta Asesora Técnica de la Fundación Linux enviaron una carta el viernes a su universidad en la que se describen las acciones específicas que deben llevarse a cabo para que su grupo y su universidad puedan trabajar para restaurar la confianza de la comunidad del kernel de Linux.
Hasta que se tomen estas medidas, no tenemos nada más que discutir sobre este tema.
Estas «solicitudes» son:
Proporcione al público, de manera rápida, toda la información necesaria para identificar todas las propuestas de código en riesgo de cualquier ensayo de U of MN. La información debe incluir el nombre de cada programa objetivo, información de cumplimiento, nombre del presunto solicitante, dirección de correo electrónico, fecha / hora, asunto y / o código, para que todos los desarrolladores de software puedan identificar rápidamente estas propuestas y posiblemente tomar medidas correctivas para tales experimentos. .
Encuentra todo este código como un verdadero problema. El desarrollador del kernel de Linux, Al Viro, que descubrió el primer parche falso en abril, Indicado: «La falta de datos es parte de lo que hace que todo sea desproporcionado: si se molestan en adjuntar (o vincular) una lista de vínculos SHA1 que resultaron de su experiencia, o mejor aún, mantener y proporcionar la lista de ID de mensajes para todas las transmisiones, ya sean exitosas o no, este lío con solicitudes de devolución general y demás se habría vuelto mucho más pequeño (si es que alguna vez sucedió) ».
Tal como están las cosas, los desarrolladores y contratistas de Linux ahora están gastando tiempo para revisar varios cientos de parches del kernel de UMN Linux. No se están divirtiendo.
Dolan se ha movido para exigir que el artículo sea retirado de la publicación oficial y la presentación oficial. Todo trabajo de investigación basado en esta investigación o una investigación similar en la que parezca que las personas se han sometido a un experimento sin su consentimiento previo. Dejar la información de archivo publicada en línea es una buena idea. cosa, porque es en su mayoría realmente público, pero no debería haber crédito de investigación para tales trabajos «.
Gracias a las preguntas frecuentes del artículo, ya sabemos que ha sido aceptado para su publicación antes Seminario IEEE sobre seguridad y privacidad (IEEE S&P) 2021. Este es el foro principal para investigadores de seguridad informática. La reunión virtual para 2021 tendrá lugar próximamente entre el 23 y el 27 de mayo. La UMN aún tiene que decir si la retirará.
Se presionó a Dolan para que garantizara más ensayos de UMN para que la gente revisara el IRB antes de que comenzara el experimento.
«Asegurarse de que todas las revisiones futuras del IRB de los ensayos propuestos en sujetos garanticen naturalmente que aquellos que están siendo evaluados estén de acuerdo, de acuerdo con las normas y leyes de investigación habituales», dijo.
En este momento, UMN no respondió a nuestra solicitud de información sobre lo que planea hacer la escuela.
Dolan dijo que el objetivo de todo esto es «eliminar todas las posibilidades y la conciencia del daño causado por estas actividades, eliminar cualquier beneficio percibido de estas actividades y prevenir su recurrencia. Esperamos ver contribuciones productivas y adecuadas del código abierto». en el futuro de sus estudiantes y profesores como hemos visto. «En los años anteriores de su organización».
La Fundación Linux quiere que la escuela responda a estas solicitudes lo más rápido posible. Los administradores de Linux también quieren saber qué pasa con los parches UMN, para poder encontrar el camino a seguir. Prefieren trabajar en la optimización de Linux que en la búsqueda deliberada de errores categorizados.
Hasta ahora no han encontrado nada. Pero cuando eres responsable de mantener el sistema operativo más importante del planeta, es mejor prevenir que curar.
Historias relacionadas:
«Adicto a la música. Gurú del café. Especialista en zombis. Defensor de las redes sociales. Introvertido. Aficionado extremo a la comida. Evangelista del alcohol».