Toda la Universidad de Minnesota ha sido baneada del desarrollo de Linux por el trabajo de solo dos de sus investigadores. El estudiante de doctorado Qiushi Wu y el profesor asistente Kangjie Lu, estuvieron enviando parches maliciosos al kernel como parte de su propia investigación.
Los investigadores publicaron un paper titulado "Sobre la viabilidad de introducir sigilosamente vulnerabilidades en el software de código abierto mediante cambios hipócritas", en el que explican que cómo Linux es uno de los ejemplos más prominentes de software open source, es especialmente susceptible porque "cualquiera puede colaborar enviando pequeños parches maliciosos" que introduzcan vulnerabilidades.
Los desarrolladores de Linux no tienen tiempo para sus experimentos
Los que estos investigadores estaban tratando de hacer no es inusual, lo que es inusual es que no se le informara a nadie dentro del proyecto que esto estaba pasando. Esta línea de investigación generó bastante descontento entre los desarrolladores que mantienen el kernel de Linux, y fue así como Greg Kroah-Hartman, encargado del mantenimiento de la rama estable del kernel y una de las figuras más respetadas en la comunidad, llegó al límite de lo que podía tolerar.
En las listas de correo de Linux, Kroah-Hartman advirtió varias veces a los miembros de la universidad que dejaran de enviar parches inválidos:
Por favor, deja de enviar parches que no son válidos. Tu profesor está jugando con el proceso de revisión para conseguir un paper de alguna manera extraña y estrafalaria.
Esto no está bien, es una pérdida de tiempo, y tendremos que informar de esto, OTRA VEZ, a su universidad...
Esto no bastó para que desistieran, y de hecho, respondieron a Greg diciendo que dejara de hacer "acusaciones salvajes que rozan la calumnia", añadiendo además que "su actitud no solo no era bienvenida sino que era intimidante para los novatos".
Para Kroah-Hartman esa fue la gota que derramó el vaso. El desarrollador decidió suspender todas las futuras colaboraciones provenientes de la universidad, y además eliminar todas las colaboraciones previas porque "fueron obviamente enviadas de mala fé y con la intención de causar problemas".
Linux kernel developers do not like being experimented on, we have enough real work to do: https://t.co/vWvtxjt7A5
— Greg K-H (@gregkh) April 21, 2021
Usted, y su grupo, han admitido públicamente que enviaron parches con errores conocidos para ver cómo reaccionaría la comunidad del kernel ante ellos y publicaron un artículo basado en ese trabajo.
Ahora vuelves a enviar una nueva serie de parches evidentemente incorrectos, ¿qué se supone que debo pensar de algo así?
Nuestra comunidad da la bienvenida a los desarrolladores que desean ayudar y mejorar Linux. Eso NO es lo que usted intenta hacer aquí, así que por favor no trate de enmarcarlo de esa manera.
Nuestra comunidad no aprecia que se experimente con ella, ni que se la "pruebe" enviando parches conocidos que no hacen nada a propósito o que introducen errores a propósito. Si deseas hacer un trabajo como este, te sugiero que busques otra comunidad para realizar tus experimentos, no eres bienvenido aquí.
La Universidad de Minnesota por su parte, respondió que se tomaban la situación de forma extremadamente seria y que suspenderían esa línea de investigación de forma inmediata. Dicen que investigarán el proceso mediante el cual ese método de investigación fue aprobado para tomar las medidas necesarias.
Aunque los desarrolladores afirman en su trabajo que ninguno de los parches que enviaron llegaron a el código de los repositorios de Linux, Leon Romanovsky, otro de los desarrolladores del kernel, explicó que tras mirar cuatro de los parches aceptados de uno de los investigadores, tres de ellos introdujeron varios "agujeros de seguridad". Más adelante, Sudip Mukherjee, desarrollador de Debian y del kernel, dijo que "muchos de ellos ya han llegado a los árboles estables".
La comunidad mayormente está del lado de Kroah-Hartman por la extremadamente dudosa ética del experimento. Jered Floyd, que forma parte del equipo de Red Hat, comentó en Twitter que lo que hicieron los investigadores "Es peor que simplemente experimentar; es como decir que eres un 'investigador de seguridad' yendo a un supermercado y cortando las líneas de los frenos de todos los coches para ver cuántas personas chocan cuando se van. Enormemente poco ético".
Ver todos los comentarios en https://www.genbeta.com
VER 22 Comentarios