Decir que los desarrolladores del kernel de Linux están furiosos con dos estudiantes graduados de la Universidad de Minnesota (UMN) bromeando sobre la inserción de vulnerabilidades de seguridad en el kernel de Linux con el propósito de un artículo de investigación «Sobre la viabilidad de introducir sigilosamente vulnerabilidades en el software de código abierto a través de compromisos hipócritas«es una gran subestimación.

Greg Kroah-Hartman, el mantenedor del kernel de Linux para la rama estable y conocido por ser el mantenedor del kernel de Linux más generoso y tolerante, explotó y prohibió a los desarrolladores de UMN trabajar en el kernel de Linux. Eso es porque sus parches fueron «obviamente enviados de mala fe con la intención de causar problemas».

Los investigadores, Qiushi Wu y Aditya Pakki, y su asesor de posgrado, Kangjie Lu, profesor asistente en el Departamento de Ingeniería y Ciencias de la Computación de la UMN en UMN luego se disculpó por sus errores en el kernel de Linux.

Esto no es suficiente. Los desarrolladores del kernel de Linux y el Junta Asesora Técnica de la Fundación Linux a través de Fundación Linux Le pidieron a UMN que tomara acciones específicas antes de que su gente pudiera contribuir nuevamente a Linux. Ahora sabemos cuáles son esas demandas.

La carta, de Mike Dolan, vicepresidente senior y gerente general de proyectos de la Fundación Linux, comienza:

Nos ha llamado la atención que algunos investigadores de la Universidad de Minnesota (U of MN) parecen haber experimentado con personas, específicamente desarrolladores de kernel de Linux, sin el conocimiento o consentimiento previo de los desarrolladores. Esto se hizo proponiendo un código vulnerable conocido en el kernel de Linux ampliamente utilizado como parte del trabajo «Sobre la viabilidad de introducir sigilosamente vulnerabilidades en el software de código abierto a través de compromisos hipócritas»; también pueden estar involucrados otros roles y proyectos. Parece que estos Los experimentos se llevaron a cabo sin revisión previa o aprobación por parte de una Junta de Revisión Institucional. (IRB), que no es aceptable, y una revisión posterior por parte del IRB aprobó esta experimentación en aquellos que no dieron su consentimiento.

Esto es verdad. Wu y Lu abrieron su nota al IRB de la UMN declarando: «Recientemente terminamos de trabajar en el estudio del proceso de parcheo de OSS». Solo pidieron permiso al IRB después de compartir el resumen del artículo en Twitter. Luego, tras admitir que la publicación del resumen había provocado «una acalorada discusión y resistencia», retiraron el resumen y se disculparon con el IRB por causar «mucha confusión y malentendidos».

Aunque el IRB parece haber aprobado esta investigación después del hecho, la comunidad del kernel de Linux no se ha mantenido al tanto. Los investigadores dicen que hablaron con personas de la comunidad de Linux, pero nunca fueron identificados. En consecuencia, la reacción de Kroah-Hartman cuando, nuevamente, se le presentaron «parches sin sentido», excepto para pensar que era más un intento de perder el tiempo de los mantenedores del kernel de Linux «al continuar experimentando con los desarrolladores de la comunidad Linux. núcleo «.

Dolan continuó:

Alentamos y agradecemos la investigación para mejorar la seguridad y los procesos de revisión de la seguridad. El proceso de desarrollo del kernel de Linux toma medidas para revisar el código y evitar defectos. Sin embargo, creemos que los experimentos con personas sin su consentimiento no son éticos y es probable que involucren muchos problemas legales. Las personas son una parte integral del proceso de revisión y desarrollo de software. Los desarrolladores del kernel de Linux no se prueban y no deben tratarse como tales.

Éste es un punto importante. Los investigadores primero declaran en sus preguntas frecuentes del IRB que: «Esto no se considera investigación en humanos. Este proyecto estudia algunos problemas con el proceso de parcheo en lugar del comportamiento individual, y no recopilamos ninguna información personal».

En el siguiente párrafo, sin embargo, los investigadores de la UMN se alejan de esa afirmación.

«A lo largo del estudio, honestamente, no pensamos que fuera una investigación en humanos, por lo que no solicitamos la aprobación del IRB al principio. Nos disculpamos por las preocupaciones planteadas. Esta es una lección importante que aprendimos: no confiamos en nosotros mismos. para determinar la investigación en humanos. Siempre consulte al IRB siempre que un estudio involucre a seres humanos de alguna manera «.

Dolan continuó:

También desperdició un tiempo valioso y puso en riesgo a miles de millones de personas en todo el mundo que dependen de sus resultados. Aunque los investigadores de la U of MN dijeron que tomaron medidas para evitar la inclusión de vulnerabilidades en el software final, su fracaso en obtener el consentimiento sugiere una falta de atención. También hay consecuencias extendidas porque los cambios en el kernel de Linux son recogidos por muchos otros proyectos posteriores que se crean a partir de la base del código del kernel.

Así que llegamos al meollo del asunto. Mientras Dolan dijo el La disculpa de los investigadores de la UMN fue prometedora, la comunidad Linux necesita más. O, como Kroah-Harman declarado sin rodeos:

Como saben, la Fundación Linux y el Consejo Asesor Técnico de la Fundación Linux enviaron una carta a su Universidad el viernes describiendo las acciones específicas que deben llevarse a cabo para que su grupo y su Universidad puedan trabajar para recuperar la confianza de la comunidad del kernel. Linux .

Hasta que se tomen estas acciones, no tenemos nada más que discutir sobre este tema.

Estas «solicitudes» son:

Proporcione rápidamente al público toda la información necesaria para identificar todas las propuestas de códigos vulnerables conocidas de cualquier experimento de la U de MN. La información debe incluir el nombre de cada software objetivo, información de confirmación, supuesto nombre del postor, dirección de correo electrónico, fecha / hora, asunto y / o código, para que todos los desarrolladores de software puedan identificar rápidamente dichas propuestas y potencialmente tomar medidas correctivas para tales experimentos.

Encontrar todo este código es un problema real. Desarrollador senior de kernel de Linux, Al Viro, quien descubrió el parche falso del 1 de abril, observado: «La falta de datos es parte de lo que hace que todo esté desproporcionado, ya sea que se hayan molestado en adjuntar la lista SHA1 (o un enlace a ella) de las confirmaciones que surgieron de su experimento o, mejor aún, si mantuvieron y proporcionaron la lista de identificadores de mensajes para todos los envíos, ya sean exitosos o no, esta confusión con solicitudes de reversión, etc., habría sido mucho menor (si sucediera) «.

Tal como están las cosas, los desarrolladores y confirmadores de Linux ahora están dedicando tiempo a revisar varios cientos de parches del kernel de UMN Linux. No les hace gracia.

Dolan pidió que el artículo se elimine «de la publicación formal y la presentación formal de todos los artículos de investigación basados ​​en esta o en una investigación similar en la que las personas parecen haber experimentado sin su consentimiento previo. Dejar información de archivo publicada en Internet es bueno, porque la mayoría de ya son públicos, pero no debería haber crédito de investigación para tales trabajos «.

Gracias a las preguntas frecuentes del artículo, ya sabemos que ha sido aceptado para su publicación por Simposio IEEE sobre seguridad y privacidad (IEEE S&P) 2021. Este es un foro importante para investigadores de seguridad informática. La reunión virtual 2021 tendrá lugar en breve entre el 23 y el 27 de mayo. La UMN aún no ha dicho si se retirará.

Dolan presionó para asegurarse de que el IRB revisara más experimentos de UMN en personas antes de que comenzara el experimento.

«Asegurar que todas las revisiones futuras del IRB de los experimentos propuestos en personas garanticen normalmente el consentimiento de los que están siendo evaluados, de acuerdo con las reglas y leyes de investigación habituales», dijo.

Por el momento, UMN no ha respondido a nuestra solicitud de información sobre lo que planea hacer la escuela.

El propósito de todo esto, dijo Dolan, es «eliminar todo daño potencial y percibido de estas actividades, eliminar cualquier beneficio percibido de tales actividades y prevenir su recurrencia. Esperamos ver contribuciones productivas y apropiadas de código abierto en el futuro». de tus alumnos y profesores., como vimos en años anteriores en tu institución «.

La Fundación Linux quiere que la escuela responda a estas solicitudes lo más rápido posible. Los mantenedores de Linux también quieren saber qué pasa con los parches UMN, para poder encontrar qué hacer. Preferirían trabajar para mejorar Linux que perseguir posibles errores sembrados deliberadamente.

Hasta ahora, no han encontrado ninguno. Pero cuando estás a cargo de mantener el sistema operativo más importante del planeta, es mejor prevenir que curar.

Historias relacionadas: