Curioso lo que ha sucedido esta semana en el mundillo del desarrollo de Linux. La Universidad de Minnesota ha sido baneada del desarrollo de Linux por introducir vulnerabilidades a propósito. El motivo es un trabajo de investigación que estaban realizando Qiushi Wu (estudiante de doctorado) y Kangjie Lu (profesor asistente) sobre la viabilidad de introducir sigilosamente vulnerabilidades en software de código abierto. El paper se puede encontrar en GitHub.
Estos investigadores intentaron poner una vulnerabilidad de tipo Use-After-Free en el kernel de Linux, entre otros commits. Eso ha provocado que Greg Kroah-Hartman, uno de los desarrolladores más importantes del kernel y responsable del mantenimiento de la rama estable, haya decidido banear por completo a la Universidad de Minnesota del desarrollo de Linux, algo que la propia universidad ha confirmado.
"A los desarrolladores del kernel de Linux no les gusta que se experimente con ellos"
Linux kernel developers do not like being experimented on, we have enough real work to do: https://t.co/vWvtxjt7A5
— Greg K-H (@gregkh) April 21, 2021
Así de tajante ha sido Greg Kroah-Hartman, también conocido como Greg K-H, en su perfil de Twitter. En el correo enlazado en el tweet, Greg K-H explica que "se ha descubierto que los commits de las direcciones de @umn.edu [dirección de correo de la Universidad de Minnesota] han sido enviados de 'mala fe' para intentar poner a prueba la capacidad de la comunidad del kernel para revisar cambios "maliciosos conocidos".
"Debido a esto, todos los envíos de este grupo deben ser revertidos del árbol del kernel y tendrán que ser revisados de nuevo para determinar si realmente son una solución válida", sigue Greg K-H, que explica que aunque "este conjunto de parches tiene reversiones 'fáciles', hay 68 restantes que necesitan ser revisados manualmente". Concluye el desarrollador diciendo que:
"Llevaré esto a través de mi árbol, así que no es necesario que ningún mantenedor se preocupe, pero deben ser conscientes de que las futuras presentaciones de cualquier persona con una dirección umn.edu deben ser por defecto rechazadas a menos que se que se determine que realmente es una solución válida (es decir, que proporcionan la prueba y se puede verificar, pero realmente, ¿por qué perder el tiempo haciendo ese trabajo extra?)".
En este otro enlace a la Linux Kernel Mailing List podemos ver el intercambio de correos que el que Greg, respondiendo a un usuario del grupo que estaba enviando commits con vulnerabilidades, asegura que "tú, y tu grupo, habéis admitido públicamente el envío de parches con errores conocidos para ver cómo la comunidad del kernel reaccionaría a ellos, y publicado un artículo basado en ese trabajo".
"Unos pocos minutos con cualquier persona con la semblanza de conocimiento de C puede ver que tus envíos no hacen nada en absoluto, así que pensar que una herramienta los creó, y luego que tú pensaste que eran un "arreglo" válido es totalmente negligente por tu parte, no por la nuestra. Tú tienes la culpa, no es nuestro trabajo ser los sujetos de prueba de una herramienta que tú creas".
Finalmente, el desarrollador dice que la comunidad no aprecia que se experimente con ella y que se le ponga a prueba enviando parches conocidos que o bien no hacen nada o bien introducen errores a propósito. "Debido a esto, ahora tendré que prohibir todas las contribuciones futuras de tu universidad y eliminar tus contribuciones anteriores, ya que obviamente fueron presentadas de mala fe con la intención de causar problemas". En este enlace podemos ver uno de esos envíos con errores.
Aunque los investigadores de la Universidad de Minnesota dicen en su paper que ninguno de sus parches llegó a los repositorios de código de Linux, y que solo aparecieron en los emails, Leon Romanovsky, otro desarrollador del kernel, dice en este hilo que tuvo que revisar cuatro parches aceptados de Aditya Pakki (de la UMN) de los cuales tres añadieron varios agujeros de seguridad graves.
Leadership in the University of Minnesota Department of Computer Science & Engineering learned today about the details of research being conducted by one of its faculty members and graduate students into the security of the Linux Kernel. pic.twitter.com/QE9rrAyyMX
— UMNComputerScience (@UMNComputerSci) April 21, 2021
En lo que concierne a la propia Universidad de Minnesota, la propia entidad ha confirmado en un comunicado que, efectivamente, tienen prohibido contribuir al kernel de Linux y que "nos tomamos esta situación muy en serio". Afirman haber suspendido esta línea de investigación y dicen que investigarán el método seguido y el proceso mediante el cuál se aprobó para determinar "las medidas correctivas adecuadas".
Ver 60 comentarios