El equipo del kernel de Linux rechaza la disculpa de los investigadores de la Universidad de Minnesota

La semana pasada, el desarrollador jefe del kernel de Linux, Greg Kroah-Hartman Anunciar De forma predeterminada, se rechazarán todos los parches de Linux que provengan de la Universidad de Minnesota.

El cambio de política se produjo cuando tres investigadores de la Universidad de Minnesota, Qiushi Wu, Kangjie Lu y Aditya Pakki, se embarcaron en un programa para probar la resistencia de la comunidad de desarrolladores del kernel de Linux a lo que el grupo llamó «el compromiso del hipócrita».

Prueba de la comunidad del kernel de Linux

Triple Planificado Primero implicó encontrar tres errores fáciles de corregir y de baja prioridad en el kernel de Linux y luego corregirlos, pero corregirlos de una manera que complemente lo que los investigadores de la UMN llamaron una «vulnerabilidad inmadura»:

Usamos una herramienta de análisis estático para identificar tres «vulnerabilidades inmaduras» en Linux, por lo que descubrimos tres errores menores verdaderos que deberían corregirse. Las ‘vulnerabilidades inmaduras’ no son vulnerabilidades verdaderas porque todavía falta una condición (como el uso de un objeto editado) […] Creamos tres correcciones menores incorrectas o incompletas para corregir los tres errores. Pero estas correcciones secundarias proporcionan las condiciones que faltan para «vulnerabilidades inmaduras».

Luego, los investigadores enviaron por correo electrónico las tres correcciones de troyanos a los moderadores del kernel de Linux, para ver si los moderadores descubrieron el problema más grave que los investigadores introdujeron al corregir un error simple. Una vez que los moderadores respondieron a la corrección proporcionada, los investigadores de la UMN señalaron el error que ingresó su parche y proporcionaron un parche «adecuado», uno que no presentaba un caso recientemente explotable, en su lugar.

Lu Woo Woo y Baki publicaron sus hallazgos en febrero en el 42º Simposio de IEEE sobre Seguridad y Privacidad.

Respuesta inicial

La semana pasada, uno de los desarrolladores senior de kernel de Linux, Greg Crow Hartman retroceder 68 etiquetas publicadas por personas con direcciones de correo electrónico umn.edu en respuesta a las ‘Obligaciones de los hipócritas’. Además de revertir estas 68 correcciones actuales, Kroah-Hartman anunció una política de «rechazar hipotéticamente» las correcciones futuras provenientes de cualquier persona con @umn.edu Título.

Kroah-Hartman continuó permitiendo excepciones para tales correcciones futuras si «usted proporciona evidencia y puede verificar esto», pero seguía preguntando: «En serio, ¿por qué está perdiendo el tiempo haciendo este trabajo adicional?»

El Departamento de Ingeniería y Ciencias de la Computación de la Universidad de Minnesota respondió a la prohibición con una «suspensión inmediata».[ing] Esta línea de investigación «promete investigar el método de los investigadores y el proceso que ha sido aprobado».

No se aceptan disculpas

Este sábado, el equipo de investigación de la UMN Pido disculpas A la comunidad de Linux a través de una carta abierta publicada en la lista de correo del Kernel de Linux. La carta abierta de aproximadamente 800 palabras se presenta más como «espera, no entiendes» que como una disculpa:

Solo queremos que sepa que no dañaremos intencionalmente a la comunidad del kernel de Linux y que nunca presentaremos vulnerabilidades de seguridad. Nuestro trabajo se lleva a cabo con las mejores intenciones y se trata de encontrar y corregir vulnerabilidades.

El trabajo de «los hipócritas» se llevó a cabo en agosto de 2020. Tenía como objetivo mejorar la seguridad del proceso de depuración en Linux. Como parte del proyecto, examinamos posibles problemas en el proceso de depuración del sistema Linux, incluidas las causas de los problemas y sugerencias para solucionarlos.

Kroah-Hartman admitió el mensaje el domingo, pero claramente no quedó impresionado:

Como saben, la Fundación Linux y la Junta Asesora Técnica de la Fundación Linux enviaron una carta el viernes a su universidad en la que se describen las acciones específicas que deben llevarse a cabo para que su grupo y su universidad puedan trabajar para restaurar la confianza de la comunidad del kernel de Linux.

Hasta que se tomen estas medidas, no tenemos nada más que discutir sobre este tema.

No sabemos por el momento cuáles son exactamente los procedimientos que la Kroah-Hartman y la Fundación Linux requieren del grupo y su universidad.