Tecnología

El equipo del kernel de Linux rechaza las disculpas de los investigadores de la Universidad de Minnesota

Un pingüino nos mira amenazadoramente.
Agrandar /. No enfurezca al pingüino porque es recordado durante mucho tiempo y perdona lentamente.

La semana pasada, el desarrollador senior de kernel de Linux, Greg Kroah-Hartman, anunció que todos los parches de Linux de la Universidad de Minnesota serían rechazados de forma predeterminada.

Este cambio de política fue el resultado de tres investigadores de la Universidad de Minnesota, Qiushi Wu, Kangjie Lu y Aditya Pakki, que lanzaron un programa para probar la resistencia de la comunidad de desarrollo del kernel de Linux a lo que el grupo llamó «compromisos hipócritas».

Probando la comunidad del kernel de Linux

El plan del trío consistía en encontrar primero tres errores fáciles de corregir y de baja prioridad en el kernel de Linux y luego corregirlos, pero corregirlos para completar lo que los investigadores de la UMN llamaron una «vulnerabilidad inmadura»:

Usamos una herramienta de análisis estático para identificar tres «vulnerabilidades inmaduras» en Linux y, en consecuencia, para identificar tres errores menores reales que deben corregirse. Las «vulnerabilidades inmaduras» no son vulnerabilidades reales porque aún falta una condición (por ejemplo, el uso de un objeto liberado) […] Estamos construyendo tres parches menores incorrectos o incompletos para corregir los tres errores. Sin embargo, estos pequeños parches introducen las condiciones de «vulnerabilidad inmadura» que faltan.

Luego, los tres investigadores enviaron por correo electrónico sus parches de caballo de Troya a los encargados del mantenimiento del kernel de Linux para ver si los encargados del mantenimiento descubrieron el problema más grave que introdujeron los investigadores al corregir un error menor. Después de que los supervisores respondieron al parche enviado, los investigadores de la UMN señalaron el error causado por su parche y ofrecieron un parche «real» en su lugar, que no introdujo una nueva condición utilizable.

Lu, Wu y Pakki publicaron sus hallazgos en febrero en el 42º Simposio de IEEE sobre Seguridad y Privacidad.

Primera reacción

La semana pasada, el desarrollador senior de kernel de Linux Greg Kroah-Hartman revertió 68 parches enviados por personas con direcciones de correo electrónico umn.edu en respuesta a estos Compromisos Hipócritos. Además de revertir estos 68 parches existentes, Kroah-Hartman anunció una «política de rechazo predeterminada» para futuros parches hechos por personas con un parche @umn.edu Habla a.

Kroah-Hartman continuó permitiendo exenciones para tales parches futuros si «proporcionan evidencia y puede revisarlos», pero continuó preguntando «realmente, ¿por qué está perdiendo el tiempo en este trabajo adicional?»

El Departamento de Ciencias de la Computación e Ingeniería de la Universidad de Minnesota respondió a la prohibición con una «suspensión» inmediata.[ing] Esta línea de investigación «promete examinar el método de los investigadores y el proceso mediante el cual fue aprobado.

Lo siento no aceptado

Este sábado, el equipo de investigación de la UMN se disculpó con la comunidad de Linux a través de una carta abierta a la lista de correo del kernel de Linux. La carta abierta con casi 800 palabras se parece más a «Espera, no entiendes» que a una disculpa:

Solo queremos que sepa que nunca violaríamos intencionalmente la comunidad del kernel de Linux y nunca introduciríamos agujeros de seguridad. Nuestro trabajo se ha realizado con las mejores intenciones y se trata de encontrar y corregir vulnerabilidades de seguridad.

El trabajo «Compromisos hipócritas» se llevó a cabo en agosto de 2020; El objetivo era mejorar la seguridad del proceso de parche en Linux. Como parte del proyecto, investigamos posibles problemas con el proceso de parcheo de Linux, incluida la causa de los problemas y sugerencias para solucionarlos.

Kroah-Hartman confirmó la carta el domingo, pero quedó significativamente menos que impresionado:

Como saben, la Fundación Linux y el Consejo Asesor Técnico de la Fundación Linux enviaron una carta a su universidad el viernes en la que establecían las acciones específicas necesarias para permitir que su grupo y universidad trabajen en la construcción de la confianza para recuperar la comunidad del kernel de Linux.

Hasta que no se tomen estas medidas, no tenemos nada más que discutir sobre este asunto.

Actualmente no sabemos exactamente qué acciones están exigiendo Kroah-Hartman y la Fundación Linux del grupo y su universidad.

Más populares

To Top