Equipe do kernel Linux rejeita desculpas de pesquisadores da Universidade de Minnesota

Um pinguim nos olha ameaçadoramente.
Prolongar / Não irrite o pinguim porque ele é longo na memória e lento para perdoar.

Na semana passada, o desenvolvedor sênior do kernel do Linux Greg Kroah-Hartman anunciou que todos os patches do Linux da Universidade de Minnesota seriam sumariamente rejeitados por padrão.

Essa mudança de política é o resultado de três pesquisadores da Universidade de Minnesota – Qiushi Wu, Kangjie Lu e Aditya Pakki – que embarcaram em um programa para testar a resistência da comunidade de desenvolvedores do kernel Linux ao grupo chamado “Hypocrite Commits”.

Teste de comunidade do kernel Linux

O esquema do trio envolveu primeiro encontrar três bugs fáceis de corrigir e de baixa prioridade no kernel do Linux e depois corrigi-los – mas corrigi-los de uma forma que complementa o que os pesquisadores da UMN chamam de “vulnerabilidade”.

Usamos uma ferramenta de varredura estática para identificar três “vulnerabilidades imaturas” no Linux e, como resultado, detectar três pequenos bugs que se acredita estarem corrigidos. “Vulnerabilidades imaturas” não são vulnerabilidades reais porque uma condição (como o uso de um objeto liberado) está sempre ausente […] Estamos construindo três pequenas correções incorretas ou incompletas para corrigir todos os três bugs. Essas pequenas correções, no entanto, apresentam as condições ausentes de “vulnerabilidades imaturas”.

Os três pesquisadores então enviaram seus patches de cavalo de Tróia para os mantenedores do kernel do Linux, para ver se os mantenedores detectaram o problema mais sério que os pesquisadores introduziram ao consertar um pequeno bug. Depois que os mantenedores responderam ao patch enviado, os pesquisadores da UMN relataram o bug introduzido por seu patch e descobriram um patch “apropriado” – um que não introduzia uma condição de exploração recente – em seu lugar.

Lu, Wu e Pakki publicaram seus resultados em fevereiro no 42º Simpósio de Segurança e Privacidade do IEEE.

Resposta inicial

Na semana passada, Greg Kroah-Hartman, desenvolvedor sênior do kernel Linux, reverteu 68 correções enviadas por pessoas com endereços de e-mail umn.edu em resposta a esses “Hypocrite Commits”. Junto com a reversão desses 68 patches existentes, Kroah-Hartman anunciou uma política de “rejeição padrão” para patches futuros de qualquer pessoa com um @umn.edu Morada.

Kroah-Hartman continuou a permitir exceções para essas correções futuras se “elas fornecerem provas e você pode verificá-las”, mas ele continuou perguntando “realmente, por que perder seu tempo fazendo esse trabalho extra?”

O Departamento de Ciência da Computação e Engenharia da Universidade de Minnesota respondeu à proibição “suspendendo imediatamente[ing] essa linha de pesquisa, “prometendo estudar o método dos pesquisadores – e o processo pelo qual foi aprovado”.

Desculpas não aceitas

No sábado, a equipe de pesquisa da UMN pediu desculpas à comunidade Linux por meio de uma carta aberta postada na lista de discussão do Kernel do Linux. A carta aberta de quase 800 palavras soa mais ‘espere, você não entende’ do que um pedido de desculpas:

Queremos apenas que você saiba que nunca prejudicaríamos intencionalmente a comunidade do kernel do Linux e introduziríamos vulnerabilidades de segurança. Nosso trabalho foi feito com a melhor das intenções e consiste em encontrar e corrigir falhas de segurança.

O trabalho dos “compromissos hipócritas” foi concluído em agosto de 2020; o objetivo era melhorar a segurança do processo de patching no Linux. Como parte do projeto, investigamos possíveis problemas com o processo de patch do Linux, incluindo as causas dos problemas e sugestões para resolvê-los.

Kroah-Hartman reconheceu a carta no domingo, mas ficou claramente menos do que impressionada:

Como você sabe, a Linux Foundation e o Comitê Técnico Consultivo da Linux Foundation enviaram uma carta à sua universidade na sexta-feira descrevendo ações específicas a serem tomadas para que seu grupo e universidade possam trabalhar para reconquistar a confiança da comunidade do kernel Linux.

Até que essas etapas sejam tomadas, não temos mais nada a discutir sobre esse assunto.

Não sabemos no momento quais ações exatamente Kroah-Hartman e a Linux Foundation estão exigindo do grupo e de sua universidade.

About admin

Check Also

Em breve, o Microsoft Edge permitirá que você envie guias entre o Windows 10 e o Android

O navegador Edge da Microsoft rapidamente se tornou um dos navegadores de desktop mais populares. …

Leave a Reply

Your email address will not be published. Required fields are marked *