WTF ?! Provavelmente não é incomum que usuários individuais sejam proibidos de contribuir com o Linux por tomarem decisões erradas. No entanto, pela primeira vez que eu saiba, a Linux Foundation baniu suavemente um domínio inteiro. Qualquer usuário que enviar commits de um endereço da umm.edu (Universidade de Minnesota) será “rejeitado por padrão” até novo aviso.
A Linux Foundation proibiu toda a Universidade de Minnesota de contribuir para o kernel do Linux. A expulsão ocorre depois que pesquisadores da escola publicaram um artigo intitulado “Insegurança de código aberto: Apresentando vulnerabilidades furtivamente por meio de compromissos hipócritas”. O documento detalha como Qiushi Wu e Kangjie Lu, ambos alunos da U of M, enviaram intencionalmente código com falhas de segurança para “testar a capacidade da comunidade do kernel de revisar alterações ‘maliciosas conhecidas'”.
Greg Kroah-Hartman, colega da Linux Foundation, não gostou do experimento de “má fé”. Ele menciona em um email para outros mantenedores do kernel, incluindo o próprio Linus Torvalds, que de agora em diante, eles deveriam rejeitar todos os envios de usuários com um endereço de email umn.edu.
Acompanhamento removendo quase todas essas alterações: https://t.co/wLnQxwKfyk
– Greg KH (@gregkh) 21 de abril de 2021
“Vou levar isso através da minha árvore, então não há necessidade de nenhum mantenedor se preocupar com isso, mas eles devem estar cientes de que as submissões futuras de qualquer pessoa com um endereço umn.edu devem ser rejeitadas por padrão, a menos que seja determinado que seja realmente um correção válida “, escreveu Kroah-Hartman. Ele disse que os mantenedores ainda são livres para aprovar submissões, mas somente se “eles fornecerem provas e puderem verificá-las”. Portanto, é essencialmente uma proibição suave.
“Mas, sério, por que perder seu tempo fazendo esse trabalho extra?” Kroah-Hartman acrescentou como uma reflexão tardia.
A atuação dos dois pesquisadores não foi o único fator determinante para a proibição de toda a escola. Um terceiro usuário do U of M teve vários envios de código lixo que não fizeram nada. Kroah-Hartman ordenou que todos os commits anteriores vindos da universidade fossem revertidos e revisados novamente. Ele começou o trabalho sozinho e listou dezenas de códigos que já havia revertido.
Em resposta à proibição, a liderança da UMN emitiu uma declaração prometendo “ação corretiva”.
“A liderança do Departamento de Ciência da Computação e Engenharia da Universidade de Minnesota aprendeu hoje sobre os detalhes da pesquisa que está sendo conduzida por um de seus membros do corpo docente e alunos de pós-graduação sobre a segurança do kernel do Linux.
“Levamos esta situação muito a sério. Suspendemos imediatamente esta linha de pesquisa. Investigaremos o método de pesquisa e o processo pelo qual esse método de pesquisa foi aprovado, determinaremos as ações corretivas apropriadas e nos protegeremos contra problemas futuros, se necessário. relate nossas descobertas à comunidade assim que possível. “
Isso é pior do que apenas ser experimentado; Isso é como dizer que você é um “pesquisador de segurança” indo a um supermercado e cortando as mangueiras de todos os carros para ver quantas pessoas batem ao sair. Extremamente antiético; eu espero @UMNews tem um IRB que anota!
– Jered Floyd (@jeredfloyd) 21 de abril de 2021
Os pesquisadores também emitiram um comunicado negando que eles tenham enviado bugs intencionalmente para o kernel. Eles disseram que patches com falhas foram apresentados aos mantenedores para feedback por e-mail. Assim que obtiveram uma resposta equivalente a “parece bom”, eles informaram os mantenedores do bug intencional e disseram para não fazer o commit. No entanto, toda a polêmica começou depois que alguém encontrou pelo menos quatro vulnerabilidades que passaram pela análise enviada por alguém com um endereço de e-mail UMN.
Embora não se desculpem por seu trabalho, os alunos expressaram pesar pelo esforço extra que isso causou aos mantenedores.
“Gostaríamos de nos desculpar sinceramente com os mantenedores envolvidos no processo de revisão do patch correspondente; este trabalho realmente desperdiçou seu precioso tempo,” Wu e Lu explicaram. “Havíamos considerado cuidadosamente esse problema, mas não poderíamos encontrar uma solução melhor neste estudo.”
O problema provocou, compreensivelmente, discussões acaloradas na comunidade Linux. A desenvolvedora de kernel, Laura Abbot, condenou a natureza frívola e as conclusões do estudo, apontando que a possibilidade de código malicioso ser introduzido intencionalmente já é bem conhecida na comunidade.
Crédito das imagens: Stanislaw Mikulski