Hace unos días se conoció que dos miembros de la Universidad de Minnesota habían estado introduciendo deliberadamente parches con problemas de seguridad en el núcleo Linux Esto formaba parte de un proyecto de investigación que ni Linus Torvalds ni la Linux Foundation, habían aprobado. Fue así que, cuando supo lo que estaban haciendo, Greg Kroah-Hartman, el prestigioso desarrollador a cargo del mantenimiento del kernel de Linux para la rama estable, reaccionó prohibiendo no sólo a ellos, sino a cualquier desarrollador conectado a UMN, seguir contribuyendo.
Inmediatamente, el Consejo Asesor de la Linux Foundation, conformado por los principales desarrolladores, junto a otros colaboradores voluntarios de responsabilidad probada se pusieron a evaluar los daños. Y ya comunicaron el resultado.
Los parches de la discordia
Sobre un total de 435 contribuciones que hicieron los miembros de la universidad, se descubrió que la gran mayoría estabas bien Del resto, 39 tenían errores y necesitaban ser corregidas; 25 ya habían sido corregidas, 12 ya eran obsoletas; 9 se habían hecho antes de que existiera el grupo de investigación y una fue eliminada por petición de su autor.
Los responsables de las contribuciones maliciosas utilizaron dos identidades falsas, lo que va en contra de los requisitos documentados sobre cómo contribuir con el código al kernel de Linux. Esto no podría haberse hecho sin colaboración institucional ya que la universidad aceptó sin cuestionamientos el’Certificado de Origen de los Desarrolladores’,una declaración legal sobre el trabajo que se está presentando.
Al contrario de lo que los perpetradores, los investigadores, Qiushi Wu y Aditya Pakki, y su asesor graduado, Kangjie Lu, profesor asistente del Departamento de Ciencias de la Computación e Ingeniería de la UMN, declararon, desde el Comité asesor sostuvieron que todos los envíos de parches con errores deliberados fueron corregidos, o ignorados, por los desarrolladores y mantenedores del kernel de Linux. La conclusión fue que los proyectos de revisión funcionaron correctamente.
De hecho, el baneo a la Universidad de Minnesota podría no ser permanente. Todo está supeditado a que la institución:
…designe un conjunto de desarrolladores internos experimentados para revisar y proporcionar comentarios sobre los cambios propuestos del kernel antes de que esos cambios se envíen públicamente. Esta revisión detectará errores obvios y aliviará a la comunidad de la necesidad de recordar repetidamente a los desarrolladores algunas prácticas elementales como el cumplimiento de los estándares de codificación y pruebas exhaustivas de parches. Esto se traduce en un flujo de parches de mayor calidad que encontrará menos problemas en la comunidad del kernel.
El crimen no paga
Los investigadores no se beneficiaran del resultado de su investigación. El paper que habían presentado a un simposio de seguridad había sido aceptado. Pero, supongo que ante la presión de la comunidad fue retirado porl os propios autores que argumentaron:
En primer lugar, cometimos un error al no participar en colaboración con la comunidad del kernel de Linux antes de realizar nuestro estudio. Ahora entendemos que fue inapropiado e hiriente para la comunidad hacerlo un tema de nuestra investigación y desperdiciar su esfuerzo revisando estos parches sin su conocimiento o permiso. En cambio, ahora nos damos cuenta de que la manera apropiada de hacer este tipo de trabajo es comprometerse con los líderes comunitarios de antemano para que sean conscientes del trabajo, aprueben sus metas y métodos, y puedan apoyar los métodos y resultados una vez que el trabajo se complete y publique. Por lo tanto, estamos retirando el documento para que no nos beneficiemos de un estudio realizado incorrectamente.
En segundo lugar, dadas las fallas en nuestros métodos, no queremos que este trabajo se mantenga como un modelo de cómo se puede hacer la investigación en esta comunidad. Por el contrario, esperamos que este episodio sea un momento de aprendizaje para nuestra comunidad, y que la discusión y recomendaciones resultantes puedan servir como guía para una investigación adecuada en el futuro.
Tampoco parece que haciendo investigaciones sean muy buenos. La Universidad de Minnesota, al tratar de responder al pedido de informes de la Linux Foundation, se encontró con que el proceso de creación envío de los parches no estaba muy bien documentado.
Si tuviera un hijo, no lo enviaría a estudiar a la UM