Há poucos dias sabia-se que dois membros da Universidade de Minnesota haviam corrigido deliberadamente o kernel do Linux com problemas de segurança Isso fazia parte de um projeto de pesquisa que nem Linus Torvalds nem a Linux Foundation haviam aprovado. Então, quando ele descobriu o que eles estavam fazendo, Greg Kroah-Hartman, o prestigioso desenvolvedor encarregado de manter o kernel do Linux para o branch estável, reagiu proibindo não só eles, mas qualquer desenvolvedor conectado ao UMN, de continuar contribuindo.
De imediato, o Conselho Consultivo da Linux Foundation, composto pelos principais desenvolvedores, juntamente com outros colaboradores voluntários de comprovada responsabilidade se eles começaram a avaliar os danos. Y eles já se comunicaram o resultado.
As manchas de discórdia
De um total de 435 contribuições feitas por membros da universidade, verificou-se que a grande maioria estava bem Do restante, 39 apresentavam erros e precisavam ser corrigidos; 25 já haviam sido corrigidos, 12 já estavam obsoletos; 9 foram realizadas antes da existência do grupo de investigação e uma foi eliminada a pedido de seu autor.
Os responsáveis pelas contribuições maliciosas usaram duas identidades falsass, que vai contra os requisitos documentados para contribuir com código para o kernel do Linux. Isso não poderia ter sido feito sem a colaboração institucional, já que a universidade aceitou inquestionavelmente o 'Certificado de Origem de Desenvolvedor', uma declaração legal sobre o trabalho sendo apresentado.
Ao contrário do que os perpetradores, os investigadores, Qiushi Wu e Aditya Pakki, e seu orientador de graduação, Kangjie Lu, professor assistente do Departamento de Ciência da Computação e Engenharia da UMN, afirmaram, do Comitê Consultivo sargumentou que todos os envios de patch deliberadamente com erros foram corrigidos ou ignorados, por desenvolvedores e mantenedores do kernel do Linux. A conclusão foi que os projetos de revisão funcionaram bem.
Na verdade, a proibição da Universidade de Minnesota pode não ser permanente. Tudo está sujeito à instituição:
… Designe um grupo de desenvolvedores internos experientes para revisar e fornecer feedback sobre as alterações propostas no kernel antes que essas alterações sejam lançadas publicamente. Esse hotfix detectará bugs óbvios e livrará a comunidade da necessidade de lembrar repetidamente os desenvolvedores de algumas práticas elementares, como adesão aos padrões de codificação e testes extensivos de patch. Isso resulta em um fluxo de patch de maior qualidade que encontrará menos problemas na comunidade do kernel.
O crime não compensa
Os pesquisadores não se beneficiarão com os resultados de sua investigação. O artigo que eles apresentaram em um simpósio de segurança foi aceito. Mas, suponho que, sob pressão da comunidade, foi retirado pelos próprios autores que argumentaram:
Em primeiro lugar, cometemos um erro ao não colaborar com a comunidade do kernel do Linux antes de conduzir nosso estudo. Agora entendemos que foi impróprio e prejudicial para a comunidade torná-lo um assunto de nossa pesquisa e desperdiçar seus esforços revisando esses patches sem seu conhecimento ou permissão. Em vez disso, agora percebemos que a maneira adequada de fazer esse tipo de trabalho é se envolver com os líderes comunitários com antecedência para que eles estejam cientes do trabalho, aprovem seus objetivos e métodos e possam apoiar os métodos e resultados assim que o trabalho for concluído e publicado. Portanto, estamos retirando o documento para não nos beneficiarmos de um estudo conduzido incorretamente.
Em segundo lugar, dadas as falhas em nossos métodos, não queremos que este trabalho seja um modelo de como a pesquisa pode ser feita nesta comunidade. Em vez disso, esperamos que este episódio seja um momento de aprendizado para nossa comunidade e que a discussão e as recomendações resultantes possam servir como um guia para uma investigação adequada no futuro.
Nem parece que fazer pesquisa é muito bom. A Universidade de Minnesota, ao tentar responder ao pedido de relatórios da Linux Foundation,Descobri que o processo de criação de envio de patch não foi muito bem documentado.
Se eu tivesse um filho, não o mandaria para estudar na UM