La Universidad de Minnesota ha sido baneada del desarrollo de Linux por introducir vulnerabilidades a propósito

Jose García

Curioso lo que ha sucedido esta semana en el mundillo del desarrollo de Linux. La Universidad de Minnesotaha sido baneada del desarrollo de Linuxporintroducir vulnerabilidades a propósito. El motivo es un trabajo de investigación que estaban realizando Qiushi Wu (estudiante de doctorado) y Kangjie Lu (profesor asistente) sobre la viabilidad de introducir sigilosamente vulnerabilidades en software de código abierto.El paper se puede encontrar en GitHub.

Estos investigadores intentaron poner una vulnerabilidad de tipoUse-After-Freeen el kernel de Linux, entre otros commits. Eso ha provocado que Greg Kroah-Hartman, uno de los desarrolladores más importantes del kernel y responsable del mantenimiento de la rama estable,haya decidido banear por completo a la Universidad de Minnesotadel desarrollo de Linux, algo que la propia universidad ha confirmado.

“A los desarrolladores del kernel de Linux no les gusta que se experimente con ellos”

Linux kernel developers do not like being experimented on, we have enough real work to do:https://t.co/vWvtxjt7A5

Así de tajante ha sido Greg Kroah-Hartman, también conocido como Greg K-H, en su perfil de Twitter. En el correo enlazado en el tweet, Greg K-Hexplicaque “se ha descubierto que los commits de las direcciones de @umn.edu [dirección de correo de la Universidad de Minnesota]han sido enviados de ‘mala fe’para intentar poner a prueba la capacidad de la comunidad del kernel para revisar cambios “maliciosos conocidos”.

“Debido a esto, todos los envíos de este grupo deben ser revertidos del árbol del kernel y tendrán que ser revisados de nuevo para determinar si realmente son una solución válida”, sigue Greg K-H, que explica que aunque “este conjunto de parches tiene reversiones ‘fáciles’,hay 68 restantes que necesitan ser revisados manualmente”. Concluye el desarrollador diciendo que:

“Llevaré esto a través de mi árbol, así que no es necesario que ningún mantenedor se preocupe, pero deben ser conscientes de quelas futuras presentaciones de cualquier persona con una dirección umn.edu deben ser por defecto rechazadasa menos que se que se determine que realmente es una solución válida (es decir, que proporcionan la prueba y se puede verificar, pero realmente, ¿por qué perder el tiempo haciendo ese trabajo extra?)”.

En esteotro enlacea la Linux Kernel Mailing List podemos ver el intercambio de correos que el que Greg, respondiendo a un usuario del grupo que estaba enviando commits con vulnerabilidades, asegura que “tú, y tu grupo,habéis admitido públicamente el envío de parches con errores conocidospara ver cómo la comunidad del kernel reaccionaría a ellos, y publicado un artículo basado en ese trabajo”.

“Unos pocos minutos con cualquier persona con la semblanza de conocimiento de C puede ver que tus envíos no hacen nada en absoluto, así que pensar que una herramienta los creó, y luego que tú pensaste que eran un “arreglo” válido es totalmente negligente por tu parte, no por la nuestra. Tú tienes la culpa, no es nuestro trabajo ser los sujetos de prueba de una herramienta que tú creas”.

Finalmente, el desarrollador dice que la comunidad no aprecia que se experimente con ella y que se le ponga a prueba enviando parches conocidos que o bien no hacen nada o bien introducen errores a propósito. “Debido a esto, ahoratendré que prohibir todas las contribuciones futuras de tu universidady eliminar tus contribuciones anteriores, ya que obviamente fueron presentadas de mala fe con la intención de causar problemas”. Eneste enlacepodemos ver uno de esos envíos con errores.

Aunque los investigadores de la Universidad de Minnesota dicen en su paper que ninguno de sus parches llegó a los repositorios de código de Linux, y que solo aparecieron en los emails, Leon Romanovsky, otro desarrollador del kernel,diceen este hilo que tuvo que revisarcuatro parches aceptados de Aditya Pakki(de la UMN) de los cuales tres añadieron varios agujeros de seguridad graves.

Leadership in the University of Minnesota Department of Computer Science & Engineering learned today about the details of research being conducted by one of its faculty members and graduate students into the security of the Linux Kernel.pic.twitter.com/QE9rrAyyMX

En lo que concierne a la propia Universidad de Minnesota, la propia entidad ha confirmado en un comunicado que, efectivamente,tienen prohibido contribuir al kernel de Linuxy que “nos tomamos esta situación muy en serio”. Afirman haber suspendido esta línea de investigación y dicen que investigarán el método seguido y el proceso mediante el cuál se aprobó para determinar “las medidas correctivas adecuadas”.