Início » Aplicativos e Software » Equipe do Linux bane universidade por enviar código malicioso de propósito

Equipe do Linux bane universidade por enviar código malicioso de propósito

Pesquisadores da Universidade de Minnesota enviaram códigos vulneráveis ao kernel para estudo; comunidade Linux não sabia

Emerson Alecrim Por

Os responsáveis pela manutenção do Linux não vão aceitar mais códigos fornecidos por membros da Universidade de Minnesota (UMN). O motivo é surpreendente: o estudante de doutorado Qiushi Wu e o professor assistente Kangjie Lu, ambos ligados à instituição, enviaram commits de código malicioso para o kernel.

Computador com Ubuntu Linux (imagem: divulgação/Lenovo)

Computador com Ubuntu Linux (imagem: divulgação/Lenovo)

Não foi engano ou falta de atenção. Os códigos vulneráveis foram submetidos à comunidade Linux de modo deliberado. Qiushi Wu e Kangjie Lu realizaram um estudo para demonstrar que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que introduzem vulnerabilidades conhecidas no software. O kernel Linux foi um dos alvos dessa pesquisa.

Esse tipo de estudo não é inédito e não costuma ser rejeitado pelas comunidades que trabalham com código aberto. O problema é que a abordagem dos pesquisadores irritou os mantenedores do kernel. Para piorar, a dupla não avisou ninguém da comunidade sobre o experimento.

Universidade de Minnesota é banida

O assunto só veio à tona depois de a pesquisa ter sido publicada (PDF), em fevereiro deste ano. Contrariado, Greg Kroah-Hartman, um dos principais mantenedores do Linux depois de Linus Torvalds, decidiu agir: nesta semana, ele anunciou a decisão de banir as contribuições ao kernel feitas por desenvolvedores ligados à UMN.

Commits de endereços @umn.edu enviados de “má-fé” para testar a capacidade da comunidade de revisar ‘mudanças maliciosas’ conhecidas foram encontradas.

Por causa disso, todos as contribuições vindas desse grupo devem ser retiradas da árvore do kernel e nós devemos revisá-las novamente para garantir que elas são correções válidas.

Greg Kroah-Hartman

A decisão não foi tomada de imediato. Na lista de discussão do kernel, Kroah-Hartman pediu a membros da Universidade de Minnesota que parassem de submeter códigos inválidos ao projeto. Em uma das mensagens, o desenvolvedor alertou que o professor responsável pelo estudo estava tentando publicar um paper de modo bizarro e insistiu para que os envios cessassem.

Aditya Pakki, membro da UMN, respondeu dizendo que Kroah-Hartman fazia acusações que beiravam a calúnia e que não iria enviar mais nenhum código por causa dessa atitude, para ele, tida como “intimidadora para iniciantes e não especialistas”.

Foi a gota d’água para Greg Kroah-Hartman:

Você e seu grupo admitiram publicamente que enviaram códigos vulneráveis para descobrir como a comunidade do kernel reagiria sobre isso e publicaram um paper com base nesse trabalho.

Agora vocês submetem uma série de novos códigos obviamente incorretos. O que eu devo pensar de uma coisa dessas?

(…)

Por causa disso, agora eu tenho que banir todos as futuras contribuições da sua universidade e remover contribuições anteriores, pois é óbvio que elas foram enviadas de má-fé com a intenção de causar problemas.

Greg Kroah-Hartman

Logo após a decisão, o Departamento de Ciência da Computação e Engenharia da UMN soltou um comunicado em que reconhece que a abordagem de seus pesquisadores trouxe sérias preocupações à comunidade do kernel Linux. Na mensagem, a instituição anunciou a decisão de suspender imediatamente essa linha de pesquisa.

A universidade também prometeu investigar o método usado pelos pesquisadores e tomar medidas corretivas.

Programando (imagem ilustrativa por: Pixnio)

Programando (imagem ilustrativa por: Pixnio)

Banimento tem mais apoio do que críticas

Para Brad Spengler, presidente da Open Source Security, a decisão dos mantenedores do Linux foi uma reação exagerada e que dará mais trabalho para todas as partes.

No Twitter, Spengler destaca que a comunidade foi alertada sobre o risco de envios suspeitos ao kernel no ano passado e que commits legítimos poderão ser afetados com o banimento. Com isso, vulnerabilidades já corrigidas poderão voltar ao Linux, ele complementa.

Mas a maioria dos membros da comunidade parece apoiar a decisão. Para Jered Floyd, da Red Hat, o que os pesquisadores da UMN fizeram é equivalente a ir a um mercado e cortar os freios de todos os carros estacionados ali para saber quantas pessoas sofrerão acidente quando elas forem embora.

Já Sudip Mukherjee, desenvolvedor do Debian, afirmou na lista de discussão que muitos dos códigos enviados pelos pesquisadores chegaram às árvores estáveis do kernel em resposta à argumentação dos pesquisadores de que nenhum dos commits maliciosos foi direcionado aos repositórios do Linux.

Com informações: Bleeping Computer, ZDNet.

Comentários da Comunidade

Participe da discussão
10 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Eu (@Keaton)

Qiushi Wu e Kangjie Lu realizaram um estudo para demonstrar que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que introduzem vulnerabilidades conhecidas no software. O kernel Linux foi um dos alvos dessa pesquisa.

Eles só provaram que o pessoal consegue ver esses problemas… ponto pro pessoal do Linux.

Fernando Val (@fval)

Mai-o-meno! Pelo que entendi, parte do código malicioso “seguiu o fluxo” e acabou indo parar na árvore de código estável, porque ninguém percebeu a falha criada de propósito. E só quando o time de “pesquisadores” publicou o seu “trabalho” é que a equipe de mantenedores do Linux ficou sabendo.

É muito complicado e custoso para projetos de código aberto se blindarem totalmente de pessoas com más intenções.

Pessoalmente eu acho esse pessoal um bando de *&$!£¢.

Sim, é válido testar vulnerabilidades num “sistema”. Mas quando isso é feito com boas intenções, os responsáveis pelo “sistema” devem ser notificados logo após a conclusão do estudo e não ficar sabendo disso pela publicação desse estudo para todo o público.

Eu (@Keaton)

É, tua interpretação do texto está mais precisa que a minha… imagina só enfiar um monte de gente em risco para isso? Espero que o pessoal fique mais alerta.

Edilson Junior (@Edilson)

Concordo, falta de ética e de respeito com a comunidade que se esforça para manter um ecossistema livre e gratuito.

Emerson Alecrim (@Alecrim)

Mas que aporrinhação, hein? A primeira imagem, a principal do texto, é do Ubuntu. A segunda é só uma imagem ilustrativa de alguém programando, como a própria legenda deixa claro. A imagem é borrada intencionalmente justamente para se referir à ação, não ao sistema operacional.

Impressionante como esse tipo de implicância só aparece em posts sobre Linux.