Equipe do Linux bane universidade por enviar código malicioso de propósito

Pesquisadores da Universidade de Minnesota enviaram códigos vulneráveis ao kernel para estudo; comunidade Linux não sabia

Emerson Alecrim
Por
• Atualizado há 2 anos e 4 meses
Computador com Ubuntu Linux (imagem: divulgação/Lenovo)
Computador com Ubuntu Linux (imagem: divulgação/Lenovo)

Os responsáveis pela manutenção do Linux não vão aceitar mais códigos fornecidos por membros da Universidade de Minnesota (UMN). O motivo é surpreendente: o estudante de doutorado Qiushi Wu e o professor assistente Kangjie Lu, ambos ligados à instituição, enviaram commits de código malicioso para o kernel.

Não foi engano ou falta de atenção. Os códigos vulneráveis foram submetidos à comunidade Linux de modo deliberado. Qiushi Wu e Kangjie Lu realizaram um estudo para demonstrar que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que introduzem vulnerabilidades conhecidas no software. O kernel Linux foi um dos alvos dessa pesquisa.

Esse tipo de estudo não é inédito e não costuma ser rejeitado pelas comunidades que trabalham com código aberto. O problema é que a abordagem dos pesquisadores irritou os mantenedores do kernel. Para piorar, a dupla não avisou ninguém da comunidade sobre o experimento.

Universidade de Minnesota é banida

O assunto só veio à tona depois de a pesquisa ter sido publicada (PDF), em fevereiro deste ano. Contrariado, Greg Kroah-Hartman, um dos principais mantenedores do Linux depois de Linus Torvalds, decidiu agir: nesta semana, ele anunciou a decisão de banir as contribuições ao kernel feitas por desenvolvedores ligados à UMN.

Commits de endereços @umn.edu enviados de “má-fé” para testar a capacidade da comunidade de revisar ‘mudanças maliciosas’ conhecidas foram encontradas.

Por causa disso, todos as contribuições vindas desse grupo devem ser retiradas da árvore do kernel e nós devemos revisá-las novamente para garantir que elas são correções válidas.

Greg Kroah-Hartman

A decisão não foi tomada de imediato. Na lista de discussão do kernel, Kroah-Hartman pediu a membros da Universidade de Minnesota que parassem de submeter códigos inválidos ao projeto. Em uma das mensagens, o desenvolvedor alertou que o professor responsável pelo estudo estava tentando publicar um paper de modo bizarro e insistiu para que os envios cessassem.

Aditya Pakki, membro da UMN, respondeu dizendo que Kroah-Hartman fazia acusações que beiravam a calúnia e que não iria enviar mais nenhum código por causa dessa atitude, para ele, tida como “intimidadora para iniciantes e não especialistas”.

Foi a gota d’água para Greg Kroah-Hartman:

Você e seu grupo admitiram publicamente que enviaram códigos vulneráveis para descobrir como a comunidade do kernel reagiria sobre isso e publicaram um paper com base nesse trabalho.

Agora vocês submetem uma série de novos códigos obviamente incorretos. O que eu devo pensar de uma coisa dessas?

(…)

Por causa disso, agora eu tenho que banir todos as futuras contribuições da sua universidade e remover contribuições anteriores, pois é óbvio que elas foram enviadas de má-fé com a intenção de causar problemas.

Greg Kroah-Hartman

Logo após a decisão, o Departamento de Ciência da Computação e Engenharia da UMN soltou um comunicado em que reconhece que a abordagem de seus pesquisadores trouxe sérias preocupações à comunidade do kernel Linux. Na mensagem, a instituição anunciou a decisão de suspender imediatamente essa linha de pesquisa.

A universidade também prometeu investigar o método usado pelos pesquisadores e tomar medidas corretivas.

Programando (imagem ilustrativa por: Pixnio)

Programando (imagem ilustrativa por: Pixnio)

Banimento tem mais apoio do que críticas

Para Brad Spengler, presidente da Open Source Security, a decisão dos mantenedores do Linux foi uma reação exagerada e que dará mais trabalho para todas as partes.

No Twitter, Spengler destaca que a comunidade foi alertada sobre o risco de envios suspeitos ao kernel no ano passado e que commits legítimos poderão ser afetados com o banimento. Com isso, vulnerabilidades já corrigidas poderão voltar ao Linux, ele complementa.

Mas a maioria dos membros da comunidade parece apoiar a decisão. Para Jered Floyd, da Red Hat, o que os pesquisadores da UMN fizeram é equivalente a ir a um mercado e cortar os freios de todos os carros estacionados ali para saber quantas pessoas sofrerão acidente quando elas forem embora.

Já Sudip Mukherjee, desenvolvedor do Debian, afirmou na lista de discussão que muitos dos códigos enviados pelos pesquisadores chegaram às árvores estáveis do kernel em resposta à argumentação dos pesquisadores de que nenhum dos commits maliciosos foi direcionado aos repositórios do Linux.

Com informações: Bleeping Computer, ZDNet.

Receba mais sobre Linux na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados

O que é Linux? [Guia para iniciantes]
O que é Linux? [Guia para iniciantes]
Afinal, a distro SUSE Linux é paga ou gratuita?
Afinal, a distro SUSE Linux é paga ou gratuita?
Antivírus para Linux: 5 opções para uso doméstico e empresarial
Antivírus para Linux: 5 opções para uso doméstico e empresarial
Kali Linux 2022.4: distribuição “hacker” reforça recursos e roda até no Azure
Kali Linux 2022.4: distribuição “hacker” reforça recursos e roda até no Azure
Como criar um pendrive bootável com uma distro do Linux
Como criar um pendrive bootável com uma distro do Linux
Como criar e ler um código de barras no PC ou celular
Como criar e ler um código de barras no PC ou celular
Como ver seu código QR do WhatsApp
Como ver seu código QR do WhatsApp
Microsoft quer tornar mais fácil usar o Linux dentro do Windows
Microsoft quer tornar mais fácil usar o Linux dentro do Windows
Como usar o Telegram no PC [Windows, macOS e Linux]
Como usar o Telegram no PC [Windows, macOS e Linux]
Linux Mint 20.2 é lançado com melhorias e kernel 5.4
Linux Mint 20.2 é lançado com melhorias e kernel 5.4