Equipe do Linux rejeita desculpas de pesquisadores por código malicioso

Pesquisadores da Universidade de Minnesota pediram desculpas por códigos com falhas enviados ao kernel, mas não convenceram

Emerson Alecrim
• Atualizado há 3 anos
Programando no Linux (imagem ilustrativa: Sárfi Benjámin/Pixabay)
Programando no Linux (imagem ilustrativa: Sárfi Benjámin/Pixabay)

Na semana passada, pesquisadores da Universidade de Minnesota (UMN) foram banidos pelos mantenedores do Linux por enviarem ao projeto códigos maliciosos como parte de um estudo. No último sábado (24), eles divulgaram uma carta aberta à comunidade em que pedem desculpas pelo o que fizeram. De nada adiantou: o texto com quase 800 palavras teve recepção fria.

Correções com falhas

Basicamente, o estudo em questão teve como objetivo demonstrar que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que introduzem vulnerabilidades conhecidas no software.

Para isso, os pesquisadores adotaram uma tática que consistiu em encontrar três falhas de baixa prioridade no kernel, corrigi-las e submetê-las aos mantenedores do Linux. Porém, cada correção tinha uma “vulnerabilidade imatura”, isto é, uma falha que só causa problemas na presença de um recurso adicional, como uma chamada para uma biblioteca.

As correções foram submetidas aos mantenedores, sem os recursos adicionais, com o intuito de checar se eles detectariam as vulnerabilidades inseridas intencionalmente nelas, o que não aconteceu.

Tão logo tiveram retorno sobre as correções submetidas, os pesquisadores apontaram as falhas introduzidas e ofereceram patches sem brechas. Apesar disso, os mantenedores não gostaram nem um pouco de saber que estavam sendo testados dessa forma e sem aviso prévio.

Como reação, Greg Kroah-Hartman, um dos principais mantenedores do Linux depois de Linus Torvalds, decidiu rejeitar por padrão todas as contribuições submetidas por desenvolvedores com e-mail @umn.edu, com exceção para aquelas comprovadamente legítimas e que puderem ser verificadas. Mas, com relação a estas, Kroah-Hartman disse: “sério, por que perder seu tempo fazendo essa trabalho extra?”

O pedido de desculpas

Na carta de desculpas, Kangjie Lu, Qiushi Wu e Aditya Pakki, os três integrantes da UMN que protagonizam essa história, explicam que não avisaram os mantenedores sobre o estudo porque, do contrário, em vez de seguir a rotina padrão de atividades, eles estariam focados em procurar as falhas inseridas nas correções — estas, aliás, foram chamadas pelos pesquisadores de “commits hipócritas”.

Além disso, eles ressaltam que o Linux não ficou vulnerável porque as três correções em questão tiveram sua implementação interrompida e que as conclusões do grupo foram relatadas à comunidade antes da publicação da pesquisa.

O trio também argumenta que as 190 correções enviadas por membros da UMN que foram revertidas ou reavaliadas pelos mantenedores — outra “punição” aplicada — são legítimas, ou seja, não têm ligação com o estudo.

Queremos apenas que vocês saibam que nós nunca prejudicaríamos intencionalmente a comunidade do kernel Linux e nunca introduziríamos brechas de segurança. Nosso trabalho foi conduzido com a melhor das intenções e esteve focado em encontrar e corrigir falhas.

Kangjie Lu, Qiushi Wu e Aditya Pakki

Carta não convenceu

A carta foi enviada no último sábado (24). No dia seguinte, Greg Kroah-Hartman confirmou o recebimento, mas não se mostrou sensibilizado com os argumentos.

Em resposta, ele avisou que, na sexta-feira (23), a Linux Foundation enviou uma carta à Universidade de Minnesota descrevendo as ações que a instituição precisa seguir para reconquistar a confiança da comunidade do kernel. “Enquanto essas ações não forem executadas, não teremos nada mais a discutir sobre o assunto”, finalizou Kroah-Hartman.

As exigências da Linux Foundation enviadas à UMN ainda não foram reveladas. De todo modo, a universidade já havia anunciado a decisão de suspender essa linha de pesquisa e tomar medidas corretivas.

Com informações: Ars Technica.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.