Equipe do Linux rejeita desculpas de pesquisadores por código malicioso
Pesquisadores da Universidade de Minnesota pediram desculpas por códigos com falhas enviados ao kernel, mas não convenceram
Pesquisadores da Universidade de Minnesota pediram desculpas por códigos com falhas enviados ao kernel, mas não convenceram
Na semana passada, pesquisadores da Universidade de Minnesota (UMN) foram banidos pelos mantenedores do Linux por enviarem ao projeto códigos maliciosos como parte de um estudo. No último sábado (24), eles divulgaram uma carta aberta à comunidade em que pedem desculpas pelo o que fizeram. De nada adiantou: o texto com quase 800 palavras teve recepção fria.
Basicamente, o estudo em questão teve como objetivo demonstrar que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que introduzem vulnerabilidades conhecidas no software.
Para isso, os pesquisadores adotaram uma tática que consistiu em encontrar três falhas de baixa prioridade no kernel, corrigi-las e submetê-las aos mantenedores do Linux. Porém, cada correção tinha uma “vulnerabilidade imatura”, isto é, uma falha que só causa problemas na presença de um recurso adicional, como uma chamada para uma biblioteca.
As correções foram submetidas aos mantenedores, sem os recursos adicionais, com o intuito de checar se eles detectariam as vulnerabilidades inseridas intencionalmente nelas, o que não aconteceu.
Tão logo tiveram retorno sobre as correções submetidas, os pesquisadores apontaram as falhas introduzidas e ofereceram patches sem brechas. Apesar disso, os mantenedores não gostaram nem um pouco de saber que estavam sendo testados dessa forma e sem aviso prévio.
Como reação, Greg Kroah-Hartman, um dos principais mantenedores do Linux depois de Linus Torvalds, decidiu rejeitar por padrão todas as contribuições submetidas por desenvolvedores com e-mail @umn.edu, com exceção para aquelas comprovadamente legítimas e que puderem ser verificadas. Mas, com relação a estas, Kroah-Hartman disse: “sério, por que perder seu tempo fazendo essa trabalho extra?”
Na carta de desculpas, Kangjie Lu, Qiushi Wu e Aditya Pakki, os três integrantes da UMN que protagonizam essa história, explicam que não avisaram os mantenedores sobre o estudo porque, do contrário, em vez de seguir a rotina padrão de atividades, eles estariam focados em procurar as falhas inseridas nas correções — estas, aliás, foram chamadas pelos pesquisadores de “commits hipócritas”.
Além disso, eles ressaltam que o Linux não ficou vulnerável porque as três correções em questão tiveram sua implementação interrompida e que as conclusões do grupo foram relatadas à comunidade antes da publicação da pesquisa.
O trio também argumenta que as 190 correções enviadas por membros da UMN que foram revertidas ou reavaliadas pelos mantenedores — outra “punição” aplicada — são legítimas, ou seja, não têm ligação com o estudo.
Queremos apenas que vocês saibam que nós nunca prejudicaríamos intencionalmente a comunidade do kernel Linux e nunca introduziríamos brechas de segurança. Nosso trabalho foi conduzido com a melhor das intenções e esteve focado em encontrar e corrigir falhas.
Kangjie Lu, Qiushi Wu e Aditya Pakki
A carta foi enviada no último sábado (24). No dia seguinte, Greg Kroah-Hartman confirmou o recebimento, mas não se mostrou sensibilizado com os argumentos.
Em resposta, ele avisou que, na sexta-feira (23), a Linux Foundation enviou uma carta à Universidade de Minnesota descrevendo as ações que a instituição precisa seguir para reconquistar a confiança da comunidade do kernel. “Enquanto essas ações não forem executadas, não teremos nada mais a discutir sobre o assunto”, finalizou Kroah-Hartman.
As exigências da Linux Foundation enviadas à UMN ainda não foram reveladas. De todo modo, a universidade já havia anunciado a decisão de suspender essa linha de pesquisa e tomar medidas corretivas.
Com informações: Ars Technica.