Investigadores de la Universidad de Minnesota se disculparon con los mantenedores del Linux Kernel Project el sábado por incluir intencionalmente vulnerabilidades en el código del proyecto, lo que llevó a que se prohibiera a la escuela contribuir al proyecto de código abierto en el futuro.
«Si bien nuestro objetivo era mejorar la seguridad de Linux, ahora entendemos que fue perjudicial para la comunidad convertirlo en un tema de nuestra investigación y desperdiciar su esfuerzo revisando estos parches sin su conocimiento o permiso», dijo el profesor asistente Kangjie Lu , junto con los estudiantes graduados Qiushi Wu y Aditya Pakki, dijo en un correo electrónico.
«Lo hicimos porque sabíamos que no podíamos pedir permiso a los responsables de Linux, o estarían al acecho de los parches hipócritas», agregaron.
La disculpa surge de un estudio sobre lo que se llama «compromisos hipócritas», que se publicó a principios de febrero. El proyecto tenía como objetivo agregar deliberadamente vulnerabilidades de uso después de libre al kernel de Linux en nombre de la investigación de seguridad, aparentemente en un intento de resaltar cómo el código potencialmente malicioso podría escabullirse más allá del proceso de aprobación y, como consecuencia, sugerir formas de mejorar el seguridad del proceso de parcheo.
Un documento de aclaración previamente compartido por los académicos el 15 de diciembre de 2020 declaró que la Junta de Revisión Institucional (IRB) de la universidad había revisado el estudio y había determinado que no se trataba de una investigación en humanos, solo para dar marcha atrás, agregando «a lo largo del estudio, honestamente no pensamos se trata de una investigación en humanos, por lo que no solicitamos una aprobación del IRB al principio. Pedimos disculpas por las preocupaciones planteadas «.
Si bien los investigadores afirmaron que «no introdujimos ni pretendemos introducir ningún error o vulnerabilidad en el OSS», el hecho de que surgiera evidencia de lo contrario , lo que implica que la investigación se llevó a cabo sin una supervisión adecuada, y puso en riesgo la seguridad del kernel llevó a una prohibición unilateral de envíos de código de cualquier persona que utilice una dirección de correo electrónico «umn.edu», además de invalidar todo el código anterior enviado por los investigadores de la universidad.
«Nuestra comunidad no aprecia que se experimente y que se ‘pruebe’ mediante el envío de parches conocidos que (sic) no hacen nada a propósito o introducen errores a propósito», dijo el mantenedor del kernel de Linux, Greg Kroah-Hartman , en uno de los últimos intercambios. semana.
Tras el incidente, el Departamento de Ciencias de la Computación e Ingeniería de la universidad dijo que estaba investigando el incidente y agregó que estaba investigando el «método de investigación y el proceso por el cual se aprobó este método de investigación, determinar las medidas correctivas apropiadas y protegerse contra problemas futuros». «
«Esto es peor que simplemente experimentar; esto es como decir que eres un ‘investigador de seguridad’ yendo a una tienda de comestibles y cortando las líneas de los frenos de todos los autos para ver cuántas personas chocan cuando se van. Muy poco ético, » tuiteó Jered Floyd.
Mientras tanto, se espera que todos los parches enviados al código base por los investigadores y profesores de la universidad sean revertidos y revisados nuevamente para verificar si son correcciones válidas.