La Fundación Linux reclama a la Universidad de Minnesota por parches de Linux defectuosos
Decir que los desarrolladores del kernel de Linux sienten pasión por los estudiantes graduados de la Universidad de Minnesota (UMN) que juegan agregando agujeros de seguridad en el kernel de Linux para la investigación “.Sobre la posibilidad de implementar en secreto las vulnerabilidades del software de código abierto a través de hipócritas“es una tremenda subestimación.
Greg Kroah-Hartman, una rama estable del administrador del kernel de Linux y conocido por sus administradores del kernel de Linux generosos y fáciles de usar, explotó y prohibió a los desarrolladores de UMN trabajar en el kernel de Linux. Esto se debió a que sus parches fueron “aparentemente enviados de buena fe con el propósito de causar problemas”.
Los investigadores Qiushi Wu y Aditya Pakki y su asesor de posgrado, Kangjie Lu, son profesor asistente en el Departamento de Ciencias de la Computación de la UMN. La UMN luego se disculpó por los errores en el kernel de Linux..
Eso no es suficiente. Desarrolladores del kernel de Linux y Junta Asesora Técnica de la Fundación Linux mediante Fundación Linux han pedido a UMN que tome medidas especiales antes de que sus empleados puedan volver a participar en Linux. Ahora sabemos cuáles son estos requisitos.
Una carta de Mike Dolan, director senior y gerente de proyectos de la Fundación Linux, comienza:
Hemos descubierto que algunos investigadores de la Universidad de Minnesota (U of MN) parecen haber experimentado con personas, especialmente con los desarrolladores del kernel de Linux, sin el conocimiento previo o el consentimiento de esos desarrolladores. Esto se hizo proponiendo una vulnerabilidad conocida para el kernel de Linux ampliamente utilizado como parte del trabajo “Implementación sigilosa de vulnerabilidades de software de código abierto utilizando escrituras hipócritas”; También se pueden incluir otros trabajos y proyectos. Parece que estos Las pruebas se realizaron sin inspección previa o aprobación por parte del panel de evaluación institucional. (IRB), lo cual es inaceptable, y el seguimiento del IRB aprobó este experimento con aquellos que no estuvieron de acuerdo.
Esto es correcto. Wu y Lu abrieron sus notas al IRB de la UMN y dijeron: “Recientemente, completamos el trabajo de investigación de la función de corrección de OSS”. Solo pidieron permiso al IRB después de haber compartido un resumen en papel de Twitter. Luego, cuando admitieron que la publicación del resumen había causado “un acalorado debate y empuje”, eliminaron el resumen y se disculparon con el IRB por causar “muchas confusiones y malentendidos”.
Aunque el IRB parece haber aceptado este estudio, la comunidad del kernel de Linux no se mantuvo al tanto. Los investigadores afirman haber hablado con personas de la comunidad de Linux, pero nunca son reconocidos. Por lo tanto, la reacción de Kroah-Hartman cuando una vez más se le presentó “tonterías”, excepto que fue otro intento de hacer perder el tiempo a los administradores del kernel de Linux “al continuar experimentando con los desarrolladores del kernel”.
Dolan continuó:
Alentamos y damos la bienvenida a la investigación para mejorar la seguridad y mejorar los procesos de revisión de seguridad. El proceso de desarrollo del kernel de Linux comprueba el código para evitar errores. Sin embargo, creemos que los experimentos en humanos sin su consentimiento no son éticos y es probable que planteen muchos problemas legales. Las personas son una parte integral del proceso de revisión y desarrollo de software. Los desarrolladores del kernel de Linux no son objetos de prueba y no deben ser tratados como tales.
Éste es un punto importante. Los investigadores primero afirman en las preguntas frecuentes del IRB que “Esto no se considera investigación en humanos. Este proyecto examina algunos problemas en el proceso de corrección en lugar de los comportamientos individuales, y no recopilamos información personal”.
En el siguiente párrafo, sin embargo, los investigadores de la UMN se retiran de este argumento.
“A lo largo del estudio, honestamente no pensamos que fuera una investigación en humanos, por lo que no solicitamos la aprobación del IRB al principio. Nos disculpamos por las preocupaciones planteadas. Esta es una lección importante que aprendimos: no confíe en nosotros mismos para decidir Investigación humana; siempre consulte al IRB siempre que la investigación pueda afectar a cualquier ser humano en cualquier forma “.
Dolan continuó:
Esto también desperdició su valioso tiempo y pone en peligro a miles de millones de personas en todo el mundo que dependen de sus resultados. Aunque los investigadores de la U of MN afirmaron que estaban tomando medidas para evitar que las vulnerabilidades se incluyeran en el software final, la falta de su consentimiento sugiere una falta de tratamiento. También hay implicaciones confirmadas, ya que muchos otros proyectos posteriores construidos a partir de la base del código del kernel aceptan cambios en el kernel de Linux.
Luego llegamos al meollo del asunto. Aunque Dolan dijo La disculpa de los investigadores de la UMN fue prometedora, La comunidad de Linux necesita más. O como Kroah-Harman declarado directamente:
Como saben, la Fundación Linux y el Consejo Asesor Técnico de la Fundación Linux enviaron una carta a su universidad el viernes en la que se describen los pasos específicos que deben tomarse para que sus grupos y universidades puedan trabajar para recuperar la confianza. La comunidad del kernel de Linux.
Hasta que se tomen estos pasos, no tenemos nada más que discutir.
Estas “solicitudes” son:
Proporcione al público toda la información que necesita para identificar rápidamente todas las propuestas de experimentos de MN para detectar vulnerabilidades conocidas. La información debe incluir el nombre de cada software objetivo, información de compromiso, el nombre propuesto del proponente, dirección de correo electrónico, fecha / hora, asunto y / o código para que todos los desarrolladores de software puedan identificar rápidamente las propuestas y posiblemente tomar medidas correctivas al respecto. experimentos.
Encontrar todos estos códigos es un problema real. Al Linux, un desarrollador senior de kernel de Linux que descubrió el primer parche de abril, tenido en cuenta“La falta de información es parte de lo que hace que todo sea desproporcionado: si se molestan en adjuntar una lista (o un enlace a uno) de los compromisos de SHA1 que provienen de su prueba, o mejor aún, mantuvieron y proporcionaron una lista de identificaciones para todos los mensajes enviados, exitosos y no, este lío con solicitudes de devolución general, etc. habría sido mucho menor (si es que sucedió) “.
Tal como está, los desarrolladores y migradores de Linux ahora están gastando tiempo mirando varios cientos de correcciones del kernel de UMN Linux. No les hace gracia.
Dolan pidió que el documento se elimine de la “publicación oficial y presentación formal” de todas las investigaciones basadas en esta u otra investigación similar en la que las personas parecen tener experimentos sin su consentimiento previo. Dejar información de archivo en Internet es genial, ya que en su mayoría ya es público, pero no debería haber crédito de investigación para tales trabajos. “
Gracias a las FAQ de la revista, ya sabemos que ha aprobado la publicación. Simposio de seguridad y privacidad de IEEE (IEEE S&P) 2021. Este es un foro superior para investigadores de seguridad. La reunión virtual 2021 tendrá lugar próximamente del 23 al 27 de mayo. La UMN aún no ha dicho si cancelarlo.
Dolan presionó para asegurarse de que los experimentos de UMN humanos tengan una verificación IRB antes de comenzar el experimento.
“Asegúrese de que todas las revisiones futuras del IRB de los experimentos humanos propuestos generalmente garanticen el consentimiento de los experimentadores de acuerdo con las normas y leyes de investigación estándar”, dijo.
Actualmente, UMN no ha respondido a nuestra solicitud de información sobre lo que la escuela pretende hacer.
Todo esto, según Dolan, es “eliminar todas las posibles actividades y conocimientos del daño causado por tales actividades, eliminar los beneficios potenciales de tales actividades y prevenir su recurrencia. Esperamos ver subvenciones de código abierto productivas y apropiadas de sus futuros alumnos y profesores, como hemos visto. en años anteriores desde su establecimiento educativo “.
La Fundación Linux quiere que la escuela responda a estas solicitudes lo antes posible. Los administradores de Linux también quieren saber qué parches de UMN tienen para poder encontrar la transición. Preferirían trabajar para mejorar Linux que perseguir cualquier error sembrado intencionalmente.
Hasta ahora, no pueden encontrar ninguno. Pero cuando te encargas de mantener el sistema operativo más importante del planeta, es mejor prevenir que curar.
Historias relacionadas:
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida