PUBLICIDADE

Equipe do Linux bane universidade por enviar código malicioso de propósito

Pesquisadores da Universidade de Minnesota enviaram códigos vulneráveis ao kernel para estudo; comunidade Linux não sabia

22 abr 2021
0comentários
Publicidade

Os responsáveis pela manutenção do Linux não vão aceitar mais códigos fornecidos por membros da Universidade de Minnesota (UMN). O motivo é surpreendente: o estudante de doutorado Qiushi Wu e o professor assistente Kangjie Lu, ambos ligados à instituição, enviaram commits de código malicioso para o kernel.

Computador com Ubuntu Linux
Computador com Ubuntu Linux
Foto: divulgação/Lenovo / Tecnoblog

Não foi engano ou falta de atenção. Os códigos vulneráveis foram submetidos à comunidade Linux de modo deliberado. Qiushi Wu e Kangjie Lu realizaram um estudo para demonstrar que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que introduzem vulnerabilidades conhecidas no software. O kernel Linux foi um dos alvos dessa pesquisa.

Esse tipo de estudo não é inédito e não costuma ser rejeitado pelas comunidades que trabalham com código aberto. O problema é que a abordagem dos pesquisadores irritou os mantenedores do kernel. Para piorar, a dupla não avisou ninguém da comunidade sobre o experimento.

Universidade de Minnesota é banida

O assunto só veio à tona depois de a pesquisa ter sido publicada (PDF), em fevereiro deste ano. Contrariado, Greg Kroah-Hartman, um dos principais mantenedores do Linux depois de Linus Torvalds, decidiu agir: nesta semana, ele anunciou a decisão de banir as contribuições ao kernel feitas por desenvolvedores ligados à UMN.

Commits de endereços @umn.edu enviados de "má-fé" para testar a capacidade da comunidade de revisar 'mudanças maliciosas' conhecidas foram encontradas.

Por causa disso, todos as contribuições vindas desse grupo devem ser retiradas da árvore do kernel e nós devemos revisá-las novamente para garantir que elas são correções válidas.

Greg Kroah-Hartman

A decisão não foi tomada de imediato. Na lista de discussão do kernel, Kroah-Hartman pediu a membros da Universidade de Minnesota que parassem de submeter códigos inválidos ao projeto. Em uma das mensagens, o desenvolvedor alertou que o professor responsável pelo estudo estava tentando publicar um paper de modo bizarro e insistiu para que os envios cessassem.

Aditya Pakki, membro da UMN, respondeu dizendo que Kroah-Hartman fazia acusações que beiravam a calúnia e que não iria enviar mais nenhum código por causa dessa atitude, para ele, tida como "intimidadora para iniciantes e não especialistas".

Foi a gota d'água para Greg Kroah-Hartman:

Você e seu grupo admitiram publicamente que enviaram códigos vulneráveis para descobrir como a comunidade do kernel reagiria sobre isso e publicaram um paper com base nesse trabalho.

Agora vocês submetem uma série de novos códigos obviamente incorretos. O que eu devo pensar de uma coisa dessas?

(...)

Por causa disso, agora eu tenho que banir todos as futuras contribuições da sua universidade e remover contribuições anteriores, pois é óbvio que elas foram enviadas de má-fé com a intenção de causar problemas.

Greg Kroah-Hartman

Logo após a decisão, o Departamento de Ciência da Computação e Engenharia da UMN soltou um comunicado em que reconhece que a abordagem de seus pesquisadores trouxe sérias preocupações à comunidade do kernel Linux. Na mensagem, a instituição anunciou a decisão de suspender imediatamente essa linha de pesquisa.

A universidade também prometeu investigar o método usado pelos pesquisadores e tomar medidas corretivas.

Programando (imagem ilustrativa por: Pixnio)
Programando (imagem ilustrativa por: Pixnio)
Foto: Tecnoblog

Banimento tem mais apoio do que críticas

Para Brad Spengler, presidente da Open Source Security, a decisão dos mantenedores do Linux foi uma reação exagerada e que dará mais trabalho para todas as partes.

No Twitter, Spengler destaca que a comunidade foi alertada sobre o risco de envios suspeitos ao kernel no ano passado e que commits legítimos poderão ser afetados com o banimento. Com isso, vulnerabilidades já corrigidas poderão voltar ao Linux, ele complementa.

Mas a maioria dos membros da comunidade parece apoiar a decisão. Para Jered Floyd, da Red Hat, o que os pesquisadores da UMN fizeram é equivalente a ir a um mercado e cortar os freios de todos os carros estacionados ali para saber quantas pessoas sofrerão acidente quando elas forem embora.

Já Sudip Mukherjee, desenvolvedor do Debian, afirmou na lista de discussão que muitos dos códigos enviados pelos pesquisadores chegaram às árvores estáveis do kernel em resposta à argumentação dos pesquisadores de que nenhum dos commits maliciosos foi direcionado aos repositórios do Linux.

Com informações: Bleeping Computer, ZDNet.

Equipe do Linux bane universidade por enviar código malicioso de propósito

Tecnoblog
Publicidade
Publicidade