Pesquisadores pedem desculpas por adicionar vulnerabilidades no código do Linux

Pesquisadores da Universidade de Minnesota (UMN) na semana passada, foram banidos pelo mantenedores do Linux, porque enviaram ao projeto códigos maliciosos como parte de um estudo. No  sábado dia 24, foi divulgada uma carta aberta a comunidade em que eles pedem desculpa pelo que fizeram, mas não adiantou de nada,  o texto com quase 800 palavras teve recepção fria.

O estudo em questão teve basicamente como objetivo demonstrar o que projetos de código-fonte aberto podem ser suscetíveis ao recebimento de contribuições que podem introduzir vulnerabilidades conhecidas no software.

Os pesquisadores adotaram uma tática que consiste em encontrar três falhas de baixa prioridade no Kernel, corri-las e submete-las aos mantenedores do Linux. A cada correção tinha uma “vulnerabilidade imatura”, isso quer dizer, que uma falha que  só causa problemas na presença de um recurso adicional, como uma chamada para uma biblioteca.

Os mentores receberam as correções submetidas a eles, sem os recursos adicionais, com intuito de checar se detectariam as vulnerabilidades inseridas intencionalmente nelas, mas isso não aconteceu.

Longo tiveram o retorno sobre as correções submetidas, os pesquisadores mostraram as falhas introduzidas e ofereceram patches sem brechas, mas os mantenedores não gostaram muito de saber que estavam sendo testados dessa forma e sem aviso prévio.

Greg Kroah-Hartman  um dos principais mantenedores do Linux depois de Linus Torvalds, teve a reação de rejeitar por padrão todas as contribuições submetidas por desenvolvedores com e-mail @umn.edu, com exceção para aquelas comprovadamente legítimas e que pudessem ser verificadas. Com relação a estas Kroah-Hartman disse: “sério, por que perder seu tempo fazendo essa trabalho extra?”

Kangjie Lu, Qiushi Wu e Aditya Pakki na carta de desculpas, os três integrantes da UMN que protagonizam essa história, explicaram que não avisaram os mantenedores sobre o estudo porque ao invés de seguirem a rotina de atividades, eles estariam focados em procurar as falhas inseridas nas correções, mas estas, foram chamadas pelos pesquisadores de “commits hipócritas”. Eles ressaltaram que o Linux não chegou a ficar vulnerável porquês as  três correções tiveram sua implementação interrompida e que as conclusões do grupo foram relatadas à comunidade antes da publicação da pesquisa.

O trio argumentou que as 190 correções enviadas por membros da UMN foram revertidas ou reavaliadas pelos mantenedores, mas outra “punição” aplicada, são legítimas, então quer dizer que não têm ligação com o estudo.

 Carta de Kangjie Lu, Qiushi Wu e Aditya Pakki “Queremos apenas que vocês saibam que nós nunca prejudicaríamos intencionalmente a comunidade do kernel Linux e nunca introduziríamos brechas de segurança. Nosso trabalho foi conduzido com a melhor das intenções e esteve focado em encontrar e corrigir falhas.”

A carta foi enviada no dia 24, no dia seguinte, o Greg Kroah-Hartman confirmou o recebimento, mas os argumentos não o sensibilizaram.

Na resposta, ele avisou que no dia 23,  Linux Foundation enviou uma carta à Universidade de Minnesota descrevendo as ações que a instituição precisa seguir para poder reconquistar a confiança da comunidade do kernel. Kroah-Hartman finalizou “Enquanto essas ações não forem executadas, não teremos nada mais a discutir sobre o assunto”.

Ainda não foram reveladas as exigências da Linux Foundation enviadas à UMN, mas de qualquer modo, a universidade havia anunciado a decisão de suspender esse tipo de pesquisa e tomar medidas corretivas.