Por el trabajo de solo dos de sus investigadoras, toda la Universidad de Minnesota ha sido baneada del desarrollo de Linux. El doctorando Qiushi Wu y el profesor asistente Kangjie Lu, enviaban parches maliciosos al kernel como parte de su investigación.
En el paper «Sobre la viabilidad de introducir sigilosamente vulnerabilidades en el software de código abierto mediante cambios hipócritas», explican que cómo Linux es uno de los ejemplos más prominentes de software open source, es especialmente susceptible porque «cualquiera puede colaborar enviando pequeños parches maliciosos» que introduzcan vulnerabilidades.
Los desarrolladores de Linux no tienen tiempo para sus experimentos
Lo que los investigadores intentaban probar no es inusual, lo que es inusual es que no se le informara a nadie dentro del proyecto que esto estaba pasando. Esta línea de investigación generó bastante descontento entre los desarrolladores que mantienen el kernel de Linux, y fue así como Greg Kroah-Hartman, encargado del mantenimiento de la rama estable del kernel y una de las figuras más respetadas en la comunidad, llegó al límite de lo que podía tolerar.
Kroah-Hartman advirtió varias veces a los miembros de la universidad que dejaran de enviar parches inválidos
Por favor, deja de enviar parches que no son válidos. Tu profesor está jugando con el proceso de revisión para conseguir un paper de alguna manera extraña y estrafalaria.
Esto no está bien, es una pérdida de tiempo, y tendremos que informar de esto, OTRA VEZ, a su universidad…
Este argumento no fue suficiente para que dejaran de hacerlo, y de hecho, respondieron a Greg diciendo que dejara de hacer «acusaciones salvajes que rozan la calumnia», añadiendo además que «su actitud no solo no era bienvenida sino que era intimidante para los novatos».
Para Kroah-Hartman esa fue la gota que derramó el baso. El desarrollador decidió suspender todas las futuras colaboraciones provenientes de la universidad, y además eliminar todas las colaboraciones previas porque «fueron obviamente enviadas de mala fé y con la intención de causar problemas».
Linux kernel developers do not like being experimented on, we have enough real work to do: https://t.co/vWvtxjt7A5
— Greg K-H (@gregkh) April 21, 2021
Usted, y su grupo, han admitido públicamente que enviaron parches con errores conocidos para ver cómo reaccionaría la comunidad del kernel ante ellos y publicaron un artículo basado en ese trabajo.
Ahora vuelves a enviar una nueva serie de parches evidentemente incorrectos, ¿qué se supone que debo pensar de algo así?
Nuestra comunidad da la bienvenida a los desarrolladores que desean ayudar y mejorar Linux. Eso NO es lo que usted intenta hacer aquí, así que por favor no trate de enmarcarlo de esa manera.
Nuestra comunidad no aprecia que se experimente con ella, ni que se la «pruebe» enviando parches conocidos que no hacen nada a propósito o que introducen errores a propósito. Si deseas hacer un trabajo como este, te sugiero que busques otra comunidad para realizar tus experimentos, no eres bienvenido aquí.
La Universidad de Minnesota por su parte, respondió que se tomaban la situación de forma extremadamente seria y que cancelarían dicha línea de investigación de forma inmediata. Dicen que realizaran una investigación del proceso mediante el cual ese método de investigación fue aprobado para tomar las medidas necesarias.
A pesar de que los investigadores afirman en su trabajo que ninguno de los parches que enviaron llegaron a el código de los repositorios de Linux, Leon Romanovsky, otro de los desarrolladores del kernel, explicó que tras mirar cuatro de los parches aceptados de uno de los investigadores, tres de ellos introdujeron varios «agujeros de seguridad». Más adelante, Sudip Mukherjee, desarrollador de Debian y del kernel, dijo que «muchos de ellos ya han llegado a los árboles estables».
Logicamente la mayoría de la comunidad apoya a Kroah-Hartman por la extremadamente dudosa ética del experimento. Jered Floyd, que forma parte del equipo de Red Hat, comentó en Twitter que lo que hicieron los investigadores «Es peor que simplemente experimentar; es como decir que eres un ‘investigador de seguridad’ yendo a un supermercado y cortando las líneas mangueras de los frenos de todos los autos para ver cuántas personas chocan cuando se van. Enormemente poco ético».