Hace unos días les contamos sobre cómo un grupo de investigadores de la Universidad de Minnesota estaba enviando parches maliciosos al kernel de Linux a propósito para experimentar. Esta línea de investigación causó que toda la universidad fuese expulsada del desarrollo de Linux y además generó un enorme descontento entre la comunidad.
Si bien las autoridades de la universidad están investigando cómo sucedió esto y dicen tomarse muy en serio la situación, no fue hasta el fin de semana que el profesor encargado del proyecto y dos de sus investigadores, enviaron un email a las listas de correo del kernel de Linux disculpándose por el daño que causó su investigación. Sin embargo, la respuesta que recibieron es básicamente que no basta con disculpas.
Cómo llegamos aquí
Para dar un poco de contexto, la investigación en cuestión fue el trabajo de un profesor y un estudiante de doctorado que querían probar la viabilidad de introducir vulnerabilidades en el software de código abierto enviando parches "hipócritas".
Para lograr esto claramente se aprovecharon de que formaban parte de una institución de confianza que lleva años colaborando con el desarrollo del kernel de Linux. Sin embargo, los cambios que enviaron fueron detectados, y además, tras publicar un paper con sus resultados, fueron advertidos por Greg Kroah-Hartman, encargado del mantenimiento de la rama estable del kernel, para que dejaran de enviar tales parches.
Las respuestas de los investigadores fueron bastante hostiles y en todo momento negaban lo que estaban haciendo, lo que causó que Kroah-Hartman tomara la drástica medida de expulsar a toda la universidad por fallar en detener esta línea de investigación de dudosa ética, incluso tras las advertencias.
Hay que trabajar más para recuperar la confianza de la comunidad
En una "carta abierta a la comunidad Linux" enviada el pasado 24 de abril, los investigadores pidieron disculpas por el daño que su investigación causó y admitieron que el método usado fue inapropiado.
Sin embargo, volvieron a afirmar que su trabajo no introdujo vulnerabilidades en el código de Linux, y que solo fue llevada a cabo en agosto de 2020, y que el resto de parches (190) que fueron enviados, además de los parches de abril de 2021 no formaban parte de su paper sobre los "cambios hipócritas".
Otros desarrolladores del kernel han dicho que algunos de los parches aceptados sí introdujeron agujeros de seguridad, e incluso que algunos habrían llegado a los árboles estables del kernel.
Kroah-Hartman respondió a la carta nuevamente de forma muy tajante:
Gracias por su respuesta.
Como sabe, la Fundación Linux y el Consejo Asesor Técnico de la Fundación Linux enviaron el viernes una carta a su universidad detallando las acciones específicas que tienen que suceder para que su grupo, y su universidad, sean capaces de trabajar para recuperar la confianza de la comunidad del kernel de Linux.
Hasta que no se tomen esas medidas, no tenemos nada más que discutir sobre este asunto.
No sabemos cuáles son esas acciones específicas, pero lo que queda claro es que ni a Kroah-Hartman ni a la comunidad le basta con disculpas, y ni siquiera ha dignificado la carta como para responder directamente a las alegaciones hechas en ella. De momento, la Universidad de Minnesota sigue expulsada del desarrollo del kernel de Linux, y tendrán que trabajar más para cambiar esa situación.
Ver 9 comentarios