Investigadores de la Universidad de Minnesota se disculparon el sábado con los mantenedores de Linux Kernel Project por incluir intencionalmente vulnerabilidades en el código del proyecto, lo que llevó a la escuela a tener prohibido contribuir al proyecto de código abierto en el futuro.
"Si bien nuestro objetivo era mejorar la seguridad de Linux, ahora entendemos que fue hiriente para la comunidad convertirla en un tema de nuestra investigación, y desperdiciar su esfuerzo revisando estos parches sin su conocimiento o permiso", dijo en un correo electrónico el profesor asistente Kangjie Lu, junto con los estudiantes graduados Qiushi Wu y Aditya Pakki.
"Lo hicimos porque sabíamos que no podíamos pedir permiso a los mantenedores de Linux, o estarían atentos a los parches hipócritas", agregaron.
La disculpa se produce después de un estudio sobre lo que se llama "hipocritas comprometidos", que se publicó a principios de este mes de febrero. El proyecto tenía como objetivo añadir deliberadamente vulnerabilidades de uso después de la liberación al kernel de Linux en nombre de la investigación de seguridad, aparentemente en un intento de resaltar cómo el código potencialmente malicioso podría colarse más allá del proceso de aprobación, y como consecuencia, sugerir maneras de mejorar la seguridad del proceso de parcheo.
Un documento de aclaración previamente compartido por los académicos el 15 de diciembre de 2020 declaró que la junta de ética de la investigación de la universidad revisó el estudio y determinó que no se trataba de investigación humana.
Si bien los investigadores afirmaron que "no presentamos ni pretendemos introducir ningún error o vulnerabilidad en el sistema operativo", el hecho de que surgieran pruebas en contrario -lo que implicaba que la investigación se llevó a cabo sin una supervisión adecuada- y corría el riesgo de que la seguridad del núcleo llevara a una prohibición unilateral de las presentaciones de código de cualquier persona que usara una dirección de correo electrónico "umn.edu", además de invalidar todo el código pasado presentado por los investigadores universitarios.
"Nuestra comunidad no aprecia ser experimentada y ser 'probada' mediante el envío de parches conocidos que son (sic) o bien no hacen nada a propósito o introducen errores a propósito", dijo el mantenedor del kernel de Linux Greg Kroah-Hartman en uno de los intercambios la semana pasada.
Después del incidente, el Departamento de Ciencias de la Computación e Ingeniería de la universidad dijo que estaba investigando el incidente, agregando que estaba investigando el "método de investigación y el proceso por el cual se aprobó este método de investigación, determinar las medidas correctivas apropiadas y protegerse contra futuros problemas".
"Esto es peor que sólo ser experimentado; esto es como decir que eres un "investigador de seguridad" yendo a una tienda de comestibles y cortando las líneas de freno en todos los coches para ver cuántas personas se estrellan cuando se van. Enormemente poco ético", tuiteó Jered Floyd.
Mientras tanto, se espera que todos los parches enviados a la base de código por los investigadores universitarios y el profesorado sean revertidos y re-revisados para verificar si son correcciones válidas
