Los investigadores de seguridad de la UMN se disculpan con la comunidad de Linux


Los investigadores de seguridad del Departamento de Ingeniería y Ciencias de la Computación de la Universidad de Minnesota están siendo examinados por la comunidad de Linux por intentar deliberadamente insertar errores en los parches de Linux. Los parches de errores fueron parte del trabajo de investigación. Acerca de la viabilidad de introducir en secreto agujeros de seguridad en el software de código abierto a través de compromisos hipócritas.

El documento dice: “Como prueba de concepto, tomamos el kernel de Linux como el OSS de destino y demostramos con certeza que es práctico para un autor malicioso introducir errores posteriores. Además, medimos y caracterizamos sistemáticamente las capacidades y oportunidades de un comité malicioso. Finalmente, para mejorar la seguridad del OSS, proponemos medidas contra los hipócritas, p. Ej. B. Actualización del Código de conducta de OSS y desarrollo de herramientas para la prueba y verificación de parches. «

Sin embargo, el experimento no salió según lo planeado y no fue bien recibido por la comunidad. Greg Kroah-Hartman, mantenedor del kernel de Linux tuiteó el: «A los desarrolladores del kernel de Linux no les gusta que los experimenten, tenemos suficiente trabajo real por hacer».

Jered Floyd, un miembro del personal técnico de Red Hat, estuvo de acuerdo Pío: “Es peor que simplemente experimentar; Es como decir que eres un «investigador de seguridad» yendo a una tienda de comestibles y cortando las líneas de los frenos de todos los autos para ver cuántas personas chocan al salir. Inmensamente poco ético. «

Como resultado, Kroah-Hartman decidió prohibir a la universidad contribuir al kernel de Linux en el futuro. “A nuestra iglesia no le gusta que se experimente con

«Probado» mediante el envío de parches conocidos que intencionalmente no hacen nada o introducen errores intencionalmente. Si así es como quiere trabajar, le sugiero que busque otra comunidad con la que hacer sus experimentos. No eres bienvenido aquí «, dijo. escribió. «Ahora necesito prohibir todas las presentaciones futuras de su universidad y eliminar las presentaciones anteriores, ya que obviamente fueron enviadas de mala fe para causar problemas».

El Departamento de Ingeniería y Ciencias de la Computación de la UMN publicó una carta abierta a la comunidad de Linux disculpándose por sus errores. “Nos disculpamos sinceramente por el daño que nuestro grupo de investigación ha hecho a la comunidad del kernel de Linux. Nuestro objetivo era identificar problemas con el proceso de parcheo y formas de solucionarlos, y lamentamos mucho que la metodología utilizada en el documento de Compromisos hipócritas fuera inapropiada. Como nos han dicho muchos observadores, cometimos un error al no encontrar la manera de consultar a la comunidad y obtener permiso antes de realizar este estudio. Hicimos esto porque sabíamos que no podíamos pedir permiso a los mantenedores de Linux o estarían buscando los parches hipócritas. Si bien nuestro objetivo era mejorar la seguridad de Linux, ahora entendemos que fue perjudicial para la comunidad convertirlo en un tema de nuestra investigación y desperdiciar sus esfuerzos revisando estos parches sin su conocimiento o permiso ”, dice la carta. especificado.

En otra carta de ZDNetMike Dolan, vicepresidente senior y gerente general de proyectos de la Fundación Linux, pidió a los investigadores “identificar cualquier sugerencia de código vulnerable conocido de un experimento de la U de MN. La información debe incluir el nombre de cada software de destino, la información de compromiso, el supuesto nombre del solicitante, la dirección de correo electrónico, la fecha / hora, el asunto y / o el código para que cualquier desarrollador de software pueda identificar rápidamente tales sugerencias y posiblemente tomar medidas correctivas para tales experimentos. «



tecnologia1020

Sobre el autor

Añadir comentario

Tu dirección de correo electrónico no será publicada.