LINUX-KJERNEN

Forskere forsøkte å infisere Linux-kjernen. Nå er universitetet utestengt

University of Minnesota varsler intern granskning etter at forskningsprosjekt brukte Linux-kjerne-fellesskapet som sin egen lekegrind.

Fellesskapet som vedlikeholder Linux-kjerner liker overhodet ikke å bli eksperimentert med. Det har en gruppe studenter i USA fått erfare. Bildet viser for øvrig Linux-maskoten Tux og et eldre kart over Linux-kjernen.
Fellesskapet som vedlikeholder Linux-kjerner liker overhodet ikke å bli eksperimentert med. Det har en gruppe studenter i USA fått erfare. Bildet viser for øvrig Linux-maskoten Tux og et eldre kart over Linux-kjernen. Illustrasjon: Linux-kart: Contantine Shulyupin. Tux: Larry Ewing. Montasje: digi.no
Harald BrombachHarald BrombachJournalist
22. apr. 2021 - 17:00

Forskere ved University of Minnesota (UMN) har i forbindelse med et forskningsprosjekt kommet med en rekke kodebidrag til Linux-kjernen. Det spesielle er at forskerne bevisst hadde har inkludert såkalte «use-after-free»-sårbarheter i koden. 

Hensikten med prosjektet, ifølge forskerne selv, har vært å sette et kritisk søkelys på muligheten for å komme med «hyklerske» kodebidrag til åpen kilde-prosjekter, det vi si bidrag som tilsynelatende er til fordel for prosjektet, men som i virkeligheten er ment for å introdusere sårbarheter i programvaren. 

Linux-kjernen ble valgt fordi den ifølge forskerne er så kompleks at prosessen hvor kodebidrag vurderes, ofte overser introduserte sårbarheter som involverer komplisert semantikk og kontekst. 

Kjerneprosjektet skal ha blitt varslet om dette for å hindre at kodebidragene med sårbarhetene faktisk ble tatt i bruk. Dette skal ha skjedd i fjor høst og ble beskrevet av prosjektlederen på Twitter i november (deler av tråden er slettet). I desember kom forskerne med en nærmere forklaring. Det hele kunne ha stoppet der.

DNA-molekylet har demonstrert et visst potensiale innen datateknologi, har et forskerteam nå funnet ut.
Les også

Forskere: Slik kan DNA-molekyler brukes i fremtidens datamaskiner

Bannlyste hele universitetet

Det er likevel først nå i april, da de samme forskerne på nytt har kommet med kodebidrag som med hensikt har sårbarheter, at fellesskapet som vedlikeholder Linux-kjernen, tydelig har fått nok.

– Fellesskapet vårt setter ikke pris på å bli eksperimentert med […]. Dersom dere ønsker å gjøre arbeid som dette, foreslår jeg at dere finner dere et annet fellesskap å kjøre eksperimentene deres i. Dere er ikke velkommen her, skriver Greg Kroah-Hartman, som vedlikeholder den stabile grenen av Linux-kjernen, i en melding i en lang diskusjonstråd, som et svar til doktorgradsstudenten Aditya Pakki ved UMN.

– På grunn av dette vil jeg nå bannlyse alle framtidige bidrag fra universitetet ditt, samt fjerne alle deres tidligere kodebidrag, siden de etter alt å dømme har blitt sendt inn for å skape problemer, fortsetter Kroah-Hartman.

I et svar til dette skriver en annen bidragsyter at mange av disse kodebidragene allerede har funnet veien til den stabile grenen av kodetreet.

Lover etterforskning

Ledelsen ved University of Minnesotas Department of Computer Science & Engineering kom i går med en formell uttalelse.

– Vi tar denne situasjonen ekstremt alvorlig. Vi har umiddelbart stoppet denne forskningslinjen. Vi vil etterforske forskningsmetoden og prosessen der forskningsmetoden ble godkjent, fastsette passende, korrigerende tiltak, og forhindre framtidige problemer, om nødvendig. Vi vil dele våre funn med fellesskapet så snart som det er praktisk mulig, skriver instituttledelsen.

Kristi Noem har siden januar 2025 ledet U.S. Department of Homeland Security, som til nå har finansiert CVE-programmet gjennom en kontrakt med organisasjonen Mitre. Her deltar hun under sin velkomstseremoni ved Coast Guard Headquarters i Washington D.C.
Les også

USA har stoppet finansieringen av sårbarhetsregisteret CVE

Forkastelig, men …

Selv om mange virker enige i at å gjennomføre et slikt eksperiment hos andre – uten samtykke fra eller koordinering med noen på innsiden – er forkastelig, er det også flere som mener at eksperimentet har vært vellykket i den forstand at det setter søkelyset på om vurderingsprosessen holder mål. 

Langt fra alle er enige med disse to, noe som går tydelig fram av svarene på tvitringene. Andre igjen mener at forskerne ikke har avslørt noe nytt og at problemet med manglende kapasitet til å vurdere alle bidrag tilstrekkelig, har vært kjent i mange år. 

Kvantenettverkene kommer stadig nærmere, men det er stykke igjen før de blir allemannseie. Bildet illustrerer fenomenet kvantesammenfiltring.
Les også

Nytt fremskritt bringer kvantenettverkene enda nærmere en realitet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra