Forskere ved University of Minnesota (UMN) har i forbindelse med et forskningsprosjekt kommet med en rekke kodebidrag til Linux-kjernen. Det spesielle er at forskerne bevisst hadde har inkludert såkalte «use-after-free»-sårbarheter i koden.
Hensikten med prosjektet, ifølge forskerne selv, har vært å sette et kritisk søkelys på muligheten for å komme med «hyklerske» kodebidrag til åpen kilde-prosjekter, det vi si bidrag som tilsynelatende er til fordel for prosjektet, men som i virkeligheten er ment for å introdusere sårbarheter i programvaren.
Linux-kjernen ble valgt fordi den ifølge forskerne er så kompleks at prosessen hvor kodebidrag vurderes, ofte overser introduserte sårbarheter som involverer komplisert semantikk og kontekst.
Kjerneprosjektet skal ha blitt varslet om dette for å hindre at kodebidragene med sårbarhetene faktisk ble tatt i bruk. Dette skal ha skjedd i fjor høst og ble beskrevet av prosjektlederen på Twitter i november (deler av tråden er slettet). I desember kom forskerne med en nærmere forklaring. Det hele kunne ha stoppet der.
Bannlyste hele universitetet
Det er likevel først nå i april, da de samme forskerne på nytt har kommet med kodebidrag som med hensikt har sårbarheter, at fellesskapet som vedlikeholder Linux-kjernen, tydelig har fått nok.
– Fellesskapet vårt setter ikke pris på å bli eksperimentert med […]. Dersom dere ønsker å gjøre arbeid som dette, foreslår jeg at dere finner dere et annet fellesskap å kjøre eksperimentene deres i. Dere er ikke velkommen her, skriver Greg Kroah-Hartman, som vedlikeholder den stabile grenen av Linux-kjernen, i en melding i en lang diskusjonstråd, som et svar til doktorgradsstudenten Aditya Pakki ved UMN.
– På grunn av dette vil jeg nå bannlyse alle framtidige bidrag fra universitetet ditt, samt fjerne alle deres tidligere kodebidrag, siden de etter alt å dømme har blitt sendt inn for å skape problemer, fortsetter Kroah-Hartman.
I et svar til dette skriver en annen bidragsyter at mange av disse kodebidragene allerede har funnet veien til den stabile grenen av kodetreet.
Lover etterforskning
Ledelsen ved University of Minnesotas Department of Computer Science & Engineering kom i går med en formell uttalelse.
– Vi tar denne situasjonen ekstremt alvorlig. Vi har umiddelbart stoppet denne forskningslinjen. Vi vil etterforske forskningsmetoden og prosessen der forskningsmetoden ble godkjent, fastsette passende, korrigerende tiltak, og forhindre framtidige problemer, om nødvendig. Vi vil dele våre funn med fellesskapet så snart som det er praktisk mulig, skriver instituttledelsen.
Forkastelig, men …
Selv om mange virker enige i at å gjennomføre et slikt eksperiment hos andre – uten samtykke fra eller koordinering med noen på innsiden – er forkastelig, er det også flere som mener at eksperimentet har vært vellykket i den forstand at det setter søkelyset på om vurderingsprosessen holder mål.
Incredibly interesting research on how easy it was to introduce vulnerabilities to the supply chain via the Linux kernel.
Emotional overreaction IMO of reverting & banning all commits from the university that did the research.
This is valuable to know for national/global security https://t.co/RlQ39otU4G
– Katie Moussouris (she/her) is 1/2 vaccinated (@k8em0) April 21, 2021
Possibly unpopular opinion, but I feel like «only merge things after verifying they are valid» should maybe be the default policy of the most used piece of software in the world. pic.twitter.com/79AT1b3lxQ
– Filippo Valsorda ??⏳ (@FiloSottile) April 21, 2021
Langt fra alle er enige med disse to, noe som går tydelig fram av svarene på tvitringene. Andre igjen mener at forskerne ikke har avslørt noe nytt og at problemet med manglende kapasitet til å vurdere alle bidrag tilstrekkelig, har vært kjent i mange år.
