Caos nel mondo Linux, patch introducono vulnerabilità nel kernel: c'è del marcio in Minnesota?

Caos nel mondo Linux, patch introducono vulnerabilità nel kernel: c'è del marcio in Minnesota?

Bufera nel mondo Linux dopo il ban dell'Università del Minnesota per aver inviato patch con falle di sicurezza o senza alcun valore per il kernel. Il manutentore Greg Kroah-Hartman ha deciso di non fare sconti e rimuovere dal kernel qualsiasi commit pubblicato dall'ateneo finora.

di pubblicata il , alle 08:01 nel canale Sistemi Operativi
Linux
 

C'è un "caso" che sta scuotendo la comunità Linux e che sta facendo discutere, almeno per la sua singolarità. La University of Minnesota (UMN) è stata "bannata", ossia non potrà più partecipare allo sviluppo del kernel proponendo patch. La decisione, comunicata all'ateneo dal manutentore del kernel Linux Greg Kroah-Hartman, vede la sua ragion d'essere dopo che i ricercatori dell'Università hanno intenzionalmente inviato patch con codice vulnerabile per il ramo stabile del kernel.

Non si tratta ovviamente di un'accusa campata per aria, ma di qualcosa di documentato, che fa riferimento a un documento di ricerca intitolato "Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits" e pubblicato a febbraio in cui i ricercatori dell'Università del Minnesota spiegano di aver intenzionalmente introdotto falle di sicurezza (nello specifico Use-After-Free) nel ramo principale del kernel Linux. Un atto a fini di ricerca, ma che non è andato giù a chi lavora quotidianamente per rendere il mondo open source sempre più sicuro e credibile.

Il problema è che dopo la pubblicazione del documento, i ricercatori della University of Minnesota hanno inviato un'altra ondata di patch creata automaticamente da un presunto tool di analisi statica. Il contenuto di questi commit si è rivelato senza valore. Come si suol dire, è stata la classica goccia che ha fatto traboccare il vaso, perché i manutentori si sono trovati a perdere tempo prezioso per verificare del codice senza arte né parte. Di conseguenza Greg Kroah-Hartman ha deciso di calare la mannaia, impedendo che i ricercatori dell'ateneo contribuissero in qualsiasi modo al kernel.

"Pochi minuti con chiunque abbia un'apparenza di conoscenza di linguaggio C porta a capire che i vostri contributi NON fanno nulla, quindi pensare che li ha creati uno strumento, e poi che avete pensato che fossero una valida "correzione" è totalmente negligente da parte vostra, non nostra. Siete voi i colpevoli, non è nostro compito essere i soggetti di prova di uno strumento che avete creato... Per questo motivo, ora dovrò bandire tutti i contributi futuri dalla vostra Università ed eliminare i contributi precedenti, poiché sono stati ovviamente presentati in malafede con l'intento di creare problemi".

Tutti i commit provenienti da indirizzi @umn.edu sono quindi stati rimossi, anche perché l'ateneo non ha fatto nulla per fermare i ricercatori dal proseguire sulla loro strada. "È stato riscontrato che i commit dagli indirizzi @umn.edu sono stati inviati in 'malafede' per provare a testare la capacità della comunità di rivedere cambiamenti notoriamente dannosi al kernel. Per questo motivo, tutti gli invii da questo gruppo devono essere rimossi dal ramo del kernel e dovranno essere riesaminati di nuovo per determinare se sono effettivamente una soluzione valida", ha spiegato Hartman alla comunità. "Fino al completamento del lavoro, [rimuoveremo] queste modifiche per garantire che non vengano introdotti problemi nel codice base", ha concluso Kroah-Hartman.


Screen: Bleeping Computer

Poteva finire qui la vicenda? Nient'affatto. Il ricercatore Aditya Pakki dell'UMN ha chiesto al manutentore di astenersi dal fare accuse che rasentano la calunnia. "Greg, vi chiedo rispettosamente di cessare e desistere dal fare accuse selvagge che rasentano la calunnia. Queste patch sono state inviate come parte di un nuovo analizzatore statico che ho scritto e la sua sensibilità ovviamente non è eccezionale. Ho inviato patch nella speranza di ottenere dei feedback. Non siamo esperti nel kernel di Linux e fare ripetutamente queste affermazioni è disgustoso. Ovviamente, abbiamo compiuto un passo falso, ma i tuoi pregiudizi sono così forti che fai accuse senza merito né ci dai alcun beneficio del dubbio. Non invierò più patch per l'atteggiamento non solo sgradito ma anche intimidatorio per neofiti e non esperti".

Kroah-Hartman ha risposto in modo lapidario. "Se desideri lavorare in questo modo, ti suggerisco di trovare una comunità diversa su cui eseguire i tuoi esperimenti, non sei il benvenuto qui". Ultimo atto? Macché, il dibattito ha ovviamente investito la comunità, tra favorevoli (molti) e contrari (alcuni).

Brad Spengler, presidente di Open Source Security Inc., che ha definito eccessiva la reazione da parte dei manutentori del kernel Linux. "[…] annullare i commit inviati ben prima di qualsiasi ricerca, rimuovere i controlli CAP_SYS_ADMIN che sono stati aggiunti, ecc ... Questo è da pazzi. […] reintrodurre consapevolmente dozzine di vulnerabilità per 'prendere posizione'? Andiamo", ha scritto Spengler su Twitter.

Jered Floyd di Red Hat la vede diversamente. "Questo è peggio di essere oggetto di un esperimento; è come dire che sei un 'ricercatore di sicurezza' recandoti in un negozio di alimentari e tagliando i tubi dei freni su tutte le auto (all'esterno, ndr) per vedere quante persone si schiantano quando se ne vanno. È enormemente immorale".

49 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
songohan22 Aprile 2021, 08:14 #1
Si, ma Linus che dice? O lo stanno tenendo 'addormentato' da qualche parte?
WarSide22 Aprile 2021, 08:15 #2
Han ragione i maintainer del kernel, punto.

1. Gli sviluppatori non sono delle c@zzo di cavie da laboratorio. Il paper sul "proviamo a committare merda e vediamo la community come la prende" se lo potevano risparmiare.

2. Se vomiti una marea di commit generati dalla tua $merdavigliosaApplicazioneScrittaACDC e non li controlli o, peggio, non sei in grado di comprenderne la bontà, allora vai a zappare la terra e lascia perdere il kernel linux.
WarSide22 Aprile 2021, 08:17 #3
Originariamente inviato da: songohan
Si, ma Linus che dice? O lo stanno tenendo 'addormentato' da qualche parte?


Sarà ancora rinchiuso in qualche monastero assieme a Stallman per non esplodere e droppare un vaffanculo nucleare sulle TdC di quell'uni.
songohan22 Aprile 2021, 08:19 #4
Originariamente inviato da: WarSide
Han ragione i maintainer del kernel, punto.

1. Gli sviluppatori non sono delle c@zzo di cavie da laboratorio. Il paper sul "proviamo a committare merda e vediamo la community come la prende" se lo potevano risparmiare.

2. Se vomiti una marea di commit generati dalla tua $merdavigliosaApplicazioneScrittaACDC e non li controlli o, peggio, non sei in grado di comprenderne la bontà, allora vai a zappare la terra e lascia perdere il kernel linux.


Ad ogni modo io non credo nella bonta' di questo progetto.
Penso che dietro vi sia la NSA o qualche altra agenzia americana che ha voluto 'tastare' il terreno.
Tedturb022 Aprile 2021, 08:22 #5
Sta usando il suo portavoce per evitare di essere rinchiuso di nuovo
cignox122 Aprile 2021, 08:22 #6
DA un certo punto di vista la ricerca ha un valore non trascurabile: la capacitá della comunitá linux di individuare velocemente contributi malevoli é importante.
D'altro canto, mettere a repentaglio la sicurezza del software solo per fare un esperimento é quantomeno opinabile...
omerook22 Aprile 2021, 08:23 #7
Tagliare i tubi dei freni nei negozi di alimentari?

Comunque se lo scopo di questi "ricercatori' era verificare se venivano beccati ed espulsi gli faccio i complimenti perché ottenuto un successo
coschizza22 Aprile 2021, 08:25 #8
Originariamente inviato da: songohan
Ad ogni modo io non credo nella bonta' di questo progetto.
Penso che dietro vi sia la NSA o qualche altra agenzia americana che ha voluto 'tastare' il terreno.


Se vuoi testare il terreno non fai una ricerca ufficiale di una università prestigiosa e ne rovini la reputazione
Manolo De Agostini22 Aprile 2021, 08:29 #9
Originariamente inviato da: omerook
Tagliare i tubi dei freni nei negozi di alimentari?


Delle auto all'esterno ovvio.. non so perché abbia fatto questo esempio un po' contorto... però se non vado errato, e come tutti posso sbagliare, mi pare che è quanto abbia scritto.
marcorrr22 Aprile 2021, 08:30 #10
Originariamente inviato da: songohan
Si, ma Linus che dice? O lo stanno tenendo 'addormentato' da qualche parte?


Sedato e legato perché aveva già in mano un'ascia per andare a esprimere cosa ne pensava dei ricercatori dell'Università del Minnesota

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^