La universidad suspende el proyecto después de que los investigadores …



Un mantenedor de Linux se compromete a dejar de recibir envíos de código de la Universidad de Minnesota después de que un equipo de investigación presentara vulnerabilidades a propósito para mostrar las debilidades de la cadena de suministro de program.

La Universidad de Minnesota ha suspendido un proyecto de investigación después de quejas de que dos estudiantes investigadores enviaron código intencionalmente susceptible a los mantenedores del kernel de Linux como una forma de investigar si los problemas de integridad de la cadena de suministro afectaron el ecosistema de Linux ampliamente utilizado.

En el núcleo del kerfuffle se encuentra un trabajo de investigación aceptado en el prestigioso Simposio IEEE sobre seguridad y privacidad del próximo mes. El documento explain un proyecto de investigación que tenía como objetivo determinar la resistencia de los proyectos de application de código abierto a parches deliberadamente defectuosos, a través de los cuales los atacantes podrían introducir vulnerabilidades para ser explotadas en un momento posterior. Los investigadores enviaron al menos tres actualizaciones que podrían haber agregado vulnerabilidades al kernel de Linux.

El 21 de abril, Greg Kroah-Hartman, miembro de la Fundación Linux y mantenedor del kernel de Linux, prohibió a la Universidad de Minnesota contribuir al kernel de Linux y se comprometió a revertir todos los parches anteriores enviados por los investigadores, pendiente de revisión. Los mantenedores, muchos de ellos voluntarios, no tienen tiempo para tratar de eliminar actualizaciones deliberadamente maliciosas, dijo Kroah-Hartman a Darkish Looking at en una entrevista por correo electrónico.

«No tengo plan de lo que un investigador aleatorio debería o no debería hacer, ese no es mi lugar para decir», afirmó. «A lo que me opongo es a que la gente pierda el tiempo de los revisores del kernel de Linux a propósito, que es lo que estaba sucediendo aquí».

Los ataques a la cadena de suministro de software se han convertido en un problema importante tanto para los proyectos de código abierto como para los proveedores comerciales: la inserción de código malicioso en una actualización del software package de administración remota SolarWinds Orion probablemente instaló puertas traseras en miles de empresas. Los atacantes también buscan activamente vulnerabilidades en componentes de código abierto, compran proyectos de software para convertirlos en canales de malware o agregan código vulnerable como contribuyente infiel, como hicieron los investigadores de la Universidad de Minnesota.

Todos estos vectores exponen debilidades en la cadena de suministro de application y la dependencia de las aplicaciones comerciales y de código abierto y los servicios website en componentes de código abierto, muchos de los cuales son mantenidos por voluntarios.

Los investigadores de la UMN, el estudiante de doctorado Qiushi Wu y su asesor, el profesor asociado Kangjie Lu, decidieron investigar hasta qué punto un actor malintencionado podría introducir código susceptible en uno de los proyectos de computer software de código abierto (OSS) más importantes, el kernel de Linux. Los investigadores enviaron «confirmaciones hipócritas» o parches maliciosos que solucionan problemas menores y, al mismo tiempo, introducen vulnerabilidades más importantes.

El objetivo de la investigación period «investigar la inseguridad del OSS desde una perspectiva crítica: la viabilidad de un autor malicioso que introduzca de manera sigilosa vulnerabilidades como use-following-free of charge (UAF) en OSS a través de confirmaciones hipócritas», compromisos menores aparentemente beneficiosos que en realidad presentan otros problemas críticos , » el periódico dijo. «Estas vulnerabilidades introducidas pueden ser críticas, ya que pueden existir en el OSS durante un período prolongado y ser explotadas por el autor malicioso para afectar a una gran cantidad de dispositivos y usuarios».

Sin embargo, socavar activamente el proceso de desarrollo de software package para código abierto creó un trabajo significativo para los mantenedores del kernel de Linux. En una discusión sobre la lista de correo del Sistema de archivos de purple Linux (Linux-NFS), Kroah-Hartman criticó rotundamente la investigación, el abuso de confianza y los auspicios bajo los cuales los investigadores justificaron los experimentos.

«Nuestra comunidad no aprecia que se experimente y se &#39pruebe&#39 mediante el envío de parches conocidos que no hacen nada a propósito o introducen errores a propósito», Kroah-Hartman escribió en respuesta a un segundo estudiante investigador, Aditya Pakki, que también forma parte del grupo del profesor Lu. «Si deseas hacer un trabajo como este, te sugiero que encuentres una comunidad diferente para realizar tus experimentos, no eres bienvenido aquí. Debido a esto, ahora tendré que prohibir todas las contribuciones futuras de tu Universidad y eliminar tus contribuciones, ya que obviamente fueron presentadas de mala fe con la intención de causar problemas «.

Ninguno de los autores del artículo respondió a una solicitud de comentarios por correo electrónico.

Sin embargo, el miércoles por la noche, el Departamento de Ingeniería y Ciencias de la Computación de la Universidad de Minnesota emitió un comunicado en el que señaló la preocupación de la comunidad Linux y se comprometió a investigar el proyecto de investigación, que el departamento suspendió.

«Nos tomamos esta situación muy en serio», dijeron en el comunicado el jefe de departamento Mats Heimdahl y el jefe de departamento asociado Loren Terveen. «Hemos suspendido de inmediato esta línea de investigación. Investigaremos el método de investigación y el proceso mediante el cual se aprobó este método de investigación, determinaremos las medidas correctivas apropiadas y protegeremos contra problemas futuros, si es necesario».

El problema más problemático de la investigación es que el problema de la integridad de la cadena de suministro es un problema conocido que no necesita pruebas, ya que los ataques reales han demostrado su eficacia, escribió Laura Abbot, desarrolladora del kernel de Linux, en su blog.

«El problema con el enfoque que adoptaron los autores es que en realidad no muestra nada particularmente nuevo», dijo. «La comunidad del kernel ha sido muy consciente de esta brecha por un tiempo. Nadie necesita poner errores intencionalmente en el kernel, somos perfectamente capaces de hacerlo como parte de nuestro flujo de trabajo standard».

Los investigadores enfatizaron que diseñaron el proyecto para evitar que los parches maliciosos reales se fusionen con el kernel o los subsistemas de Linux.

«(E) l experimento se realizó de una manera segura: nos aseguramos de que nuestros parches permanezcan solo en los intercambios de correo electrónico y no se fusionarán con el código serious, por lo que no dañará a ningún usuario genuine», afirmaron en el documento.

Los investigadores también agregaron que honraron los esfuerzos que los mantenedores contribuyeron a los proyectos de código abierto, pero no pudieron ver una manera de realizar la investigación sin perder el tiempo de los mantenedores. En respuesta a las preocupaciones de que el enfoque de los investigadores contaminó la relación entre la academia y la industria, se disculparon pero mantuvieron que la investigación benefició a la comunidad en common.

«Los usuarios de OSS tienen derecho a conocer los riesgos potenciales por otro lado, exponer el problema tiene claros beneficios para la comunidad de OSS porque requiere esfuerzos para solucionar el problema», dijeron los investigadores. declaró en una aclaración en diciembre a las preocupaciones que surgieron en ese momento. «Motivaría a los investigadores y profesionales a desarrollar herramientas que prueben y verifiquen automáticamente los parches, lo que aliviaría la carga de mantenimiento».

El grupo intentó asegurarse de que los parches iniciales fueran lo más pequeños posible (menos de cinco líneas de código en cada caso) y solo enviar los parches iniciales para errores reales. Si bien los parches también introdujeron vulnerabilidades, los investigadores proporcionaron una solución actual después de notificar al encargado de los problemas adicionales.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Studying, MIT&#39s Engineering Review, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original