Linux Foundation stelt eisen aan de Universiteit van Minnesota vanwege beveiligingsproject

Om te zeggen dat Linux-kernelontwikkelaars woedend zijn over een paar afgestudeerde studenten van de University of Minnesota (UMN) die spelen bij het invoegen van beveiligingsproblemen in de Linux-kernel voor de doeleinden van een onderzoeksartikel ‘ On the Feasibility of Healthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits “is een grove understatement.

Greg Kroah-Hartman, de Linux-kernel-onderhouder, bekend als de meest genereuze en gemakkelijke van de Linux-kernel-beheerders, ontplofte en verbood UMN-ontwikkelaars om aan de Linux-kernel te werken. Dat kwam doordat hun patches “duidelijk te kwader trouw waren ingediend met de bedoeling problemen te veroorzaken”.

De onderzoekers, en hun afgestudeerde adviseur en een assistent-professor bij de UMN Computer Science & Engineering Department van de UMN, boden vervolgens hun excuses aan voor hun Linux kernel blunders .

Dat is niet genoeg, vinden de Linux-kernelontwikkelaars en de technische adviesraad van de Linux Foundation. Via de Linux Foundation hebben zij aan UMN gevraagd om specifieke acties te ondernemen voordat hun mensen weer mogen bijdragen aan Linux. We weten nu wat deze eisen zijn.

De brief, van Mike Dolan, senior VP van de Linux Foundation en algemeen manager van projecten, begint:

Het is onder onze aandacht gekomen dat sommige onderzoekers van de Universiteit van Minnesota (U of MN) op mensen lijken te hebben geëxperimenteerd, met name de Linux-kernelontwikkelaars, zonder de voorkennis of toestemming van die ontwikkelaars. Dit werd gedaan door bekende kwetsbare code in de veelgebruikte Linux-kernel voor te stellen als onderdeel van het werk “On the Feasibility of Healthily Introducing Vulnerabilities in Open Source Software via Hypocrite Commits”; er kunnen ook andere papers en projecten bij betrokken zijn. Het lijkt erop dat deze experimenten zijn uitgevoerd zonder voorafgaande beoordeling of goedkeuring door een Institutional Review Board (IRB), wat niet acceptabel is, en een IRB-beoordeling achteraf keurde dit experiment goed bij degenen die niet instemden.

Dit is correct. Wu en Lu openden hun notitie voor de UMN IRB door te zeggen: “We hebben onlangs een werk afgerond dat het patchproces van OSS bestudeert.” Ze vroegen de IRB pas om toestemming nadat ze de samenvatting van de krant op Twitter hadden gedeeld . Nadat ze hadden toegegeven dat de publicatie van het abstract ‘verhitte discussies en terugslag’ had veroorzaakt, verwijderden ze het abstract en boden ze hun excuses aan bij de IRB voor het veroorzaken van ‘veel verwarring en misverstanden’.

Hoewel de IRB dit onderzoek achteraf lijkt te hebben goedgekeurd, werd de Linux-kernelgemeenschap niet op de hoogte gehouden. De onderzoekers beweren dat ze met mensen in de Linux-gemeenschap hebben gesproken, maar ze worden nooit geïdentificeerd. Vandaar de reactie van Kroah-Hartman toen hij opnieuw “onzinpatches” voorgeschoteld kreeg en weer een poging om de tijd van de Linux-kernelbeheerders te verspillen door “door te gaan met experimenteren met de ontwikkelaars van de kernelgemeenschap”.

Dolan vervolgde:

We moedigen en verwelkomen onderzoek om beveiligings- en beveiligingsbeoordelingsprocessen te verbeteren. Het ontwikkelingsproces van de Linux-kernel neemt stappen om code te herzien om defecten te voorkomen. We zijn echter van mening dat experimenten op mensen zonder hun toestemming onethisch zijn en waarschijnlijk veel juridische problemen met zich meebrengen. Mensen zijn een integraal onderdeel van het evaluatie- en ontwikkelingsproces van software. De Linux-kernelontwikkelaars zijn geen proefpersonen en mogen niet als zodanig worden behandeld.

Dit is een belangrijk punt. De onderzoekers beweren eerst in hun IRB FAQ dat: “Dit wordt niet beschouwd als menselijk onderzoek. Dit project bestudeert enkele problemen met het patchproces in plaats van individueel gedrag, en we hebben geen persoonlijke informatie verzameld.”

In de volgende paragraaf trekken de UMN-onderzoekers zich echter terug van deze bewering.

“Tijdens het onderzoek dachten we eerlijk gezegd niet dat dit menselijk onderzoek was, dus hebben we in het begin geen IRB-goedkeuring aangevraagd. We bieden onze excuses aan voor de geuite zorgen. Dit is een belangrijke les die we hebben geleerd – vertrouw onszelf niet bij het bepalen van menselijk onderzoek; verwijs altijd naar de IRB als er bij een onderzoek menselijke proefpersonen in welke vorm dan ook betrokken zijn. ”

Dolan ging verder:

Dit verspilde ook hun kostbare tijd en bracht de miljarden mensen over de hele wereld die afhankelijk zijn van hun resultaten in gevaar. Terwijl de U of MN-onderzoekers beweerden stappen te ondernemen om te voorkomen dat kwetsbaarheden in de uiteindelijke software worden opgenomen, duidt hun gebrek aan toestemming op een gebrek aan zorg. Er zijn ook versterkte gevolgen omdat veranderingen in de Linux-kernel worden opgepikt door vele andere downstream-projecten die voortbouwen op de kernelcodebase.

Dan snappen we de kern van de zaak. Terwijl Dolan zei dat de verontschuldiging van de UMN-onderzoekers veelbelovend was , heeft de Linux-gemeenschap meer nodig. Of, zoals Kroah-Harman botweg zei :

Zoals u weet, hebben de Linux Foundation en de technische adviesraad van de Linux Foundation vrijdag een brief naar uw universiteit gestuurd met de specifieke acties die moeten worden ondernomen om ervoor te zorgen dat uw groep en uw universiteit eraan kunnen werken om het vertrouwen van de Linux-kernelgemeenschap.

Totdat deze maatregelen zijn genomen, hebben we verder niets te bespreken over deze kwestie.

Deze “verzoeken” zijn:

Geef het publiek op een versnelde manier alle informatie die nodig is om alle voorstellen van bekende kwetsbare code van elk U of MN-experiment te identificeren. De informatie moet de naam van elke beoogde software, de vastleggingsinformatie, de vermeende naam van de indiener, het e-mailadres, de datum / tijd, het onderwerp en / of code bevatten, zodat alle softwareontwikkelaars dergelijke voorstellen snel kunnen identificeren en mogelijk corrigerende maatregelen kunnen nemen. voor dergelijke experimenten.

Het vinden van al deze code is een echt probleem. Senior Linux-kernelontwikkelaar, Al Viro, die de eerste neppatch van april zag, merkte op : “Het gebrek aan gegevens is een deel van wat de hele zaak buiten proportie blaast – als ze de moeite namen om de lijst bij te voegen (of een link naar dergelijke) van SHA1 van commits die uit hun experiment waren voortgekomen, of, beter nog, onderhouden en voorzien van de lijst met bericht-id’s van alle inzendingen, succesvol en niet, deze puinhoop met algemene teruggaveverzoeken, enz. zou veel kleiner zijn geweest ( als het überhaupt gebeurd is). ”

Zoals het nu is, zijn de Linux-ontwikkelaars en -committers nu bezig met het herzien van enkele honderden UMN Linux-kernelpatches. Ze zijn niet geamuseerd.

Dolan ging verder met het verzoek om de paper te schrappen ‘uit de formele publicatie en formele presentatie van al het onderzoekswerk op basis van dit of soortgelijk onderzoek waarbij mensen lijken te zijn geëxperimenteerd zonder hun voorafgaande toestemming. Het is prima om archiefinformatie op internet achter te laten. ze zijn meestal al openbaar, maar er zou geen onderzoekstitel moeten zijn voor dergelijke werken. ”

Dankzij de FAQ van het papier weten we al dat het is geaccepteerd voor publicatie door het IEEE Symposium on Security and Privacy (IEEE S&P) 2021 . Dit is een topforum voor computerbeveiligingsonderzoekers. De virtuele bijeenkomst van 2021 vindt binnenkort plaats tussen 23 mei en 27 mei. Het UMN heeft nog niet gezegd of het zal worden ingetrokken.

Dolan drong erop aan om ervoor te zorgen dat verdere UMN-experimenten op mensen IRB-beoordeling hebben voordat het experiment begint.

“Zorg ervoor dat alle toekomstige IRB-beoordelingen van voorgestelde experimenten op mensen normaal gesproken de toestemming garanderen van degenen waarmee wordt geëxperimenteerd, volgens de gebruikelijke onderzoeksnormen en -wetten,” zei hij.

Op dit moment heeft het UMN niet gereageerd op ons verzoek om informatie over wat de school van plan is.

Het punt van dit alles, zei Dolan, is “om alle mogelijke en perceptie van schade door deze activiteiten te elimineren, elk waargenomen voordeel van dergelijke activiteiten te elimineren en herhaling ervan te voorkomen. We hopen productieve, gepaste open-source bijdragen te zien in de toekomst van uw studenten en faculteit, zoals we in voorgaande jaren hebben gezien van uw instelling. ”

De Linux Foundation wil dat de school zo snel mogelijk op deze verzoeken reageert. De Linux-beheerders willen ook weten wat er met de UMN-patches is, zodat ze ze kunnen vinden en verder kunnen gaan. Ze werken veel liever aan het verbeteren van Linux dan het opsporen van mogelijke opzettelijk geplaatste fouten.

Tot nu toe hebben ze er geen gevonden. Maar als u wordt beschuldigd van het onderhouden van het belangrijkste besturingssysteem ter wereld, better be safe than sorry.