ミネソタ大学のコンピューター科学者は、オープンソース ソフトウェアに脆弱性をこっそりと仕込むことができると理論づけたが、Linux カーネルを破壊しようとしたところ、見事に裏目に出た。
そして今、彼らの学校全体、あるいは少なくとも umn.edu の電子メール アドレスを使用しているすべての人が、今後 Linux カーネルへの貢献を申し出ることを禁止されました。
アメリカの大学のコンピュータサイエンスとエンジニアリングの博士課程の学生であるQiushi Wu氏と、同校の助教授であるKangjie Lu氏は、「偽善的なコミットによってオープンソースソフトウェアに脆弱性をこっそりと導入することの実現可能性について」[PDF]と題する論文を執筆し、来月開催される第42回IEEEセキュリティとプライバシーに関するシンポジウムの議事録で発表される予定である。
論文では、著者らが、オペレーティングシステムソフトウェアにエラー状態をもたらす、微妙に破壊的なコード投稿とされるものをどのように提出したかが説明されており、その後研究者らは Linux の保守管理者に連絡を取り、カーネルの正式リリースに悪質なコードが混入するのを防いだと主張している。
さらに、この実験は大学の倫理審査委員会(IRB)によって審査され、同委員会は、このプロジェクトが人間を対象とした研究には当たらないと判断、倫理審査の免除を認めたとも記されている。
OpenSSLが2つの重大度の高いバグを修正: 脆弱性により証明書の不正使用やサービス拒否攻撃が可能に
続きを読む
それにもかかわらず、Linux カーネル コミュニティはこの研究を個人的に受け止めています。
「我々のコミュニティーは、故意に何もしないか、故意にバグを導入する既知のパッチを提出することで実験され、『テスト』されることを好ましく思っていない」と、Linuxカーネルの主要メンテナーであるグレッグ・クロア・ハートマン氏は水曜日、Linuxカーネルのメーリングリストへの投稿で述べた。
「このような作業をしたいのであれば、実験を行う別のコミュニティを見つけることをお勧めします。ここでは歓迎されません。」
その後、クロア=ハートマン氏はミネソタ大学の関係者全員による今後の貢献を一切禁止し、プロジェクト参加者がLinuxカーネルに忍び込ませた不正コミットをすべて元に戻す意向を表明した。彼の一括元に戻し計画は204個のファイルに影響し、306件の追加と826件の削除が行われた。
かっこよくないけど...
議論に参加していた他の Linux 貢献者やメンテナーも、この欺瞞行為をすぐに非難した。
ノースイースタン大学のコンピュータサイエンスの准教授アビ・シェラット氏は、「学術研究はコミュニティの時間を無駄にしてはならない」と書き、実験が適切な審査を受けたかどうかを判断するためにミネソタ大学のIRBに質問するようLinuxコミュニティのメンバーに促した。
しかし、Linuxカーネルコミュニティ外の開発者の中には、Linuxカーネルコードのセキュリティこそが、研究者たちの奇行よりももっと注目されるべきだと考える者もいる。Googleの暗号・ソフトウェアエンジニアであるフィリポ・バルソルダ氏はTwitter投稿で、ミネソタ大学のメールアドレスからの今後の貢献を拒否するというクロア=ハートマン氏の発言を指摘し、確認済みのコードの正しさではなくメールアドレスのドメインに基づいて信頼の判断を下すことの方が、より注目すべき問題だと主張した。
「おそらくあまり人気のない意見かもしれないが、『有効であることを確認した後でのみマージする』というのが、おそらく世界で最も使用されているソフトウェアのデフォルトのポリシーであるべきだと思う」と彼は書いた。
ルータ・セキュリティーのCEO、ケイティ・ムスーリス氏も同様の見解を示し、今回の対応を「感情的な過剰反応」と呼び、調査結果は国家安全保障の観点から価値があると主張した。
レジスター紙は、疑わしいパッチの提出に関わった同大学のルー氏と博士課程の学生にコメントを求めたが、返答はなかった。
該当のパッチレビュープロセスに関わったメンテナーの皆様に心からお詫び申し上げます。この作業は彼らの貴重な時間を無駄にしてしまったのです。
しかし、ルー氏は大学のウェブページに掲載した説明文[PDF]の中で批判に反応した。
Lu氏は、この研究が公開Linuxコードに脆弱性をもたらすことはなかったと主張し、プロジェクトのセキュリティ強化目標を擁護し、Linuxメンテナーの時間を無駄にしたことを謝罪した。「私たちは(オープンソースソフトウェアの)ボランティアを尊重し、彼らの努力に敬意を表します」と彼は記した。「私たちはOSSやOSSユーザーに危害を加える意図は一切ありません。OSSにバグや脆弱性を導入したことはありませんし、導入するつもりもありません。」
彼の説明によると、バグのあるパッチは電子メールで送信され、メンテナーには事後に通知され、不良コードを進めないようにしたため、どの Linux ブランチでも Git コミットにはならなかったという。
「該当のパッチレビュープロセスに関わったメンテナーの皆様には、心からお詫び申し上げます。この作業は、皆様の貴重な時間を無駄にしてしまったと深くお詫び申し上げます」と彼は認め、「この問題については慎重に検討しましたが、今回の調査ではより良い解決策を見つけることができませんでした。」®
追加更新
ミネソタ大学コンピュータサイエンス&エンジニアリング学部は、水曜日の午後に発表した声明の中で、研究プロジェクトを一時停止し、是正措置や将来の安全策が必要かどうかを判断するために承認プロセスを調査する予定であると述べた。
