Hace pocos días se suscitó un incidente inusual, que sacudió a la comunidad del kernel de Linux, y es que Linus Torvalds ordenó el bloqueo inmediato de la cuenta de Kees Cook en kernel.org, tras detectar la existencia de commits manipulados en el repositorio Git de este desarrollador.

Kees Cook, reconocido por su liderazgo en el equipo de seguridad de Ubuntu y por mantener más de una decena de subsistemas relacionados con la seguridad del kernel, fue temporalmente vetado de enviar cambios mientras se aclaraban los hechos.

Alteración de autorías y firmas en el repositorio de Kees Cook

La problemática se generó por una solicitud de incorporación de cambios a la rama del kernel 6.16, en la que Linus identificó referencias a un repositorio que contenía commits manipulados con su nombre como autor y confirmador, a pesar de no haberlos realizado él. Uno de los ejemplos más graves fue la existencia de un commit duplicado, idéntico en contenido al original pero con un hash SHA1 distinto, que incluía falsamente la firma de Linus Torvalds.

Estos cambios no podían atribuirse simplemente a un error accidental durante una operación de git rebase, ya que implicaban la modificación masiva de información sensible, incluyendo más de 6.000 confirmaciones reescritas, de las cuales 330 llevaban el nombre de Linus como autor.

La reacción de Torvalds: sospechas de manipulación deliberada

Linus Torvalds no ocultó su preocupación y calificó los hechos como potencialmente maliciosos:

«Una o dos reescrituras podrían ser un error. Pero miles de ellas, muchas con mi firma falsificada, no lo son», declaró.

Ante la magnitud de los cambios y el riesgo para la integridad del árbol oficial del kernel, Torvalds solicitó a Konstantin Ryabitsev, administrador de la infraestructura de kernel.org, que bloqueara el acceso de Kees Cook hasta esclarecer la situación.

En respuesta, Kees Cook explicó que había tenido problemas técnicos recientes que podrían haber desencadenado el incidente. Según relató, su unidad SSD presentaba fallos durante operaciones de copia, lo que había provocado corrupción en varios repositorios. Tras esos errores, intentó recuperar el estado de su repositorio usando git rebase y diversas herramientas de automatización.

Sin embargo, estas operaciones se realizaron sobre ramas críticas, como for-next/hardening y for-linus/hardening, lo que llevó a una modificación accidental de la historia del repositorio, incluyendo el cambio en la autoría de commits. A pesar de su explicación, Linus se mostró escéptico:

«No entiendo cómo se puede hacer un rebase de forma accidental, mucho menos con este volumen de alteraciones».

El verdadero culpable: git-filter-repo y b4 trailers

En un mensaje posterior, Kees Cook identificó el origen probable del error: el uso combinado de dos herramientas, git-filter-repo y b4 trailers, que manipulan el historial de confirmaciones y los trailers (etiquetas como Signed-off-by:) en los commits.

Este uso incorrecto de las utilidades habría provocado la reescritura automática de miles de confirmaciones, incluyendo la sustitución del autor por el valor por defecto (en este caso, Linus Torvalds), sin que Kees advirtiera el error en el momento. Konstantin Ryabitsev, autor de la herramienta b4, confirmó esta teoría y aseguró que no hubo ninguna intención maliciosa por parte de Cook. De hecho, el sistema ya estaba generando advertencias que fueron ignoradas.

Tras aclararse la situación, el acceso de Kees Cook a kernel.org fue restaurado. Como medida preventiva, se ha anunciado que la herramienta b4 incluirá una nueva comprobación de seguridad, que evitará en adelante la modificación de commits cuya autoría no coincida con la identidad del usuario actual. Así se busca prevenir errores similares y proteger la integridad del código fuente del kernel.

Kees, por su parte, se comprometió a recrear las ramas afectadas a partir de parches individuales y analizar en profundidad los pasos que llevaron al error. Aunque el incidente ha tensado las relaciones dentro del equipo de desarrollo del kernel, también ha puesto de relieve la importancia de utilizar con cautela las herramientas de reescritura de historial, especialmente en proyectos tan críticos como el del núcleo de Linux.

Finalmente, cabe mencionar que este incidente entre Linus Torvalds y Kees Cook sirve como advertencia sobre los peligros de manipular el historial de commits y que gracias a la rápida intervención de los responsables de kernel.org y a la transparencia del proceso, la situación ha sido controlada.

Finalmente, si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.