News Sächsischer "Hacker" findet Sicherheitslücke im Computerverbund BOINC
- Ersteller Shai Hulud
- Erstellt am
User-News
Von Shai Hulud
Hinweis: Diese "User-News" wurde nicht von der Planet 3DNow! Redaktion veröffentlicht, sondern vom oben genannten Leser, der persönlich für den hier veröffentlichten Inhalt haftet.Wie MDR Info heute berichtete, hat der sächsische Computerexperte Matthias Ungethuem im Computernetzwerk BOINC eine Sicherheitslücke entdeckt, die es ermöglichen soll, in die Datenbanken der Projekte einzudringen und Daten zu ändern:
Denkbar wäre also speziell bei orbit@home, dass gefälschte Daten einen Asteroiden auf Kollisionskurs vorgaukeln. Ob allerdings dies wie im Bericht vermutet zu einer Katastrophe führen könnte, lasse ich dahingestellt (solch ein gefakter Asteroid würde sicherlich vor einer Veröffentlichung intensivst überprüft werden). Aber eine Sicherheitslücke auf 600.000 Rechnern ist nichtsdestotrotz ein Thema, welches mehr Beachtung verdient als es aktuell der Fall zu sein scheint. Die Universität Berkeley als Entwickler der Software scheint die Sicherheitslücke für die eigenen Projekte geschlossen zu haben, alle anderen seien laut Ungethuem, der die Computersicherheitsfirma Unnex in Geringswalde leitet, aber noch gefährdet!
Quelle: http://www.mdr.de/mdr-info/hacker-boinc100.html
Audiobeitrag: http://www.mdr.de/mdr-info/audio465442.html
Denkbar wäre also speziell bei orbit@home, dass gefälschte Daten einen Asteroiden auf Kollisionskurs vorgaukeln. Ob allerdings dies wie im Bericht vermutet zu einer Katastrophe führen könnte, lasse ich dahingestellt (solch ein gefakter Asteroid würde sicherlich vor einer Veröffentlichung intensivst überprüft werden). Aber eine Sicherheitslücke auf 600.000 Rechnern ist nichtsdestotrotz ein Thema, welches mehr Beachtung verdient als es aktuell der Fall zu sein scheint. Die Universität Berkeley als Entwickler der Software scheint die Sicherheitslücke für die eigenen Projekte geschlossen zu haben, alle anderen seien laut Ungethuem, der die Computersicherheitsfirma Unnex in Geringswalde leitet, aber noch gefährdet!
Quelle: http://www.mdr.de/mdr-info/hacker-boinc100.html
Audiobeitrag: http://www.mdr.de/mdr-info/audio465442.html
Zuletzt bearbeitet:
Nightshift
Grand Admiral Special
- Mitglied seit
- 19.08.2002
- Beiträge
- 4.447
- Renomée
- 81
- Standort
- Tief im Weeeeeesss-teheheheeen ;-)
Ein bisschen im Sensations-Modus ist der MDR da aber schon.
Es ist natürlich nicht gut, dass diese Sicherheitslücken vorhanden sind/waren - aber Berkeley kann nicht mehr machen als diese Lücken im Quellcode zu schließen. Für die Updates der Server-Software sind die Projektbetreiber selber zuständig, da kann Berkeley gar nichts machen. Zudem gibt es bei der Installation viele Sicherheitshinweise, bei denen es an den Projektbetreibern liegt diese zu beachten, auch der Hinweise auf Server-Updates ist gegeben.
Aber wenn man sich einmal die Server-Versionen vieler Projekte ansieht dann sieht man, dass viele total veraltet sind.
Trotzdem ist das Fazit etwas konstruiert: Wenn die Projektbetreiber es richtig gemacht haben, dann hat der Angreifer keinen Zugriff auf die RSA-Schlüssel (der sollte auf keiner Maschine mit Netzwerkzugriff liegen). Und ohne die können keine neuen Softwareversionen ausgeliefert werden, sprich ein Virus kann nicht mal soeben verschickt werden.
Offenliegende Nutzerdaten sind natürlich extrem schlecht, aber auch hier ist erstmal keine Gefahr im Verzug im Sinne von verseuchten Systemen, das Gleiche gilt für die Kompromitierung der Berechnungsdaten.
Andererseits hört sich das nicht so an, als wäre der Zugriff durch BOINC auf den restlichen Server möglich gewesen, spricht ein vollständiger Zugriff besteht nicht sondern "nur" auf die Datenbank. Und Zugriff von den Projekten auf die Client-Rechner besteht auch nicht.
Mein Fazit:
Wie schlimm die Auswirkungen der Sicherheitslücken sind hängt von den jeweiligen Projektbetreibern, ihrem Update-Willen und ihrer Sorgfalt beim Projektmanagement ab; das hat Berkeley durch die dezentrale Organisation nicht in der Hand. Denen den Schwarzen Peter zuzuschieben, obwohl sie die Lücke im Quellcode schon gefixt haben, spricht für fehlerhafte Recherchen.
Panik vor einer BOINC-Virenseuche braucht man auch nicht unbedingt zu haben (es sei denn manche Projektbetreiber wären extrem schlampig) - trotzdem steht viel auf dem Spiel weil BOINC vom Vertrauen der User lebt und dieses Vertrauen schon durch wenige Projekte zerstört werden kann, die sich um ihre Sicherheit nicht kümmern. Das gilt nicht nur für einen theoretischen Virus sondernn auch für die Kompromitierung der User-Daten, niemand hier will seinen Account verlieren!
Es kann sicherlich nicht schaden mal wieder regelmäßig die Passwörter zu wechseln und unterschiedliche Passwörter bei den Projekten zu nutzen.
Evtl. Projektbetreiber auf das Problem hinweisen, das kann man als normaler User auch noch machen.
Ich will das Sicherheitsproblem nicht schönreden, aber ein Satz wie "Cyberkriminelle könnten innerhalb von Sekunden über das Netzwerk weltweit Viren in Universitäten und Wissenschaftszentren einschleusen." ist in der Kürze und Einfachheit schlicht und ergreifend falsch und übertrieben. Das verursacht mehr Schaden, als es Nutzen bringt.
Es ist natürlich nicht gut, dass diese Sicherheitslücken vorhanden sind/waren - aber Berkeley kann nicht mehr machen als diese Lücken im Quellcode zu schließen. Für die Updates der Server-Software sind die Projektbetreiber selber zuständig, da kann Berkeley gar nichts machen. Zudem gibt es bei der Installation viele Sicherheitshinweise, bei denen es an den Projektbetreibern liegt diese zu beachten, auch der Hinweise auf Server-Updates ist gegeben.
Aber wenn man sich einmal die Server-Versionen vieler Projekte ansieht dann sieht man, dass viele total veraltet sind.
Trotzdem ist das Fazit etwas konstruiert: Wenn die Projektbetreiber es richtig gemacht haben, dann hat der Angreifer keinen Zugriff auf die RSA-Schlüssel (der sollte auf keiner Maschine mit Netzwerkzugriff liegen). Und ohne die können keine neuen Softwareversionen ausgeliefert werden, sprich ein Virus kann nicht mal soeben verschickt werden.
Offenliegende Nutzerdaten sind natürlich extrem schlecht, aber auch hier ist erstmal keine Gefahr im Verzug im Sinne von verseuchten Systemen, das Gleiche gilt für die Kompromitierung der Berechnungsdaten.
Andererseits hört sich das nicht so an, als wäre der Zugriff durch BOINC auf den restlichen Server möglich gewesen, spricht ein vollständiger Zugriff besteht nicht sondern "nur" auf die Datenbank. Und Zugriff von den Projekten auf die Client-Rechner besteht auch nicht.
Mein Fazit:
Wie schlimm die Auswirkungen der Sicherheitslücken sind hängt von den jeweiligen Projektbetreibern, ihrem Update-Willen und ihrer Sorgfalt beim Projektmanagement ab; das hat Berkeley durch die dezentrale Organisation nicht in der Hand. Denen den Schwarzen Peter zuzuschieben, obwohl sie die Lücke im Quellcode schon gefixt haben, spricht für fehlerhafte Recherchen.
Panik vor einer BOINC-Virenseuche braucht man auch nicht unbedingt zu haben (es sei denn manche Projektbetreiber wären extrem schlampig) - trotzdem steht viel auf dem Spiel weil BOINC vom Vertrauen der User lebt und dieses Vertrauen schon durch wenige Projekte zerstört werden kann, die sich um ihre Sicherheit nicht kümmern. Das gilt nicht nur für einen theoretischen Virus sondernn auch für die Kompromitierung der User-Daten, niemand hier will seinen Account verlieren!
Es kann sicherlich nicht schaden mal wieder regelmäßig die Passwörter zu wechseln und unterschiedliche Passwörter bei den Projekten zu nutzen.
Evtl. Projektbetreiber auf das Problem hinweisen, das kann man als normaler User auch noch machen.
Ich will das Sicherheitsproblem nicht schönreden, aber ein Satz wie "Cyberkriminelle könnten innerhalb von Sekunden über das Netzwerk weltweit Viren in Universitäten und Wissenschaftszentren einschleusen." ist in der Kürze und Einfachheit schlicht und ergreifend falsch und übertrieben. Das verursacht mehr Schaden, als es Nutzen bringt.
Zuletzt bearbeitet:
Seinen Rechner kann man gegenüber BOINC abschotten, indem man es in diesem Protected Mode installiert, bei dem separate Benutzerkonten mit speziellen Rechten eingerichtet werden, unter denen dann die einzelnen Teile von BOINC laufen. Dieser Installationsmodus sollte sowieso Standard sein.
Nightshift
Grand Admiral Special
- Mitglied seit
- 19.08.2002
- Beiträge
- 4.447
- Renomée
- 81
- Standort
- Tief im Weeeeeesss-teheheheeen ;-)
@TiKu: Immer wieder ein guter Tip!
Also in der Regel kann man die Server-Version auf der Seite "Server status" sehen. Es gibt aber auch das eine oder andere Projekt, dass die Versions-Information von dieser Seite gelöscht hat.
Also in der Regel kann man die Server-Version auf der Seite "Server status" sehen. Es gibt aber auch das eine oder andere Projekt, dass die Versions-Information von dieser Seite gelöscht hat.