App installieren
How to install the app on iOS
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature may not be available in some browsers.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
News Sächsischer "Hacker" findet Sicherheitslücke im Computerverbund BOINC
- Ersteller Shai Hulud
- Erstellt am
User-News
Von Shai Hulud
Hinweis: Diese "User-News" wurde nicht von der Planet 3DNow! Redaktion veröffentlicht, sondern vom oben genannten Leser, der persönlich für den hier veröffentlichten Inhalt haftet.Wie MDR Info heute berichtete, hat der sächsische Computerexperte Matthias Ungethuem im Computernetzwerk BOINC eine Sicherheitslücke entdeckt, die es ermöglichen soll, in die Datenbanken der Projekte einzudringen und Daten zu ändern:
Denkbar wäre also speziell bei orbit@home, dass gefälschte Daten einen Asteroiden auf Kollisionskurs vorgaukeln. Ob allerdings dies wie im Bericht vermutet zu einer Katastrophe führen könnte, lasse ich dahingestellt (solch ein gefakter Asteroid würde sicherlich vor einer Veröffentlichung intensivst überprüft werden). Aber eine Sicherheitslücke auf 600.000 Rechnern ist nichtsdestotrotz ein Thema, welches mehr Beachtung verdient als es aktuell der Fall zu sein scheint. Die Universität Berkeley als Entwickler der Software scheint die Sicherheitslücke für die eigenen Projekte geschlossen zu haben, alle anderen seien laut Ungethuem, der die Computersicherheitsfirma Unnex in Geringswalde leitet, aber noch gefährdet!
Quelle: http://www.mdr.de/mdr-info/hacker-boinc100.html
Audiobeitrag: http://www.mdr.de/mdr-info/audio465442.html
In anderthalb Wochen wird ein 50 Meter großer Asteroid sehr nahe an der Erde vorbeifliegen. Wissenschaftler haben seine Flugbahn berechnet und sind sicher, dass es keine Kollision gibt. Für solche komplizierten Berechnungen gibt es ein Computernetz, das Rechner in aller Welt miteinander verbindet: BOINC. Einem Hacker aus Sachsen ist es gelungen, darin einzudringen. Er könnte sogar die Flugdaten des Asteroiden fälschen und die Berechnungen durcheinander bringen. Bislang vergeblich hat er auf die Sicherheitslücke hingewiesen.
Denkbar wäre also speziell bei orbit@home, dass gefälschte Daten einen Asteroiden auf Kollisionskurs vorgaukeln. Ob allerdings dies wie im Bericht vermutet zu einer Katastrophe führen könnte, lasse ich dahingestellt (solch ein gefakter Asteroid würde sicherlich vor einer Veröffentlichung intensivst überprüft werden). Aber eine Sicherheitslücke auf 600.000 Rechnern ist nichtsdestotrotz ein Thema, welches mehr Beachtung verdient als es aktuell der Fall zu sein scheint. Die Universität Berkeley als Entwickler der Software scheint die Sicherheitslücke für die eigenen Projekte geschlossen zu haben, alle anderen seien laut Ungethuem, der die Computersicherheitsfirma Unnex in Geringswalde leitet, aber noch gefährdet!
Quelle: http://www.mdr.de/mdr-info/hacker-boinc100.html
Audiobeitrag: http://www.mdr.de/mdr-info/audio465442.html
Zuletzt bearbeitet:
Nightshift
Grand Admiral Special
- Mitglied seit
- 19.08.2002
- Beiträge
- 4.447
- Renomée
- 81
- Standort
- Tief im Weeeeeesss-teheheheeen ;-)
- Mitglied der Planet 3DNow! Kavallerie!
- Aktuelle Projekte
- SIMAP, Docking, POEM
- Lieblingsprojekt
- SIMAP
- Meine Systeme
- Ci7-3770K@3,8 GHz, C2Q 9550@3,4 GHz, AthlonII 620 X4 (+ 2x Ci3-2100, 2x C2D 8400, 9x A4-3420, E-450)
- BOINC-Statistiken
- Prozessor
- Ryzen 7 3700X @stock
- Mainboard
- Gigabyte X570 Aorus Elite
- Kühlung
- Noctua NH-D15 chromax.black
- Speicher
- 2x 16 GB Corsair Vengeance LPX (schwarz) PC4-25600U (DDR4-3200) CL16-18-18-36 @stock
- Grafikprozessor
- Powercolor RX 5700 Red Dragon @stock
- Display
- Eizo FlexScan EV2750
- SSD
- Corsair MP600 1TB M.2 NVMe | Kingston A2000 NVMe PCIe SSD 1TB | Samsung 850 EVO 500 GB
- Optisches Laufwerk
- LG BH16NS55| NEC AD-7203S
- Soundkarte
- onboard :-P der Hardwaregott habe meine Creative Audgiy 2ZS selig
- Gehäuse
- Nanoxia Deep Silence 5, schallgedämmt
- Netzteil
- be quiet! Straight Power E11 650W
- Tastatur
- Razer Ornata Chroma
- Maus
- Logitech Lift for Business
- Betriebssystem
- Win 10 Pro 64bit
- Webbrowser
- Firefox
- Verschiedenes
- rockstable & silent
- Schau Dir das System auf sysprofile.de an
Ein bisschen im Sensations-Modus ist der MDR da aber schon.
Es ist natürlich nicht gut, dass diese Sicherheitslücken vorhanden sind/waren - aber Berkeley kann nicht mehr machen als diese Lücken im Quellcode zu schließen. Für die Updates der Server-Software sind die Projektbetreiber selber zuständig, da kann Berkeley gar nichts machen. Zudem gibt es bei der Installation viele Sicherheitshinweise, bei denen es an den Projektbetreibern liegt diese zu beachten, auch der Hinweise auf Server-Updates ist gegeben.
Aber wenn man sich einmal die Server-Versionen vieler Projekte ansieht dann sieht man, dass viele total veraltet sind.
Trotzdem ist das Fazit etwas konstruiert: Wenn die Projektbetreiber es richtig gemacht haben, dann hat der Angreifer keinen Zugriff auf die RSA-Schlüssel (der sollte auf keiner Maschine mit Netzwerkzugriff liegen). Und ohne die können keine neuen Softwareversionen ausgeliefert werden, sprich ein Virus kann nicht mal soeben verschickt werden.
Offenliegende Nutzerdaten sind natürlich extrem schlecht, aber auch hier ist erstmal keine Gefahr im Verzug im Sinne von verseuchten Systemen, das Gleiche gilt für die Kompromitierung der Berechnungsdaten.
Andererseits hört sich das nicht so an, als wäre der Zugriff durch BOINC auf den restlichen Server möglich gewesen, spricht ein vollständiger Zugriff besteht nicht sondern "nur" auf die Datenbank. Und Zugriff von den Projekten auf die Client-Rechner besteht auch nicht.
Mein Fazit:
Wie schlimm die Auswirkungen der Sicherheitslücken sind hängt von den jeweiligen Projektbetreibern, ihrem Update-Willen und ihrer Sorgfalt beim Projektmanagement ab; das hat Berkeley durch die dezentrale Organisation nicht in der Hand. Denen den Schwarzen Peter zuzuschieben, obwohl sie die Lücke im Quellcode schon gefixt haben, spricht für fehlerhafte Recherchen.
Panik vor einer BOINC-Virenseuche braucht man auch nicht unbedingt zu haben (es sei denn manche Projektbetreiber wären extrem schlampig) - trotzdem steht viel auf dem Spiel weil BOINC vom Vertrauen der User lebt und dieses Vertrauen schon durch wenige Projekte zerstört werden kann, die sich um ihre Sicherheit nicht kümmern. Das gilt nicht nur für einen theoretischen Virus sondernn auch für die Kompromitierung der User-Daten, niemand hier will seinen Account verlieren!
Es kann sicherlich nicht schaden mal wieder regelmäßig die Passwörter zu wechseln und unterschiedliche Passwörter bei den Projekten zu nutzen.
Evtl. Projektbetreiber auf das Problem hinweisen, das kann man als normaler User auch noch machen.
Ich will das Sicherheitsproblem nicht schönreden, aber ein Satz wie "Cyberkriminelle könnten innerhalb von Sekunden über das Netzwerk weltweit Viren in Universitäten und Wissenschaftszentren einschleusen." ist in der Kürze und Einfachheit schlicht und ergreifend falsch und übertrieben. Das verursacht mehr Schaden, als es Nutzen bringt.
Es ist natürlich nicht gut, dass diese Sicherheitslücken vorhanden sind/waren - aber Berkeley kann nicht mehr machen als diese Lücken im Quellcode zu schließen. Für die Updates der Server-Software sind die Projektbetreiber selber zuständig, da kann Berkeley gar nichts machen. Zudem gibt es bei der Installation viele Sicherheitshinweise, bei denen es an den Projektbetreibern liegt diese zu beachten, auch der Hinweise auf Server-Updates ist gegeben.
Aber wenn man sich einmal die Server-Versionen vieler Projekte ansieht dann sieht man, dass viele total veraltet sind.
Trotzdem ist das Fazit etwas konstruiert: Wenn die Projektbetreiber es richtig gemacht haben, dann hat der Angreifer keinen Zugriff auf die RSA-Schlüssel (der sollte auf keiner Maschine mit Netzwerkzugriff liegen). Und ohne die können keine neuen Softwareversionen ausgeliefert werden, sprich ein Virus kann nicht mal soeben verschickt werden.
Offenliegende Nutzerdaten sind natürlich extrem schlecht, aber auch hier ist erstmal keine Gefahr im Verzug im Sinne von verseuchten Systemen, das Gleiche gilt für die Kompromitierung der Berechnungsdaten.
Andererseits hört sich das nicht so an, als wäre der Zugriff durch BOINC auf den restlichen Server möglich gewesen, spricht ein vollständiger Zugriff besteht nicht sondern "nur" auf die Datenbank. Und Zugriff von den Projekten auf die Client-Rechner besteht auch nicht.
Mein Fazit:
Wie schlimm die Auswirkungen der Sicherheitslücken sind hängt von den jeweiligen Projektbetreibern, ihrem Update-Willen und ihrer Sorgfalt beim Projektmanagement ab; das hat Berkeley durch die dezentrale Organisation nicht in der Hand. Denen den Schwarzen Peter zuzuschieben, obwohl sie die Lücke im Quellcode schon gefixt haben, spricht für fehlerhafte Recherchen.
Panik vor einer BOINC-Virenseuche braucht man auch nicht unbedingt zu haben (es sei denn manche Projektbetreiber wären extrem schlampig) - trotzdem steht viel auf dem Spiel weil BOINC vom Vertrauen der User lebt und dieses Vertrauen schon durch wenige Projekte zerstört werden kann, die sich um ihre Sicherheit nicht kümmern. Das gilt nicht nur für einen theoretischen Virus sondernn auch für die Kompromitierung der User-Daten, niemand hier will seinen Account verlieren!
Es kann sicherlich nicht schaden mal wieder regelmäßig die Passwörter zu wechseln und unterschiedliche Passwörter bei den Projekten zu nutzen.
Evtl. Projektbetreiber auf das Problem hinweisen, das kann man als normaler User auch noch machen.
Ich will das Sicherheitsproblem nicht schönreden, aber ein Satz wie "Cyberkriminelle könnten innerhalb von Sekunden über das Netzwerk weltweit Viren in Universitäten und Wissenschaftszentren einschleusen." ist in der Kürze und Einfachheit schlicht und ergreifend falsch und übertrieben. Das verursacht mehr Schaden, als es Nutzen bringt.
Zuletzt bearbeitet:
ONH
Grand Admiral Special
Aber wenn man sich einmal die Server-Versionen vieler Projekte ansieht dann sieht man, dass viele total veraltet sind.
Habe das gleiche gedacht. Wie sieht man die Serverversion der Projekte, dann kann ich mich von den "veralteten" Projekten verabschieden.
- Mitglied seit
- 16.11.2001
- Beiträge
- 21.665
- Renomée
- 1.249
- Standort
- München
- Aktuelle Projekte
- World Community Grid
- Lieblingsprojekt
- Folding@Home
- Meine Systeme
- AMD Ryzen 9 5950X
- BOINC-Statistiken
- Folding@Home-Statistiken
- Prozessor
- AMD Ryzen 9 5950X
- Mainboard
- ASUS TUF Gaming X570-Pro [WI-FI]
- Kühlung
- be quiet! Shadow Rock 3
- Speicher
- 4x 16GB DDR4-3200 Corsair Vengeance LPX
- Grafikprozessor
- ASRock Radeon RX 550 Phantom Gaming Aktiv 2GB
- Display
- LG 27UL850-W, 27"
- SSD
- Samsung 980 PRO 2TB, Samsung 840 EVO 500GB
- HDD
- Seagate Barracuda 7200.14 3TB SATA3
- Optisches Laufwerk
- Samsung SH-S183A SATA schwarz (im externen Gehäuse)
- Gehäuse
- be quiet! Silent Base 802 schwarz
- Netzteil
- be quiet! Straight Power 11 Platinum 550W
- Tastatur
- Logitech G613 Lightspeed
- Maus
- Logitech M510
- Betriebssystem
- Ubuntu Linux 22.04
- Webbrowser
- Vivaldi
- Internetanbindung
-
▼100 MBit
▲40 MBit
Seinen Rechner kann man gegenüber BOINC abschotten, indem man es in diesem Protected Mode installiert, bei dem separate Benutzerkonten mit speziellen Rechten eingerichtet werden, unter denen dann die einzelnen Teile von BOINC laufen. Dieser Installationsmodus sollte sowieso Standard sein.
Nightshift
Grand Admiral Special
- Mitglied seit
- 19.08.2002
- Beiträge
- 4.447
- Renomée
- 81
- Standort
- Tief im Weeeeeesss-teheheheeen ;-)
- Mitglied der Planet 3DNow! Kavallerie!
- Aktuelle Projekte
- SIMAP, Docking, POEM
- Lieblingsprojekt
- SIMAP
- Meine Systeme
- Ci7-3770K@3,8 GHz, C2Q 9550@3,4 GHz, AthlonII 620 X4 (+ 2x Ci3-2100, 2x C2D 8400, 9x A4-3420, E-450)
- BOINC-Statistiken
- Prozessor
- Ryzen 7 3700X @stock
- Mainboard
- Gigabyte X570 Aorus Elite
- Kühlung
- Noctua NH-D15 chromax.black
- Speicher
- 2x 16 GB Corsair Vengeance LPX (schwarz) PC4-25600U (DDR4-3200) CL16-18-18-36 @stock
- Grafikprozessor
- Powercolor RX 5700 Red Dragon @stock
- Display
- Eizo FlexScan EV2750
- SSD
- Corsair MP600 1TB M.2 NVMe | Kingston A2000 NVMe PCIe SSD 1TB | Samsung 850 EVO 500 GB
- Optisches Laufwerk
- LG BH16NS55| NEC AD-7203S
- Soundkarte
- onboard :-P der Hardwaregott habe meine Creative Audgiy 2ZS selig
- Gehäuse
- Nanoxia Deep Silence 5, schallgedämmt
- Netzteil
- be quiet! Straight Power E11 650W
- Tastatur
- Razer Ornata Chroma
- Maus
- Logitech Lift for Business
- Betriebssystem
- Win 10 Pro 64bit
- Webbrowser
- Firefox
- Verschiedenes
- rockstable & silent
- Schau Dir das System auf sysprofile.de an
@TiKu: Immer wieder ein guter Tip!
Also in der Regel kann man die Server-Version auf der Seite "Server status" sehen. Es gibt aber auch das eine oder andere Projekt, dass die Versions-Information von dieser Seite gelöscht hat.
Habe das gleiche gedacht. Wie sieht man die Serverversion der Projekte, dann kann ich mich von den "veralteten" Projekten verabschieden.
Also in der Regel kann man die Server-Version auf der Seite "Server status" sehen. Es gibt aber auch das eine oder andere Projekt, dass die Versions-Information von dieser Seite gelöscht hat.