Zum Thema Sicherheitsprobleme bei BOINC

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34738
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Zum Thema Sicherheitsprobleme bei BOINC

Beitrag von doelf » 18 Feb 2013, 10:33

Au-Ja.de hat seit vielen Jahren ein eigenes Team für verteiltes Rechnen und setzt dabei auf BOINC (Berkeley Open Infrastructure for Network Computing). Vor einigen Tagen berichtete der MDR über weitreichende Sicherheitslücken im BOINC-Netz, doch leider ist der Spekulationsgehalt dieses Artikels deutlich höher als sein Informationsgehalt.

Die Faktenlage sieht folgendermaßen aus: Der aus Sachsen stammende Hacker Matthias Ungethuem entdeckte eine Möglichkeit zur SQL-Injection, mit deren Hilfe er Nutzerdaten aus einzelnen Projektdatenbanken auslesen konnte. Ungethuem hat den Fehler gemeldet und Mitarbeiter der Universität Berkeley haben die Schwachstelle am 7. Januar 2013 geschlossen. Darüber hinaus wurden die Administratoren aller beteiligten Projekte informiert, um entsprechende Maßnahmen zu ergreifen. Ob dies bei allen Projekten geschehen ist, lässt sich schwer nachvollziehen, denn BONIC ist kein Netzwerk, sondern nur die den Netzwerken zugrunde liegende Software. Die einzelnen Projekte nutzen zwar BOINC, arbeiten aber vollkommen autonom und sind somit für ihre eigene Sicherheit verantwortlich.

Laut MDR konnte Ungethuem über die SQL-Injection die Daten von 5,3 Millionen Nutzern abgreifen. Ausgehend von Orbit@home, welches vor zwei Tagen aufgrund Geldmangels gestoppt wurde, konnte der Hacker offenbar auch auf Nutzerdaten von SETI@home zugreifen. Ob er hierzu die gleiche Schwachstelle nutzte oder auf identische Login-Daten zurückgegriffen hat, geht aus dem Artikel leider nicht hervor. Offenbar konnte Ungethuem einige Hashes entschlüsseln und sich mit den gewonnenen Passwörtern bei den Benutzerkonten anmelden. Eine Veröffentlichung der gestohlenen Benutzerdaten ist nicht zu erwarten.

Weiterhin behauptet der MDR, dass auch alle Datenbanken mit Projektdaten zugänglich seien und auf diese Weise die Forschungsergebnisse manipuliert werden können. Zudem bestehe die Gefahr, dass Kriminelle in BOINC eindringen und damit Viren an Millionen von Rechnern verschicken. Diese beiden Behauptungen sind unbewiesen und dürfen bezweifelt werden. Zum Schutz gegen derartige Angriffe prüft BOINC alle ausführbaren Projektdateien auf ihre Signatur. Sofern sich die Projektleiter an die Vorgaben aus Berkeley halten, befindet sich der private Schlüssel zum Signieren des Codes auf einem Computer, der keine Verbindung zum Internet hat. Um eigene Programmdateien einschleusen zu können, müsste der Angreifer also nicht nur Zugriff auf das Netzwerk erlangen, sondern auch den privaten Schlüssel des Projekts unbemerkt stehlen und damit seinen eigenen Code signieren.

Wir hoffen, dass wir mit dieser Meldung einige Unklarheiten beseitigen konnten. Reißerische Artikel wie der des MDR schaden BOINC und den beteiligten Projekten, ohne die betroffenen Benutzer wirklich zu informieren. Das ist sehr bedauerlich, denn unzählige Freiwillige investieren unentgeltlich viel Zeit und Rechenkraft in diese Projekte. Wir stehen weiterhin zu BOINC, werden die Entwicklungen bezüglich der Sicherheit aber ebenso im Auge behalten.

Antworten