Sächsischer Hacker dringt in Wissenschafts-Netzwerk BOINC ein

MDR INFO, 07.02.13
–> Beitrag anhören
–> Bericht auf mdr.de 

Das Netz-Werk BOINC hat 
Sicherheitlücken. Foto: Voß

In eineinhalb Wochen  wird ein 50 Meter großer Asteroid sehr  nahe an der Erde vorbeifliegen. Wissenschaftler haben seine Flugbahn berechnet und sind sicher, dass es keine Kollision gibt. Für solche komplizierten Berechnungen gibt es ein Computernetz, das Rechner in aller Welt miteinander verbindet: BOINC. Einem Hacker aus Sachsen ist es gelungen, darin einzudringen. Er könnte sogar die Flugdaten des Asteroiden fälschen und die Berechnungen durcheinander bringen. Bislang vergeblich hat er auf die Sicherheitslücke hingewiesen.

orbit@home” nennt sich das von der NASA geförderte Projekt. Es beobachtet seit 2005 sogenannte erdnahe Objekte, die auf Kollisionskurs kommen könnten. Um das abzuschätzen sind Berechnungen notwendig, die kein bislang bekanntes Rechenzentrum durchführen kann, weil deren Kapazitäten einfach zu niedrig sind. Deshalb wird ein Verbund von Wissenschaftscomputern genutzt, der weltweit für dieses und andere Projekte existiert. Ganz simpel erklärt, sind die Computer alle via Internet miteinander verbunden und stellen ihre jeweils freien Kapazitäten zur Verfügung. Und in diesen Computer-Verbund ist Matthias Ungethuem eingedrungen – es gibt offene Sicherheitslücken.

Wenn wir es jetzt mal ganz weit nehmen, dann hätte es sein können, dass jemand diese Lücken ausgenutzt hat, die Berechnung verändert hat, und der Asteroid, der auf uns zukommt ist nicht 50 Meter groß, sondern 100 Meter groß.

User-Daten sind zugänglich. Foto: Voß

Und das könnte zu einer Katastrophe führen. Der Hacker, der in Geringswalde die Datensicherheitsfirma Unnex leitet, will verhindern, dass Schaden entsteht. Deshalb hat er vor einem Monat die Betreiber des Wissenschaftsnetzes informiert – “reportet” wie es in der Fachsprache heißt. Doch die zuständige Universität  Berkeley in den USA schloss die Lücken nur für die eigenen Projekte – alle anderen sind noch immer offen und gefährdet. So hat Matthias Ungethuem eine Liste mit über 5,3 Millionen Nutzer-Daten zur Verfügung. Vor den Augen des Reporters dringt er mit fremdem Passwort in das System ein, welches unter dem Namen BOINC bekannt ist.

Das ist der Mann, dem ich das reportet hatte. Sein Hash steht dahinter und hier drunter hab ich es dann entschlüsselt. Dann geben wir das mal ein. So. Und dann sind wir jetzt in seinem Account und können alles nutzen, was er so nutzen kann.
 

Viel gefährlicher ist es, dass  die Sicherheitslücken auch den Zugang auf alle Datenbanken freigeben. Matthias Ungethuem kann Inhalte löschen und verändern. Die Nutzer-Daten beispielsweise gehören zu einem anderen Projekt der NASA, mit dem nach außerirdischer Intelligenz gesucht wird. Unter den Usern sind Wissenschaftler der TU Dresden und der Freien Universität Berlin zu finden.

In einer öffentlich zugänglichen Datei innerhalb von BOINC werden die Fehler 
aufgelistet. Dadurch ist es für Kriminelle einfach in das Netzwerk einzudrigen. Foto: Voß

Eine weitere Gefahr: Cyberkriminelle könnten innerhalb von Sekunden über das Netzwerk weltweit Viren in Universitäten und Wissenschaftszentren einschleusen. Außerdem könnten sie die hohe Rechenkapazität nutzen, um gezielt Firmen oder Institutionen mit Angriffen auf deren Servern lahmzulegen.

Für den sächsischen Hacker ist es deshalb wichtig, dass die Lücken in dem Wissenschaftsnetz so schnell wie möglich geschlossen werden.

(c) Michael Voß, www.michael-voss.de

Schreibe einen Kommentar