Sikkerhedshul i rumforsknings-screensaver

SETI@home, der udnytter ledig computerkraft på internet til at analyse data fra rummet, indeholder et sikkerhedshul. Hackere kan afvikle kode på de maskiner, der benytter rumforsknings-screensaveren, men det er ikke let.

Af Send e-mail
Publiceret d. 8. april 2003 kl. 13.36
Send Tip en ven Print Udskriv


Annonce:
 
ANNONCE:
Screensaveren fra et amerikansk rumforskningsprogram, Search for Extraterrestrial Intelligence (SETI), indeholder et sikkerhedshul.

Angribere, der udnytter hullet, kan afvikle kode på de pc'er, der fungerer som regnemaskiner for rumforskningsprogrammet. Der er mellem 500.000 og 600.000 aktive brugere af systemet.

SETI@home er en screensaver, som brugerne installerer på deres pc'er. Den er udviklet af forskere på Berkeley-universitetet i Californien

Når computeren er koblet til internet, men ikke bliver brugt, går screensaveren i gang med at udnytte datakraften til at analyse data fra det store radioteleskop Arecibo.

En hollandsk studerende, der går under navnet Berend-Jan Wever, har fundet ud af, at det er muligt at udnytte et såkaldt bufferoverløb, som går ud på at sende en meget lang kommandostreng til systemet.

På den måde kan angribere få afviklet deres egen kode på pc'er med rumforsknings-screensaveren.

Det bliver dog ikke helt let. For det første er bufferoverløb i sig selv svære at udnytte. For det andet vil det kun virke, hvis angriberne først får programmet til at kommunikere med en anden server end SETI's egen.

Alligevel har SETI valgt at udsende en ny version, som fjerner sårbarheden. Den eliminerer også et andet problem, som den hollandske studerende har fundet, nemlig at SETI sender information om processortype og styresystem som ren tekst, altså uden kryptering.


Relevante links

Hollandske Berend-Jan Wevers hjemmeside, hvor han beskriver hullet i SETI@home

Hjemmesiden for SETI@home








Kommentarer - Debatoversigt


Der er endnu ikke nogen kommentarer til denne artikel. Du kan skrive en kommentar ved at udfylde nedenstående formular
Kommentér
Log ind | Ny bruger
Titel:

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Forsiden lige nu

Hvad er meningen med at personlighedsteste mig?
Klumme: Dybest set rager det ikke andre mennesker på min arbejdsplads, hvordan jeg er som personligheds-profiltype-farveenneagram-stjernetegn.
22. maj 2012 kl. 10.00 | (1) | læs »

Her er Windows 8's helt nye desktop-design
Den almindelige desktop-brugerflade i Windows 8 får også et Metro-lignende design.
22. maj 2012 kl. 11.05 | læs »

Apple sætter en stopper for salg af HTC-telefoner
Smartphones af mærkerne HTC One X og Evo 4G LTE ligger foreløbig og samler støv hos de amerikanske toldere.
22. maj 2012 kl. 09.31 | læs »

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
21. maj 2012 kl. 07.00 | læs »



Mest læste på Computerworld:
»
Stortest: Her er de bedste gratis antivirus-programmer

»
Pas på farlig kode: Har du downloadet denne app?

»
It-studerende afslører kæmpe CPR-sikkerhedshul

»
SAS dropper 34 år gammelt it-system i gigant-projekt

»
Her er Danmarks fem dygtigste it-chefer

»
Sådan kommer tvangs-mail fra det offentlige til at fungere



Seneste debat:

»
Hvad er meningen med at personlighedsteste mig? | (1)
»
Kunde midt i bredbånds-konkurs: Hvad med mig? | (2)
»
Før Facebook: Jordens 10 største it-børsnoteringer | (1)
»
Fup-app til Android: Sådan stjæler den penge fra dig | (1)
»
CPR-hackere: Vi peger på et stort problem | (1)
»
Googles sikkerhedschef: Det bruger vi dine data til | (1)







 
Navnenyt fra it-danmark
Vis alle »
Michael Vejlegård Kristensen
Michael Vejlegård Kristensen
Alex Sørensen
Alex Sørensen
Betina Lundsbjerg
Betina Lundsbjerg
Peter Halkjær Kragelund
Peter Halkjær Kragelund
Vibeke Skov Baird
Vibeke Skov Baird

Søren Juul Møller
Søren Juul Møller
Jesper E. Siig
Jesper E. Siig
Flemming Louw-Reimer
Flemming Louw-Reimer
Jan Thorsø
Jan Thorsø
Dennis Christensen
Dennis Christensen


 
White papers
Projektledelse i det 21. århundrede
I dette white paper kan du læse om, hvorfor god projektledelse handler om mennesker, målsætninger...
Social projektledelse er fremtiden
I dette white paper kan du læse om, hvordan brugen af ny teknologi fra web 2.0 og sociale medier...
Cloud computing og de store europæiske virksomheder
Cloud computing er i løbet af de sidste 18 måneder blevet det mest omtalte emne i it-branchen....
Alle whitepapers »

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Pas på farlig kode: Har du downloadet denne app?
Hvis du har downloadet denne app, så har du måske hentet skadelig kode ned.
Læs mere

It-studerende afslører kæmpe CPR-sikkerhedshul
To danske it-studerende har udviklet et program, der kan suge kundernes CPR-numre ud af teleselskaberne.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er Danmarks fem dygtigste it-chefer
Årets CIO 2012: Danmarks fem bedste it-direktører er med i finalen, når Årets CIO 2012 snart skal kåres. Se her, hvad Danmarks fem bedste it-direktører kan.
Læs mere