Seti-Sicherheitslücke Bin da, wer noch?

Distributed Computing, die Verteilung einer komplexen Aufgabe über viele Rechner, gehört unter Wissenschaftlern zu den populärsten Anwendungen des Internet. Dass mit Programmen wie Seti Sicherheitslücken entstehen könnten, wurde lang vermutet. Jetzt weiß man es.


So was sucht Seti, hätte aber auch andere Aliens finden können: Hackende, zum Beispiel

So was sucht Seti, hätte aber auch andere Aliens finden können: Hackende, zum Beispiel

Eigentlich ist der kleine "Bildschirmschoner" dazu da, nach Aliens, respektive ihren Lebenszeichen zu suchen. Nebenbei aber, sagt Berend-Jan Wever, kann das kleine Distributed-Computing-Programm als Einfallstor für ganz andere Aliens dienen: Seti (= Search for Extraterrestrial Intelligence), verkündete der Nachwuchs-Informatiker am Montag, weise eine klaffende Sicherheitslücke auf, die für Denial-Of-Service-Attacken und anderes missbraucht werden könnte.

Dafür würden sich Rechner im Seti-Netzwerk wahrlich prächtig eignen: Vier Millionen Computer in aller Welt sollen den Software-Client tragen, der Pausenzeiten dazu nutzt, die Datenbestände radioteleskopischer Beobachtungen nach Signalen außerirdischer Intelligenzen zu durchforsten. Rund eine halbe Million Nutzer sollen aktiv bei der Sache sein und ihr Tun dabei als uneigennützig begreifen. Als Belohnung winkt ihnen allenfalls das befriedigende Gefühl, eines Tages behaupten zu können, bei der Entdeckung von E.T. mitgewirkt zu haben - oder auch nicht.

Arbeitgebern hingegen ist Distributed oder auch "Grid"-Computing seit langem ein Dorn im Auge. "DC" funktioniert immer nach dem gleichen Prinzip: Ein zentraler Server verteilt Teile einer hoch komplexen Aufgabe

an eine möglichst hohe Zahl von Rechnern im Internet, die ihre Teilaufgabe "im Hintergrund" erledigen, während der Nutzer gerade mit schnödem Texttippen beschäftigt ist, oder die die immer wieder auftretenden "Idle"-Zeiten nutzen. Seti funktioniert so und wird von seinen Entwicklern folglich auch "Bildschirmschoner" genannt: Das Programm springt dann an, wenn der Rechner sonst nichts zu tun hat.

Dann allerdings funkt er auch: Er holt sich Daten vom Seti-Server ab und schickt fertig durchforstetes Material zurück. So mancher Sysop treibt da graue Haare, wenn er nächtens von den Löchern in seiner Firewall albträumt. Kein Wunder, dass es etwa in den USA schon vor mehreren Jahren zu ersten Kündigungen wegen Seti-Beteiligung kam. Auch in Deutschland verbieten viele Arbeitgeber ihren Angestellten die oft wirklich gemeinnützige Teilnahme an DC-Projekten: Die suchen nicht nur nach Außerirdischen, sondern sequenzieren auch Gene oder suchen nach effektiveren Krebs-Chemotherapien.

So ganz falsch lagen sie da anscheinend nicht: Bereits im Dezember 2002 entdeckte der niederländische Computerfachmann Wever klaffende Sicherheitslücken in allen verbreiteten Seti-Software-Clients und im zentralen Seti-Server. Er meldete das Sicherheitsproblem und ließ den Seti-Leuten Zeit, die Löcher zu stopfen, bevor er das Problem öffentlich machte. Am 6. April konnte Seti einen Sicherheits-Patch vorweisen und empfiehlt allen Seti-Teilnehmern den Download. Wever veröffentlichte parallel dazu seine Ergebnisse - und hofft nun auf einen Job: Die Geschichte der Entdeckung der Sicherheitslücke nutzt er als Referenz gegenüber potenziellen Arbeitgebern.



© SPIEGEL ONLINE 2003
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.