Seti@home: Hacker entwenden 50.000 Mail-Adressen

Peinliche Panne bei Seti: Rund 50.000 der rund drei Millionen Teilnehmer an der Suche nach Aliens bekamen Post - und zwar eine ganze Menge. Der Hack entlarvt Sicherheitsprobleme bei "distributed computing"-Projekten.

Dieser Beitrag stammt aus dem SPIEGEL-Archiv. Warum ist das wichtig?

Hallo, ist da wer? Über drei Millionen SETI-Teilnehmer lauschen mit

Foto: AP

"Distrubuted computing" liegt im Trend. Das Prinzip ist verlockend genug: Statt sich zur Lösung komplexer Probleme auf die Kraft weniger kostspieliger "Supercomputer" zu stützen, nutzen "DC"-Projekte die brach liegenden Ressourcen Hunderttausender Rechner in aller Welt - Internet macht's möglich.

Keinem Projekt ist das besser gelungen als Seti@home, der Mutter aller DC-Projekte.

Seti sucht nach Außerirdischen, indem es die Milliarden von Radioteleskopen empfangenen Signale nach regelmäßigen Mustern durchsucht. Mehr als drei Millionen Menschen in aller Welt machen mit, wenn auch bisher erfolglos.

Erfolgreich waren dagegen Hacker, die sich augenscheinlich seit einiger Zeit in den Datenbanken von Seti herumtrieben. Fatal: Sie hatten freien Zugriff auf die E-Mail-Adressen der registrierten Nutzer und bewiesen dies offenbar bereits in der letzten Woche durch ein Massenmailing, das rund 50.000 Seti-Teilnehmern in aller Welt unwillkommene Post bescherte.

• Projekt Seti@home 

"Dear Seti@home user", begann höflich die Nachricht, "Die Seti-Webseiten sind geknackt worden. Wir sind im Besitz des gesamten Teilnehmer-Verzeichnisses, sowie aller Informationen über Sie. Überzeugen Sie sich selbst. Einen schönen Tag noch. Mit freundlichen Grüßen, das UFCF Team 2001".

Keinen schönen Tag hatten die Verantwortlichen bei Seti.

Tausende von Nutzern ließen die Organisatoren wissen, was sie von den freundlichen Grüßen hielten - und von den Sicherheitsmaßnahmen bei einem Projekt, das Hackern potenziell ein Tor zu Privatrechnern und Firmennetzwerken öffnen könnte.

Das Leck wurde schnell gefunden. Augenscheinlich setzten die Hacker bei der viel zu primitiven Nutzer-Identifikation an. Jeder Seti-Nutzer hat eine Identifizierungsnummer, mit der er sich gegenüber den Seti-Rechnern ausweist. Er sendet seine Datensätze an Seti, und Seti antwortet, indem es einen neuen Datensatz an den Nutzer zurückschickt. Dieser Datensatz aber enthält die E-Mail-Adresse des Teilnehmers - und macht ihn damit identifizierbar.

Die Hacker sandten Hunderttausende zufällig generierter Nutzernummern an Seti, und erhielten im Austausch "Treffer", die die E-Mail-Adressen enthielten.

Eigentlich eine Lappalie, denn allzu viel lässt sich damit noch nicht anfangen - auch das Massenmailing fällt eher in die Kategorie Spam und Belästigung und stellt nicht unbedingt eine Gefahr dar. Über den Versand von Viren ließen sich wiederum DC-Projekte gezielt "abschießen", doch das ist noch nicht einmal die einzige Gefahr.

Denn der Vorgang enthüllt eine Schwäche von Seti, die von böswilligen Hackern noch ganz anders genutzt werden könnte. DC-Projekte nutzen die freien Kapazitäten des Webs, gerade weil sie über bestimmte Kapazitäten selbst nicht verfügen. Dazu gehört anscheinend auch die Implementierung eines Verifikationssystems, das in der Lage wäre, die Kommunikation mit rund 3,1 Millionen Usern hinreichend zu schützen. Seti griff statt zu einer komplizierteren und besser verschlüsselten Lösung schlicht zu einer vergleichsweise einfachen: Der Erfassung, Registrierung und Identifikation der User durch ihre E-Mail-Adresse.

Seti-Screensaver: Einfalltor für Hacker?

Nun werden die Löcher gestopft, doch leicht ist das nicht. Seti-Projektleiter David Anderson: "Unglücklicherweise würde eine saubere Lösung des Problems erfordern, dass der Seti-Screensaver sich mit einem Passwort bei Seti zurückmeldet. Das würde die Programmierung eines völlig neuen Software-Klienten erfordern. Eine kolossale Aufgabe".

Das wird das Vertrauen der Seti-Teilnehmer in die Sicherheitsbedingungen des Projektes nicht unbedingt fördern. In vielen Unternehmen sind DC-Projekte nicht gern gesehen: Nicht nur, dass sie Ressourcen binden und - durch die Kommunikation über das Internet - Kosten verursachen. Von vielen Experten werden sie seit langem als potenzielle Einfalltore für Hacker gesehen.

Für die Organisatoren der immer zahlreicheren DC-Projekte bedeutet das alles einen nicht nur peinlichen, sondern wirklich schmerzhaften Imageschaden. Das ist nicht zuletzt deshalb bedauerlich, weil sich viele DC-Projekte gerade dadurch auszeichnen, dass sie sich die Lösung drängender, oft gemeinnütziger Probleme zur Aufgabe gemacht haben, in die die Industrie nicht unbedingt Geld investieren will. Darüber, ob die Suche nach außerirdischem Leben unbedingt in diese Kategorie gehört, könnte man allerdings trefflich streiten.