BOINC a bezpieczeństwo

[Iceberg]

Witam.
Chciałbym podzielić sie swoimi wątpliwościami na temat klienta BOINC.
Gdy po raz pierwszy uruchomiłem owego klienta na swoim komputerze przeraził mnie fakt, iż aby partycypować w konkretnych projektach klient ten ściąga z sieci, zupełnie bez ostrzeżenia, binarki, które następnie uruchamia na moim komputerze. Do programów tych, z tego co wiem, nie ma dostępnych kodów źródłowych - więc w każdej chwili, ot tak sobie, może zostać na moim komputerze uruchomiony teoretycznie dowolny program.
Nie chcąc jednak rezygnować z uczestnictwa w programie stworzyłem dla BOINC'a zamknięte środowisko, "więzienie" w którym klient został zamknięty (chroot).
Czy tego typu obawy są, Waszym zdaniem, uzasadnione, czy świadczą o moim paranoicznym nastawieniu do świata?   :)

[krzyszp]

O ile się orientuję, binarki do Seti są upublicznione, więc raczej nie czeka Cię  niespodzianka  :D .
Natomiast nie zwróciłem dotąd uwagi na zagrożenie, jakie niosą ze sobą inne projekty. Jednak wydaje mi się, że mimo potencjalnych możliwości infiltracji maszyny, instytucje zaangażowane w te projekty nie pozwoliły by sobie na takie działania z powodu możliwości "wpadki", co wiązałoby się przecież z utratą prestiżu ośrodka...

Osobiście, byłbym bardziej ostrożny w przypadku projektów komercyjnych, jednak w nich nie uczestniczę z przyczyn "ideowych".

Pozdrawiam nowego "liczącego"

Krzysiek

[Iceberg]

A jak wygląda potwierdzanie autentyczności ściąganych programów?
Czy ich zawartość jest jakkolwiek porównywana z np. oficjalnie zgłoszonymi projektami (dajmy na to suma MD5 binarki)? Jeśli nie, to czy chociaż ich ściąganie odbywa się z jakimś uwierzytelnianiem, np. za pomocą https? Bo jeśli odpowiedź na oba pytania brzmi nie, to wystarczy "tylko" wprowadzić do serwera DNS potencjalnej ofiary fałszywe rekordy dotyczące serwerów danego projektu, aby zawładnąć maszyną "liczącego".

[krzyszp]

UUUps.

Muszę przyznać, że po raz drugi zabiłeś mi klina.

Obawiam się, że potrzebne informacje możesz znaleźć tylko na oficjalnych stronach projektów.
W każdym bądź razie moja wiedza jest niewystarczająca... :cry:

[matti_tm]

Każdy projekt zawiera ostrzeżenie o takiej mniej więcej treści:

"Czy uruchamianie SETI@home jest bezpieczne?

Za każdym razem, gdy pobierasz z sieci program, ryzykujesz: może on zawierać niebezpieczne błędy, albo serwer, z którego pobierasz, może zostać zhakowany. W SETI@home staramy się sprowadzić to ryzyko do minimum.

Aplikacje uruchamiane przez SETI@home mogą powodować przegrzanie niektórych komputerów. W takim przypadku zatrzymaj SETI@home lub użyj utility program , co ogranicza wykorzystanie procesora.

SETI@home stworzył University of California. BOINC napisano w University of California. "

Podobna treść znajduje się na stronie głównej BOINC.

Niemniej jednak uważam, że nie jest prosto wykorzystać BOINC do zaszkodzenia Twojej maszynie. Wymaga to wielu zabiegów (podmiany wpisu w DNS, napisania odpowiedniego softu, który dałby się uruchomić). Moim zdaniem - bez przesady. Jeśli można się skaleczyć dowolnym nożem to nie oznacza to, że nie powinno się kroić chleba...

[Iceberg]

Każdy projekt zawiera ostrzeżenie o takiej mniej więcej treści:

"Czy uruchamianie SETI@home jest bezpieczne?

Za każdym razem, gdy pobierasz z sieci program, ryzykujesz: może on zawierać niebezpieczne błędy, albo serwer, z którego pobierasz, może zostać zhakowany. W SETI@home staramy się sprowadzić to ryzyko do minimum.

Oczywiście masz rację.
Jednak nie chodzi mi tutaj o zwykłe uruchamianie programów, które ściągnąłem z sieci, ale o takie, które same ściągają z sieci binarki, następnie je uruchamiając i nie używają przy tym żadnych form uwierzytelniania.
A podmiana wpisu w DNS'ie wbrew pozorom nie jest taka skomplikowana.

[matti_tm]

To ostrzeżenie mówi "za każdym razem" - również gdy BOINC automatycznie pobiera aplikację przeliczającą.

[Iceberg]

To tak, jakbyś zaprosił do Twojego domu znajomą osobę, aby sobie tam pomieszkała pod Twoją nieobecność. Gdy ta osoba zaprzasza tam swoich kolegów i urządza imprezę, to zaczynasz czuć się nieswojo ;)

[Mchl]

Kilka newswów ze strony BOINC, które mogą zucuć trochę światła na tą sprawę:

October 20, 2005
Version 5.2.2 of the BOINC client software has been released. It includes a simpler registration procedure, security enhancements, and numerous other improvements.

August 9, 2005
BOINC is transitioning to use libcurl for HTTP operations. This will allow BOINC to use HTTPS (secure HTTP) for scheduler requests and file transfers.

August 3, 2005
Non-open-source code (RSAEuro and GLUT) has been removed from BOINC. OpenSSL's crypto library is used for encryption.

February 17, 2005
We've added a framework for web-site translations (both BOINC-supplied and project-specific parts). We are adding support for account management systems that simplify participation in multiple projects. Security enhancement: all application files are digitally signed.

Najważniejszy jest chyba tez z lutego.
Japońskie projekty (CELL) korzystają z https, cała reszta nie, ale zdaje się, że klient ma taką możliwość, a napewno można ją sobie wkompilować samemu (o ile wiem jest wykomentowana w kodzie, tak przynajmniej było w wersjach <5)

------------

I jeszcze trochę do poczytania. http://boinc.berkeley.edu/security.php
Myślę, że trzeba będzie to przełożyć na Polski.

[Iceberg]

I jeszcze trochę do poczytania http://boinc.berkeley.edu/security.php

Wielkie dzięki za linka, dokładnie wyszedł na przeciw moim wątpliwościom:

Malicious executable distribution

BOINC uses code signing to prevent this. Each project has a key pair for code signing. The private key should be kept on a network-isolated machine used for generating digital signatures for executables. The public key is distributed to, and stored on, clients. All files associated with application versions are sent with digital signatures using this key pair.

Even if attackers break into a project's BOINC servers, they will not be able to cause clients to accept a false code file.

BOINC provides a mechanism by which projects can periodically change their code-signing key pair. The project generates a new key pair, then (using the code-signing machine) generates a signature for the new public key, signed with the old private key. The core client will accept a new key only if it's signed with the old key. This mechanism is designed to prevent attackers from breaking into a BOINC server and distributing a false key.

[bartsob5]

a ktos kiedys w szhoutboxie na  boincstats.com powiedzial takie o to pamietne zdanie:

Nubs: "Considering the number of holes in XP - I feel safer running BOINC than booting my PC. . . . . . ."

mysle ze jest w tym dosyc sporo prawdy...

[matti_tm]

Ostatnio wśród komunikatów wydrukowanych przez klienta 5.2.10 tuż po uruchomieniu zobaczyłem m. in. taki:

Kod [Zaznacz] Rozwiń

2006-01-09 17:34:47||libcurl/7.14.0 OpenSSL/0.9.8 zlib/1.2.3

Wygląda więc na to, że używane są połączenia SSL.