Aanvallen op supercomputers leiden tot veiligheidsvragen

Begin deze maand is er ingebroken in een aantal supercomputers van universiteiten en onderzoeksinstellingen, zo laat InfoWorld weten. De supercomputers draaien de OS'en Linux en Sun's Solaris, en de hackers misbruikten een paar eerder bekend geworden zwakke plekken in de systemen om zo in te breken. De supercomputers waar het om gaat zijn onder andere die van Stanford University en Chicago University, die weer onderdeel zijn van TeraGrid, wat het grote rekennetwerk is van het National Science Foundation. De aanvallen werden door middel van rootkits gemaskerd, waarbij de hackers gebruik maakten van gestolen passwords die ze van onveilig verkeer (zoals Telnet) en uit bestanden van gekraakte systemen hadden gehaald.

De Information and Technology Systems and Services (ITSS) van Stanford University heeft verschillende waarschuwingen uitgebracht, en adviseerde om verschillende systemen van de grond af weer op te bouwen met de nieuwste beveiligingspatches. Volgens het artikel op InfoWorld zijn universiteiten een 'makkelijk' slachtoffer vanwege het open karakter van het onderzoek dat er gepleegd wordt. Een aantal universiteiten heeft bovendien vanwege het feit dat veel mensen vanuit het buitenland toegang moeten hebben tot hun netwerk, delen van hun netwerken niet zo sterk afgeschermd als zou moeten. De vraag is nu of de hackers na de wederopbouw van de systemen niet nog steeds toegang zullen hebben, door de 'onzichtbare' technieken die ze gebruiken om beveiligingen te omzeilen.

De Silicon Graphics Orgin 3800 supercomputer van Stanford University.

IT-banen

Reacties (67)

scsirob 15 april 2004 13:38

Het is nogal een probleem om op een cluster van een paar honderd nodes zomaar de laatste patches te gooien. Alle patches moeten eerst op stabiliteit getest worden.

Soms staat er maanden rekenwerk op zo'n systeem tedraaien. Dat kan niet zomaar de nek om gedraaid worden omdat een patch toevallig niet helemaal lekker blijkt.

Ze zouden dit soort systemen helemaal niet aan het Internet moeten hangen. Gewoon de jobs submitten en dan geisoleerd draaien.

VisionMaster @scsirob • 15 april 2004 16:33

Dat is meer Grid Computing

Neemt niet weg dat die 100 nodes in 1 ruk opnieuw geinstalleerd kunnen worden door middel van een install-server.
Daarnaast hebben ze het hier over de Supers, niet clusters. Dat is 1 groot OS dat het draait. Een super is 1 machine die je update.
Het is trouwens niet gebruikelijk om Jobs te submitten die maanden draaien. En daarbij zou het in theorie een fluit uit maken of de machine nu aan het internet hangt of niet. Maar als je dat doet, moet je security policy erg duidelijk zijn en strict worden gehandhaafd.
Tja ... als je dan aan komt met veel plain-text services, dan is dat vragen om moeilijkheden tot op het moment dat er mensne lucht van krijgen.

esky

15 april 2004 13:38

De vraag is nu of de hackers na de wederopbouw van de systemen niet nog steeds toegang zullen hebben, door de 'onzichtbare' technieken die ze gebruiken om beveiligingen te omzeilen.

antwoord: nee, of ze moeten er telnet op zetten of ftp met dezelfde username/password combo's als shell accounts...
Maar aangezien er zoveel mensen gebruik van maken zijn er altijd een paar die of met een post-it het password op hun monitor plakken of dat op een digitaal even veilige manier opslaan.....

Verwijderd 15 april 2004 13:35

tja je kan geen enkel systeem hackproof maken...

het totaal opnieuw opzetten van de servers met als doel de hoogst mogelijke veiligheid en nieuwe passwords is dan ook het enige wat ze kunnen doen. denk ook dat als ze het goed doen (en daar heb ik wel vertrouwen in) dat ook heel moeilijk wordt om te hacken...

hoop wel dat ze dan ook wat maatregelen nemen tegen het mogelijke lekken van passwords & inlognamen, B.V. SSH ipv telnet (of denk ik dan te makkelijk?)

* 786562 Legolas_1973
edit: en ze moeten uiteraard lekken en security issues ASAP fixen!

Mick @Verwijderd • 15 april 2004 14:06

hoop wel dat ze dan ook wat maatregelen nemen tegen het mogelijke lekken van passwords & inlognamen, B.V. SSH ipv telnet (of denk ik dan te makkelijk?)

Nee hoor.

Dat is nou een zwak punt wat relatief makkelijk te versterken is. SSH ipv. Telnet maakt het een heel stuk lastiger passwords te stelen (de verbinding wordt immers versleuteld). Gestolen passwords waren een belangrijk middel bij de reeks aanvallen uit het bericht.

Op de wiskunde & informatica faculteit van de UvA is deze policy in ieder geval al ingevoerd: Met Telnet en FTP kom je d'r sinds vorige maand niet meer op, je wordt nu verplicht om SSH en SCP gebruiken. Volkomen terecht.

tja je kan geen enkel systeem hackproof maken...

Maar je kan de boel wel goed versleutelen en het daarmee een stuk lastiger maken (een paar honderd jaar rekenwerk

Verwijderd @Mick • 15 april 2004 19:38

Al jarenlang klaagt iedereen over de slechte security in windows

Let even op wat je zegt. Je passwords te grabbel gooien is een platform onafhankelijke actie. Dit heeft niets met slechte security van het OS in kwestie te maken.

Supercomputers die ik ken (allen Linux operated trouwens) kan ik alleen via SSH bereiken, en dan ook nog eens alleen vanaf bepaalde trusted IP adressen. En zo hoor je dat te doen, als je je er tenminste aan stoort wanneer mensen op je systeem inbreken.

mjtdevries @Verwijderd • 16 april 2004 10:13

Je password te grabbel gooien is in principe inderdaad een platform onafhankelijke actie.
Het te grabbel gooien mbv Telnet is wel een typische linux actie (eigenlijk unix actie)

Met een windows systeem zul je zelden tot nooit iemand telnet zien gebruiken, maar bij linux gebruikers zie ik ontstellend vaak telnet en ftp gebruikt worden. Dan ga je je toch afvragen of het OS het niet aanmoedigt, ook al heeft dat OS uitstekende alternatieven.
Maar misschien moet ik zeggen dat het te grabbel gooien mbv telnet een typische "linux-gebruikers" actie is. Dat maakt het dan duidelijker dat het niet aan het OS ligt.

mjtdevries @Mick • 15 april 2004 16:25

Het is mooi dat je er met Telnet en FTP niet meer op komt, maar is "sinds vorige maand" eigenlijk niet heel triest?

Al jarenlang klaagt iedereen over de slechte security in windows, maar ondertussen kon je tot vorige maand bij wiskunde & informatica gewoon met telnet op de servers komen?

Juist bij die faculteit zouden mensen moeten zitten die snappen hoe onveilig dat is. Als die mensen dat al die vele jaren al niet eens fixen, waarom zijn we dan eigenlijk nog zo aan het klagen over MS systemen?

mazzl 15 april 2004 13:42

een ware hacker heeft toch een bepaalde vorm van eer en geweten... (die mollen in principe niets) dit klinkt meer naar crackers..

het is een beetje lame om onderzoeksinstituten als doelwit te nemen.. lekker constructief, mja het is wel een duidelijke boodschap door ze aan te vallen op oude en bekende fouten... nu blijkt maar weer hoe ontzettend hardleers sys admins kunnen zijn.

//offtopic.. mijn spelling zuigt //

Da_Teach @mazzl • 15 april 2004 14:24

Ik heb het idee dat het hier om een ander type hackers gaat dan de huis tuin en keuken hackers die je PC overnemen... De meeste hackers waar je wat over hoort is niet meer dan een 15 jarig script kiddie...

Maar deze 'jongens' zijn weken/maanden bezig om informatie te winnen en om toegang te krijgen tot systemen met informatie... Lijkt me niet dat de toegang die ze hadden verkregen, binnen een dag voor elkaar was...

Als ik zo snel het infoworld artikel door lees staat er nergens dat ze met opzet system kapot hebben gemaakt...

De negatieve effecten zijn meer gekomen door programma's die geinstalleerd waren om nog meer rechten te krijgen...

Het lijkt mij dan ook dat de toegang die zij wouden verkrijgen, nog niet vekregen was...

Ik zou zoiets als dit nog zelfs een bedrijf zien doen om de research te stelen of te hinderen... Universiteit is meestal niet zo commercieel, als een bedrijf hierdoor veel geld zou kunnen verliezen... Maar laten we maar hopen dat het zover nog niet is met de wereld...

Herby 15 april 2004 13:36

Wat voor versie van deze OS zijn dit dan? Want het lijkt me dat dit soort computers met een stabiele versie zonder fouten moet draaien? En waarom wordt er eigelijk telnet gebruikt op dit soort systemen, aangezien het toch wel algemeen bekend is dat dit een onveile manier is voor div. sessies.

Verwijderd @Herby • 15 april 2004 14:12

Voor Linux zou ik het niet weten eerlijk gezegd. Solaris kom standaard niet eens met een sshd (voor zover ik weet). Da's extra package....

ToBe 15 april 2004 13:36

Erg jammer, maar met toegang via telnet toestaan is het natuurlijk vragen om problemen. Hele vervelende situatie. Ik hoop niet dat de onderzoeken waar ze voor gebruikt worden al te veel vertraging oplopen.

Met het opnieuw opbouwen en het toepassen van alle beveiligingstechnieken moet het wel weer goed dicht komen te zitten lijkt me. Ik snap niet waarom de "hackers" straks nog steeds toegang zullen hebben.

Verwijderd 15 april 2004 13:46

onderzoeksinstituten kunnen wel degelijk een 'geheim' onderzoek aan het uitvoeren zijn, waarvan de resultaten absloluut niet (vroegtijdig) openbaar mogen worden gemaakt. Wel interresant dus

Verwijderd 15 april 2004 13:33

'een paar eerder bekend geworden zwakke plekken in de systemen'

erg dom natuurlijk.

Paradise @Verwijderd • 15 april 2004 13:35

En dit is natuurlijk ook niet wat 't wezen moet:

waarbij de hackers gebruik maakten van gestolen passwords die ze van onveilig verkeer (zoals Telnet)

Het allereerste wat je leert bij remote beheer is toch dat je SSH moet gebruiken ipv Telnet, dacht ik zo. Zeker bij het gebruik van zulke grote machines. Beetje rare gang van zaken.

Aetje @Paradise • 15 april 2004 13:48

Helemaal mee eens...

Dat er op dit soort systemen nog telnet gebruikt wordt is meer een voorbeeld van wanbeheer dan van onveiligheid van het systeem... imho.

GA!S @Aetje • 15 april 2004 15:38

En aangezien universiteiten geen geld hebben voor complete systeembeheerafdelingen wordt het beheer meestal gedaan door studenten of leraren die het 'er bij' doen.

Sorry, maar dit slaat werkelijk nergens op. Alle universiteiten, en zeker die met dat soort supercomputers, beschikken over een volwaardige IT afdeling welke zich enkel met dat soort zaken bezig houdt.

mjtdevries @Aetje • 15 april 2004 16:17

Het soort systeembeheerders op universiteiten zijn inderdaad vaak mensen die het "er bij" doen. Meestal zijn het "tweakers" zoals je die hier vindt.

Ze roepen wel allemaal om het hardst dat Linux zo makkelijk en veilig is en veel daarom veel beter dan windows, maar hiermee blijkt dan weer dat de ervaring met hun thuis-pctje niet voldoende is om zo'n systeem goed te beheren. Hard roepen is toch weer wat anders dan het zelf in de praktijk ook netjes doen.

En daarnaast heb je stapels mensen die steeds horen en roepen dat Linux zo veilig is, maar daadwerkelijk niet weten dat telnet zo vreselijk onveilig is.
Inderdaad is het eerste dat je leert bij remote beheer dat je SSH moet gebruiken ipv Telnet, maar daarbij ga je er dan vanuit dat het iemand is die het vak geleerd heeft gekregen, ipv met thuis hobbyen zijn ervaring heeft opgedaan.

Aan de andere kant verwacht je bij zulke dure hardware toch wel beter opgeleide mensen. Tenzij de aparatuur voor de universiteit zelf niet zo vreselijk duur was. Sponsoring van bedrijfsleven gaat in de VS volgens mij een stuk verder dan in Nederland. Wat dat betreft verwacht ik zoiets dan ook minder snel in Nederland.

RetepV @Aetje • 15 april 2004 14:43

Ik denk eerder dat het een voorbeeld is van hoe universiteiten te weinig geld hebben voor systeembeheer.

De machines worden vaak gesponsord door het bedrijfsleven, maar het beheer moet de universiteit dan weer zelf regelen. En aangezien universiteiten geen geld hebben voor complete systeembeheerafdelingen wordt het beheer meestal gedaan door studenten of leraren die het 'er bij' doen.

Er is simpelweg geen budget vrij. Een universiteit draait niet met een winstoogmerk. In feite zou het bedrijfsleven daar iets aan moeten doen. Tenslotte heeft het bedrijfsleven net zo goed voordeel aan die supercomputers. Sterker nog, de meeste mensen uit het bedrijfsleven KOMEN van een universiteit, die hebben hun carriere aan die universiteiten te danken.

Je zou dus best wat meer dankbaarheid uit het bedrijfsleven verwachten. Maar alla, De Nederlander doet niet aan dankbaarheid, hé. De meeste Nederlanders hebben net zo veel moeite met het zeggen van 'dank je wel' als met het zeggen van 'het spijt me'.

Verwijderd @Verwijderd • 15 april 2004 13:44

idd. Erg dom. Maar wat moet men doen? Veiligheidslekken melden zou verplicht moeten zijn. Van de andere kant, wanneer er een lek aan het licht komt en er is geen onmiddelijke oplossing voor handen zijn dergelijke toestanden mogelijk.
Ik zou me in beide gevallen bekocht voelen. In geval A omdat ik met een vals veiligheidsgevoel leef. In geval B omdat de softwarefabrikant een lek openbaar maakt en dus de zwakke punten van systemen aanwijst.
In geval A voel ik me bekocht maar het kan minder kwaad....

Taennyn @Verwijderd • 15 april 2004 13:49

Tja, het moet ook verplicht worden om bij sexueel expliciete mails een tag in de subject te zetten, maar de spammers trekken zich hier toch niets van aan.

Dit is ongeveer hetzelfde. Degenen die met kennis van een bug zitten en hier rottigheid mee uithalen, zullen echt niet hun speeltje weggeven door het vertellen van de aanwezigheid er van, zelfs al is dit tegen regels.

Verwijderd @Taennyn • 15 april 2004 14:11

Dat is niet wat ik bedoel. Meer iets in de stijl van : als Red Hat, Novell, Apple, Microsoft, Sun,.... lekken ontdekken.
Het feit dat Microsoft lekken verzwijgt tot ze zijn opgelost heeft zelfs in de Nederlandse regering een kleine rel teweeg gebracht. Terwijl de strategie om "beter onwetende de klanten dan wetende criminelen" te handhaven in een dergelijk geval misschien verstandiger is.

_JGC_ @Taennyn • 15 april 2004 16:09

Als redhat een lek ontdekt (of welke andere distrobakker dan ook, vaak zijn het redhat en suse die met de kernel bugfixes komen, die hebben daar een heel team voor), geven ze tegelijk met de melding een fix of een workaround uit.

Probleem is de beheerder die er niets mee doet. Ik beheer zelf een aantal debian systemen, en ik heb mezelf geabonneerd op de debian security mailinglist. Ik kreeg afgelopen dagen een report over een lekke 2.4.18 kernel die ook van toepassing waren op 2.4.25 die ik draaide, evenals een stel mysql bugs. Eventjes actie ondernemen en tis weer klaar.

Bij ons op school weet ik van de redhat beheerders dat ze compleet op cron en up2date vertrouwen. Ze lezen de security mailinglist niet eens en kijken of up2date wel iets doet doen ze al helemaal niet.
Tijd geleden moesten we een redhat server van ze installeren met debian, eerst backup trekken, shit, geen root access, wel een normaal account.
Even kijken, goh, up2date heeft een nieuwe kernel geinstalleerd, maar ze hebben die bak nooit gereboot. Jammer maar helaas, je systeem up2date, maar niet effectief gemaakt. Helaas pindakaas voor de security waren vrijwel meteen root user op dat systeem en konden we backups trekken alvorens de hele zooi te lozen.

Verwijderd @Taennyn • 15 april 2004 16:22

Bedenk wel dat het updaten van zo'n supercomputer wel ff iets heel anders is dan een standaard Linux installatie updaten. Normaalgesproken worden er speciale aangepaste kernels gebruikt die overweg kunnen met de specifieke supercomputer hardware.

VisionMaster @Taennyn • 15 april 2004 16:36

Dan heb je dus speciale compilers, de rest is erg triviaal om je Super te updaten.
Je moet het wel intensiever testen dan op een normale workstation, maari k zie de extreemheid er niet in.

_JGC_ @Taennyn • 15 april 2004 17:13

Als debian een fix uit 2.4.26 kan backporten in 2.4.18, kan een supercomputer-linuxdistrobakker dat ook.

Ruuddie 15 april 2004 15:00

Supercomputers he... K heb net anders geleerd bij informatiekunde dat supercomputers alleen rekenen en verder niets kunnen, en dus al helemaal niet op internet zijn aangesloten.
Die gast heeft me notabene 0.1 punt afgetrokken omdat ik er niet bij zette dat maar één gebruiker tegelijk op die pc kan... Dat klopt dus niet als je via internet er ook op kan inloggen.... Ik eis punten erbij!

RetepV @Ruuddie • 15 april 2004 15:09

Goeie school heb jij! Dus jouw leraar wil beweren dat een Multitasking/Multithreading Operating System met een multi-user shell op een supercomputer onmogelijk is?

Het is toch een computer? Dat ligt dus toch maar helemaal aan de software?

Zelfs op een rekenmachine kun je een multi-tasking/multi-user OS draaien, als je maar genoeg geheugen hebt een een processor die vrij programmeerbaar is. En een supercomputer heeft beide

MaxxBass @RetepV • 16 april 2004 13:54

[off]
Het gaat hier om het betekenis van de supercomputer, en volgens de stof die hij had moeten leren is dat dus de beschreven definitie. Die had hij moeten leren, en er geen eigen inzicht aan mogen geven...

Volkomen terrecht, die aftrek van punten...

[/off]

Haan @Ruuddie • 15 april 2004 15:59

Kan het zijn dat je een beetje in de war bent met een mainframe?

VisionMaster @Haan • 15 april 2004 16:26

Dan nog ... ook op een mainframe kan je multitasking uitvoeren en een multi-user omgeving handhaven. Hoe kunnen anders allerlei terminals aan een mainframe gehangen worden als er maar 1 ding tegelijkertijd kan worden gedaan.

Of RuuddieBoy verdient meer punten aftrek dan de 0.1 of RuuddieBoy moet maar eens met die docent praten of een ander type onderwijs voor de leerkracht niet meer kan opleveren voor RuuddieBoy's leeromgeving.

Ruuddie @Haan • 16 april 2004 07:22

Boek definitie mainframe:
Zijn ontworpen om grote hoeveelheden gegevens snel te verwerken. Deze
computersystemen worden meestal toegepast in organisaties waar omvangrijke bestanden een belangrijk bedrijfskapitaal vormen.
Zoiets was t iig.

En een micropc dan, de omschrijving daarvan:
Thuispc. Kan maar één gebruiker tegelijkertijd op.
Nouja zeg, ik zal m wel een keer een screenshot laten zien waarmee ik dmv terminal services op mijn eigen pc inlog, dan zit ik toch echt met 2 gebruikers tegelijk erop te werken hoor

Maarja, is maar informatiekunde op de middelbare school. Die gast weet echt weinig van pc's.
Was ie aan het vertellen over hardeschijven; "Ja, er zijn verschillende soorten hardeschijven en ze kunnen op verschillende snelheden ronddraaien. Uhm, ik geloof een ergens in de 5000, en 7000-nog-wat heb je ook nog geloof ik, en dat was het wel".

Guru Evi 15 april 2004 14:15

Ten eerste: dat zijn crackers, geen hackers!
Eigenlijk zijn het meer script kiddie's.

Telnet gebruiken om remote beheer, doesn't look good. Zeker niet voor zo'n machines. Ten minste een VPN opbouwen om die te beheren.

En als ze van de grond opbouwen zullen die rootkits er ook uitzijn eh, dat blijft niet in het RAM steken zenne (er wordt opgemerkt dat de beste hackers niet gewoon via de 'gemaskerde' weg terug toegang gaan krijgen)

n4m3l355

Bedrijfsnieuws

@Guru Evi • 15 april 2004 17:03

schrijf hier niets als je niet weet waar je het over hebt..

ten eerste wat ze exploiten zijn niet echt bepaald standaard exploits dit zijn kernel hacks daar is wel degelijk wat kennis voor nodig. dus ik denk maar niet dat een 15 jarig knulletje achter zoiets normaal zit.

een VPN.. in een solaris/linux omgeving? dat is niet mogelijk dus kun je ook wel vergeten..

en rootkits eruit? die installeer je juist om te zien of er aan kernels gewtweaked is die doe je juist opzettelijk installeren. en 'gemaskerde' weg? waar praat je in godsnaam over...

de reden dat dit gebeurd is door juist vele users die specifieke software gebruiken voor clusters. het is goed mogelijk dat deze software niet goed omgaat met ssh tunnels dus dat ze om die reden telnet gebruiken. deze users hebben access tot specifieke pids dus het is niet echt eenvoudig om een random user te exploiten aangezien je dan nog steeds geen admin account nodig hebt.. en hier komt dus die root exploit in het leven om deze te verkrijgen.
de reden dat dit niet geupdate is is simpel.. tasks draaien al tijden en ff onderbreken kost miljoenen.. tevens moeten kernels toch wel ff getest zijn voordat je die op honderden of duizende nodes los laat.
verder dat dit typisch iets is voor linux/solaris.. niet echt verwondelrijk met windows kun je niet zo'n cluster bouwen

dus ondanks dat het voorkomt.. is het ook alleen maar mogelijk dat het voorkomt onder solaris/linux of andere hp-ux's

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (67)

Sorteer op:

Weergave: