Screensaveren fra et amerikansk rumforskningsprogram, Search for Extraterrestrial Intelligence (SETI), indeholder et sikkerhedshul.
Angribere, der udnytter hullet, kan afvikle kode på de pc'er, der fungerer som regnemaskiner for rumforskningsprogrammet. Der er mellem 500.000 og 600.000 aktive brugere af systemet.
SETI@home er en screensaver, som brugerne installerer på deres pc'er. Den er udviklet af forskere på Berkeley-universitetet i Californien
Når computeren er koblet til internet, men ikke bliver brugt, går screensaveren i gang med at udnytte datakraften til at analyse data fra det store radioteleskop Arecibo.
En hollandsk studerende, der går under navnet Berend-Jan Wever, har fundet ud af, at det er muligt at udnytte et såkaldt bufferoverløb, som går ud på at sende en meget lang kommandostreng til systemet.
På den måde kan angribere få afviklet deres egen kode på pc'er med rumforsknings-screensaveren.
Det bliver dog ikke helt let. For det første er bufferoverløb i sig selv svære at udnytte. For det andet vil det kun virke, hvis angriberne først får programmet til at kommunikere med en anden server end SETI's egen.
Alligevel har SETI valgt at udsende en ny version, som fjerner sårbarheden. Den eliminerer også et andet problem, som den hollandske studerende har fundet, nemlig at SETI sender information om processortype og styresystem som ren tekst, altså uden kryptering.
Relevante links
Hollandske Berend-Jan Wevers hjemmeside, hvor han beskriver hullet i SETI@home