Portail de l'AF

Nouvelles

Projet du mois: Numberfields@home

Faites un don

Shoutbox

modesti:
Hier à 07:49:02
Joyeuses Pâques :ane:
Rhodan71:
2025-04-17, 21:22:06
c'est parti pour un sprint sur Einstein
modesti:
2025-04-16, 10:08:44
Prochain sprint FB à partir du 17/4 à 19h UTC, soit 21h CEST/heure de Paris/Berlin/Madrid
Rhodan71:
2025-04-10, 11:14:03
Prochain sprint FB aujourd'hui à 17h UTC (19h heure de Paris)
modesti:
2025-04-08, 15:03:08
Pentathlon annoncé :)
modesti:
2025-04-08, 15:02:43
Radioactive à nouveau cassé :/
JeromeC:
2025-04-02, 19:01:28
Radioactive marche.
modesti:
2025-03-20, 22:55:26
Allez, les copains, on pousse encore un peu sur Einstein, SVP ! En unissant nos forces, la troisième place au FB est à notre portée d'ici à la fin du mois !  :bipbip:
Maeda:
2025-03-07, 21:53:11
C'parti !
[AF>Libristes] alain65:
2025-02-26, 02:26:05
Merci  :jap:
modesti:
2025-02-24, 11:27:41
Tout vient à point à qui sait attendre :siflotte:
ousermaatre:
2025-02-24, 10:47:28
patience  :D  Ca vient
[AF>Libristes] alain65:
2025-02-24, 08:43:55
l'annonce officielle, c'est pas la veille j'espère  :cpopossib:
Maeda:
2025-02-22, 09:58:51
On attend l'annonce officielle détaillée :D
[AF>Libristes] alain65:
2025-02-22, 08:25:50
Et c'est sur quoi ce raid ?
modesti:
2025-02-20, 23:06:46
A 18h28 par notre pharaon préféré, ici-même :D
[AF] Kalianthys:
2025-02-20, 20:50:52
Le raid a été annoncé ?
ousermaatre:
2025-02-20, 18:28:57
15 jours avant le Raid....  :D
modesti:
2025-02-01, 11:10:25
Bonne chasse aux nombres premiers !
modesti:
2025-01-31, 21:24:33
Spafo :D
Maeda:
2025-01-31, 20:11:40
Plutôt H-4h :)
modesti:
2025-01-31, 19:54:14
J-1  :banana:
[AF] Kalianthys:
2025-01-30, 18:53:31
modesti:
2025-01-30, 11:55:53
J-2 :gniak: :ange:
fzs600:
2025-01-02, 11:18:45
Bonne année a tous et bon crunch.
zelandonii:
2025-01-02, 11:08:45
Bonne année à tous et que vous soyez heureux.
Ironman:
2025-01-01, 15:55:54
Bonne année et bonne santé pour vous et vos proches !  :smak:
modesti:
2025-01-01, 07:53:37
Bonne et heureuse année à toutes et tous !

Recent

[BOINC][Trad] Boinc est-il sécurisé?

Démarré par Djezz, 27 Juin 2004 à 18:58

« précédent - suivant »

0 Membres et 1 Invité sur ce sujet

Imprimer
En bas Pages1
Actions de l'utilisateur

Djezz

27 Juin 2004 à 18:58
Traduction du site de Boinc sur la sécurité.
Traduit par Djezz pour les Amis de la mer donc pour l'Alliance Francophone. (je sais je me répète mais j'aime bien cette phrase)
http://amimerboinc.free.fr/dossiers/dossiers.php?id_dossier=60

CitationBeaucoup de types d'attaques sont possibles dans la participation du public au calcul partagé.

    * Falsification de résultat.
      Les attaquants renvoient des résultats incorrects au projet.
    * Falsification de crédit.
      Les attaquants renvoient des résultats réclamant plus de temps-CPU qu'il n'a été employé réellement.
    * Distribution d'un exécutable malveillant.
      Les attaquants s'introduisent dans le serveur de BOINC et, en modifiant la base de données et les dossiers, essayent de distribuer leur propre exécutable (par exemple un programme de virus) déguisé comme application de BOINC.
    * Surcharge du serveur de données.
      Les attaquants envoient à plusieurs reprises de grands dossiers aux serveurs de données de BOINC, remplissant leurs disques et les rendant inutilisables.
    * Vol d'information de compte de participant par attaque du serveur.
      Les attaquants cassent le serveur de BOINC et volent des adresses email et d'autres informations de compte.
    * Vol d'information de compte de participant par attaque du réseau.
      Les attaquants exploitent les protocoles de réseau de BOINC pour voler des informations de compte.
    * Vol des fichier des projets.
      Les attaquants volent des dossiers d'entrée et/ou de sortie
    * Abus intentionnel des clients des participants par des projets.
      Un projet libère intentionnellement une application qui abuse des clients de participants, par exemple en volant des informations sensibles stockées dans les dossiers.
    * Abus accidentel des clients des participants par des projets.
      Un projet libère une application qui abuse involontairement des clients de participants, par exemple en supprimant des dossiers ou en causant des crash.

BOINC fournit des mécanismes pour réduire la probabilité de certaines de ces attaques.

Falsification de résultat
Ceci peut être statistiquement détecté en employant la redondance des calculs et la vérification des résultats : si une majorité de résultats conviennent (selon une comparaison spécifique à l'application) ils sont classés comme corrects.

Falsification de crédit
Ceci peut être statistiquement détecté en employant la redondance des calculs et la vérification des résultats : chaque participant est crédité du crédit minimum parmi les résultats corrects (ou par un autre algorithme, tel que la moyennne ou la médiane des crédits demandés).

Distribution d'un exécutable malveillant
BOINC emploie le code signant pour empêcher ceci. Chaque projet a une paire de clé pour la signature de code. La clef privée devrait être gardée sur une machine isolée du réseau utilisée pour produire des signatures numériques pour des executables. La clef publique est distribuée à, et stockée sur, des clients. Tout fichier associé aux versions d'application est envoyé avec les signatures numériques en utilisant cette paire de clé.
Même si les attaquants cassent les serveurs BOINC d'un projet, ils ne pourront pas faire accepter par les clients un fichier avec un faux code.
BOINC fournit un mécanisme par lequel les projets peuvent périodiquement changer leur paire de clé de signature. Le projet produit une nouvelle paire de clé, puis (à l'aide de la machine de signature) produit une signature pour la nouvelle clef publique, signée avec la vieille clef privée. Le client Boinc acceptera une nouvelle clef seulement si elle est signée avec la vieille clef. Ce mécanisme est conçu pour empêcher les attaquants de casser le serveur de BOINC et de distribuer une fausse paire de clé.

Surcharge du serveur de données
Chaque dossier de résultat a une taille maximum . Chaque projet a une paire de clef d'authentification pour le téléchargement. La clef publique est stockée sur les serveurs de données du projet. Des descriptions des dossiers de résultats sont envoyées aux clients avec une signature numérique, qui est expédiée au serveur de données quand le dossier est téléchargé. Le serveur de données vérifie la description du dossier, et s'assure que la quantité de données à télécharger n'excède pas la taille maximum.

Vol d'information de compte de participant par attaque du serveur
Chaque projet doit empêcher le vol d'information privée de compte (par exemple d'adresses d'email) en employant des pratiques conventionnelles en matière de sécurité. Tous les serveurs devraient être protégées par un firewall, et devraient faire neutraliser tous les services de réseau inutilisés. L'accès à ces machines devrait être possible seulement avec des protocoles chiffrés comme SSH. Les machines devraient être soumises à des audits réguliers de sécurité.
Les projets devraient être entrepris seulement par des organismes ayant l'expertise et les ressources suffisantes pour sécuriser leurs serveurs. Une attaque réussie pourrait discréditer tous les projets utilisant BOINC, et le calcul partagé en général.

Vol d'information de compte de participant par attaque du réseau
Les attaquants scannant le trafic du réseau pourraient obtenir les identifications du compte de l'utilisateur, et les utiliser pour obtenir l'adrese email de l'utilisateur ou changer les préférences de l'utilisateur. BOINC ne fait rien pour empêcher ceci.

Vol des fichier des projets
Les dossiers d'entrée et de sortie employés par des applications BOINC ne sont pas chiffrés. Les applications peuvent faire ceci elles-mêmes, mais cela aurait peu d'effet puisque les données sont stockées en texte clair dans la mémoire, où il est facile d'accéder avec un programme spécifique.

Abus intentionnel des clients des participants par des projets
BOINC ne fait rien pour empêcher ceci (par exemple il n'y a aucun 'sandboxing 'des applications). Les participants doivent comprendre que quand ils joignent un projet de BOINC, ils confient à la sécurité de leurs systèmes à ce projet et pas à BOINC.

Abus accidentel des clients des participants par des projets
BOINC ne fait rien pour empêcher ceci. Les chances que cela se produise peuvent être réduites au minimum par l'essai de l'application avant sa sortie publique. Les projets devraient complètement examiner leurs applications sur toutes les plateformes et avec tous les scénarios de données entrantes avant de les promouvoir au statut de production.

MarcP

#1
27 Juin 2004 à 19:04
:jap:
par contre pour
CitationVol d'information de compte de participant par attaque du réseau
Les attaquants scannant le trafic du réseau pourraient obtenir les identifications du compte de l'utilisateur, et les utiliser pour obtenir l'adrese email de l'utilisateur ou changer les préférences de l'utilisateur. BOINC ne fait rien pour empêcher ceci.
Sur quoi c'est basé ? :)
Peut-être qu'au bout de 10 ou 100 identifications ratées tu es blacklisté ;)
De plus, vu la longueur de la clef, c'est au moins aussi sécurisé qu'un mot de passe pour lequel 10% des gens vont mettre des "toto123" et autres ;)

Djezz

#2
27 Juin 2004 à 19:08
C'est basé sur la page officiel de Boinc :
http://boinc.berkeley.edu/security.php
Je n'ai fait qu'une trad ;)

Douglas Riper

#3
27 Juin 2004 à 19:10
Interessante cette traduction  une fois de plus merci  :jap:

zanfi

#4
29 Juin 2004 à 12:26
:jap:

Anakinwww

#5
29 Juillet 2004 à 14:37
trés instructif  :jap: ça fait peur quand méme !! :(
Imprimer
En haut Pages1
Actions de l'utilisateur
SMF spam blocked by CleanTalk