zurück zum Artikel

Nach Angriff auf HPC-Systeme: Supercomputing nur zu Geschäftszeiten

Supercomputing nur zu Geschäftszeiten

Hochleistungsrechner Zentrum Archer in Edinburgh

(Bild: epcc.ed.ac.uk)

Die Aufklärung des Angriffs auf europäische Supercomputer läuft noch. Der Angreifer nutzte eine Kombination aus gestohlenen Passwörtern und einer Softwarelücke.

Nur schrittweise gehen die in der vergangenen Woche vom Netz genommenen Supercomputer wieder ans Netz. Nach dem Archer in Edinburgh und den Supercomputing-Zentren in der Schweiz wollen voraussichtlich die Partner des Gauss Center for Supercomputing (GCS) in München, Stuttgart und Jülich ihren Betrieb wieder aufnehmen, allerdings mit Einschränkungen. Das Leibniz Rechenzentrum in München Garching teilte auf Anfrage von heise online mit, Log-ins würden vorerst wohl nur zu regulären Betriebszeiten zugelassen, "um so die erhöhten Anforderungen an die Überwachung gewährleisten zu können".

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Supercomputing-Zentren quer durch die Republik hatten nach Bekanntwerden des Angriffs Mitte Mai ihre Systeme vom Netz genommen [2]. Neben Höchstleistungsrechnern in Jülich, Stuttgart, München waren laut Informationen von heise online alle Mitglieder des Netzwerks Partnership for Advanced Computing in Europe (PRACE) betroffen. Während die Verantwortlichen bei PRACE sich nach wie vor bedeckt halten und selbst keine Informationen zu der großen Attacke herausgegeben haben, lieferte das LRZ erste Hinweise über [3] die Art des Angriffs.

Nach Angriff auf HPC-Systeme: Supercomputing nur zu Geschäftszeiten

Am 'wiederauferstandenen' Supercomputer Archer (Edinburgh) sieht man die Abschaltung.

(Bild: EPCC)

Demnach kombinierten die Angreifer zwei Schwachstellen. Einerseits "bedienten sie sich kompromittierter Nutzer-Accounts auf externen Systemen, deren private SSH-Schlüssel mit einer leeren Passphrase konfiguriert waren". Andererseits nutzten sie, wie das LRZ seine Nutzer informierte, "einen Fehler in der Software, der nach regulärem Login zur Erlangung von Administrationsrechten genutzt werden kann." Zu den konkreten Zielen wissen die Verantwortlichen beim LRZ nach wie vor nichts, bitten aber ihre Nutzer etwaige verdächtige Dinge zu melden.

Wie mehrere andere betroffene Höchstleistungsrechenzentren haben die Münchner alle Nutzer zur Erneuerung von Passwörtern und Secure-Shell Keys aufgerufen. Die Nutzer wurden aufgefordert, neue Key-Paare zu generieren, "wobei unbedingt darauf zu achten ist, dass dem privaten Schlüssel auf dem Rechner, von dem aus der Login erfolgt, keine leere Passphrase zugeordnet werden darf!", so die Aufforderung. Außerdem müssen alle Nutzer der LRZ Cluster-Systeme "in ihre ~/.ssh/authorized_keys Datei schlüsselspezifische "from" Klauseln einfügen, um den Zugriff auf die tatsächlich benötigten externen Systeme einzuschränken."

So geschützt wolle man in der kommenden Woche den Betrieb voraussichtlich wieder aufnehmen, teilte die LRZ-Sprecherin mit. Weitere Maßnahmen würden gerade mit den ebenfalls betroffenen Partnern im Gauss Center for Supercomputing (GCS), dem Höchstleistungsrechenzentrum Stuttgart und dem Jülich Supercomputing Center abgestimmt. Dabei sei auch die Einschränkung des Zugriffs auf die Zeit zwischen 08.00 und 18.00 Uhr angedacht. Leider, so die Sprecherin des LRZ, sei es so, dass die Einschränkungen voraussichtlich noch bestehen bleiben, bis der Vorfall endgültig aufgeklärt sei.

Nach wie vor bleiben viele Fragen offen in der bislang wohl größten Attacke auf das Netz der Supercomputer in Europa. Wer waren der oder die Angreifer? Welcher "Softwarefehler" erlaubte es den Angreifern, sich Administratorenrechte zu verschaffen? Wurden bestimmte Daten oder am Ende doch nur Computing-Zeit gestohlen? Am Ende wird man auch die Frage stellen müssen, wie die Antwort auf eine so vernetzte Attacke koordiniert werden muss.

Die PRACE-Parter würden sich beim bevorstehenden Treffen austauschen und auch über gemeinsame Strategien für die Zukunft sprechen, heißt es dazu aus München. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwar durch ein Opfer, das selbst Nutzer von HPC-Resourcen ist, einen ersten eigenen Einblick in die Attacken gewonnen und generell Unterstützung angeboten, es ist aber laut einem Sprecher selbst nicht "zuständig". Zugleich ermitteln mehrere Landeskriminalämter: Bayern, Baden-Württemberg und Nordrhein-Westfalen. (tiw [4])


URL dieses Artikels:
https://www.heise.de/-4770267

Links in diesem Artikel:
[1] https://www.heise.de/newsletter/manage/ho?wt_mc=nl.red.ho.daily.meldung.link.link
[2] https://www.heise.de/meldung/Mehrere-Hochleistungsrechenzentren-in-Europa-angegriffen-4721393.html
[3] https://www.lrz.de/aktuell/ali00856.html
[4] mailto:tiw@heise.de