Sécurité de Folding @ home

[[Quebec]_Knivre]

Bonjour,

Question pour ceux qui sont avec Folding @ home depuis un moment...
Notre client qui roule en permanence. Est-il susceptible de nous amener ce genre de problème?

https://www.datacenterdynamics.com/en/ne...ocurrency/

J'ai rien contre aider la science mais si ça ouvre une porte aux hackers je vais malheureusement devoir reconsidérer :-(


Merci à l'avance!

Xavier

[Kana-chan]

Bonjour,

Normalement, pas trop risque que cela arrive sur votre PC.
Surtout si vous avez bien protéger les accès réseaux avec un mot de passe et que vous n'utilisez pas l'accès sans mot de passe depuis l'extérieur.

Voilà ...

[[Quebec]_Knivre]

Merci de la réponse. La sécurité c'est pas aussi simple que cela en général. Quand on installe le client il peut ouvrir des ports pour communiquer avec l'extérieur (si c'est le choix de configuration choisi par le programmeur).

Si ces ports sont mal ouverts ça pourrait permettre à des gens de lancer des commandes sur notre PC. Donc peu importe si ton réseau est bien configuré (mot de passe) certains logiciels peuvent venir faire des trous... si c'est mal programmé bien sûr.

Je vois cependant que la sécurité a été longuement discutée sur certains site web. Quand j'aurai un moment j'irai voir comment ça marche et je le mettrai ici.

Mais c'est sur qu'on a un million de monde dans le projet et personne à date qui a blâmé F@H.
Juste ça c'est encourageant :-)

[En attendant je suspends mon client... Dommage je suis rendu à 15 millions!]

[JWhy]

F@h "n'ouvre" pas de port ("entrants" sur ton PC , si c'est ce dont tu parles), mais effectivement il communique avec les serveurs du projet pour récupérer des WU et envoyer des résultats.
Mais si tu arrêtes F@h, tu peux aussi arrêter d'utiliser ton navigateur web ainsi que tout les autres programmes de ton PC qui ont besoin d'aller sur internet.
Car tu as a peu près le même niveau de risques...

ps: ça va faire bientôt 20 ans que le projet F@h existe et il n'y a jamais eu d'alerte sécurité

[Kana-chan]

Je pensais qu'il parlait de mettre une adresse ip pour la découverte des clients F@H (comme pour le HFM).
Mais si c'est juste qu'il a peur qu'il y ait des ports ouverts, là en effet, il peut arrêter d'utiliser Windows aussi, qui ouvre les ports pour envoyer des données d'utilisation.

Voilà ...

[AlanShore]

F@h "n'ouvre" pas de port ("entrants" sur ton PC , si c'est ce dont tu parles), mais effectivement il communique avec les serveurs du projet pour récupérer des WU et envoyer des résultats.
Mais si tu arrêtes F@h, tu peux aussi arrêter d'utiliser ton navigateur web ainsi que tout les autres programmes de ton PC qui ont besoin d'aller sur internet.
Car tu as a peu près le même niveau de risques...

ps: ça va faire bientôt 20 ans que le projet F@h existe et il n'y a jamais eu d'alerte sécurité

Salut JWhy,

J'ai beaucoup navigué aujourd'hui pour "les projets scientifiques". Voici ce qui c'est affiché à un moment donné :



J'ai pris une copie d'écran, puis j'ai fermé la fenêtre. Ça ne me concerne pas puisque je suis sur Mac et j'ai un antivirus. À l'installation, il était précisé que l'application F@H pouvait être détectée comme un virus et qu'il fallait faire une exception dans l'antivirus pour le dossier F@H.

Ça ressemble fort à une arnaque, puisqu'ils demande la clé d'enregistrement de Windows. Je ne me rappelle plus sur quel lien j'ai cliqué, mais c'était certainement en rapport avec F@H.

** edit par JWhy : réduction de la taille de l'image **

[[Quebec]_Knivre]

Bonjour AlainShore. ta fenêtre c'est juste une tentative de phishing. Qui n'a pas marché car tu es sur Apple. Rien de vrai là-dedans. Faut rien cliquer dans ce temps-là.

Pour Folding@Home. Mise à jour à 22h Heure de l'EST.

Comme je disais, c'est pas simple la sécurité informatique (j'en sais un bout j'ai été 8 ans en support technique à divers niveaux).

En fait le client reçoit des WU sur les ports 80 et 8080 donc JWhy a raison - même chose que pour le web.

Mais....pourquoi alors je vois des liens de 2015 (ok c'est vieux!) qui disent:
- que F@H ouvre le port de 36330 pour la gestion de plusieurs ordinateurs à la fois dans un domaine.
- que le port 7396 est ouvert pour l'interface Web.
Voir --> https://foldingforum.org/viewtopic.php?f=61&t=25689

JWhy écrit : F@h "n'ouvre" pas de port ("entrants" sur ton PC , si c'est ce dont tu parles).

... donc pas sûr que c'est vrai. Maintenant que je sais que ça existe, il reste à comprendre pourquoi ce n'est PAS dangereux.

F@H nous réassure ici --> https://foldingathome.org/faqs/rules-pol...ldinghome/
Microsoft de son côté ne me réassure pas du tout --> https://www.zdnet.com/article/microsoft-...ldinghome/
(pourquoi suggérer de mettre F@H dans un Sandbox?)

JWhy écrit s: ça va faire bientôt 20 ans que le projet F@h existe et il n'y a jamais eu d'alerte sécurité

Ok. Mais sur --> https://foldingathome.org/2020/04/17/new...-projects/

On lit ce petit bout : We encourage you to upgrade as the new software includes important bug fixes and security updates.
Alors pourquoi faire une mise à jour de "fix" importants de sécurité en avril s'il n'y a jamais eu de problèmes de sécurité ?

Je sais que je pose pas mal de questions. C'est pas méchant et je ne vous trouve pas moins génial pour autant à l'Alliance Francophone.
Vous faites beaucoup de bénévolat pour la cause dont le maintient de ce forum. Je trouve que c'est vraiment un travail super.

Je vais continuer ma recherche puis je mettrai le résultat ici. Pour le moment le seul "vrai" cas rapporté sont les hacker qui ont fait un faux exécutable mais tant qu'on télécharge l'installateur d'une source fiable ce n'est pas un problème. Reste juste à figurer pourquoi Microsoft juge bon de faire un script Powershell pour rouler F@H en sandbox. Bizarre!

[JWhy]

Merci Knivre pour ta réponse à AlanShore.

Mais....pourquoi alors je vois des liens de 2015 (ok c'est vieux!) qui disent:
- que F@H ouvre le port de 36330 pour la gestion de plusieurs ordinateurs à la fois dans un domaine.
- que le port 7396 est ouvert pour l'interface Web.
      Voir --> https://foldingforum.org/viewtopic.php?f=61&t=25689

En fait , c'est ce que te disait Kana un peu plus haut.
Il y a bien des ports en écoute (désolé pour la tentative de vulgarisation de mon précédent message), mais ils ne sont pas exposés sur internet (sauf si tu l'as explicitement fait, mais c'est de ta responsabilité, pas celle de F@h [et comme kana disait/comme tu le verras sur le lien, il y a des mécanismes pour sécuriser cette exposition , si jamais tu décides de le faire]).
Ils servent à la communication (locale) entre le client et ses différents composants: c'est ce qu'explique Jesse_V dans le sujet que tu as cité.

Microsoft de son côté ne me réassure pas du tout --> https://www.zdnet.com/article/microsoft-...ldinghome/
(pourquoi suggérer de mettre F@H dans un Sandbox?)

Pourquoi ? Pour rassurer les personnes qui s'inquiètent  de la sécurité de F@h
Et en particulier ceux qui ont les leviers pour faire tourner F@h en entreprise : pour rappel, le mécanisme de sandboxing de Microsoft n'est dispo que sur Windows 10 Pro or Enterprise.
"On vous dit que f@h c'est secure, mais si vous ne nous croyez pas, vous pouvez le faire tourner dans notre sandbox qui isole F@h du reste de votre serveur".
C'est un argument également valable pour les solutions de déploiement de F@h dans les containers ou machine virtuelles.
Et que ce soit le sandbox/container/machine virtuelle, tu as aussi le fait que c'est "plus simple" à gérer/exploiter (plutôt qu'avoir à installer X clients à la main sur X machines)
Mais là aussi, ça ne s'adresse pas vraiment au même public...

C'est un peu comme sur ton PC : tu peux décider de faire tourner Windows avec le firewall et l'antivirus intégrés fournis par Microsoft et tu n'auras probablement jamais de problème (sous réserve d'un minimum d’hygiène informatique :  avoir un adblocker, ne pas aller n'importe où, ne pas télécharger et installer n'importe quoi , ne pas cliquer les liens suspects dans les mails, etc...)
Ou si tu veux plus de flexibilité et de contrôle, tu mets un firewall (software ... ou hardware) plus "performant" qui te permet d'affiner les règles de filtrage que tu souhaites mettre en place (flux sortants/entrants, protocoles tcp/udp, plages d'ip / port, etc...) ainsi qu'un antivirus commercial (censé être) de compet' .

Tu seras beaucoup plus rassuré (et probablement un peu plus sécurisé), mais je ne suis pas convaincu que ça en vaille le coût/coup (à titre personnel, j'entends.)

On lit ce petit bout :  We encourage you to upgrade as the new software includes important bug fixes and security updates.
Alors pourquoi faire une mise à jour de "fix" importants de sécurité en avril s'il n'y a jamais eu de problèmes de sécurité ?

Le petit bout que tu cites parles de "security updates" ... pas de "security fixes". La différence n'est pas négligeable.
Un logiciel (correctement maintenu) se doit d'être mis à jour pour s'adapter aux évolutions des technologies ... et aux évolutions des menaces externes associées.
Je préfere qu'une équipe de dév. / un projet (avec plusieurs millions d'utilisateurs) fasse régulièrement des "bug fixes and security updates" (voire même des "security fixes" !)  plutôt qu'ils m'écrivent que tout est parfait & sécurisé, avec aucune mise à jour pendant des années : ça ne serait pas vraiment crédible, surtout pour un logiciel qui se connecte à internet.


J'espère que ces éléments de réponse te rassureront et que tu continueras à participer au projet. N'hésite pas poster ici si tu as d'autres interrogations ou les résultats de tes recherches.

Question naïve (enfin, à moitié ) :  Tu utilises quel OS & quel navigateur  ?

[longaripa]

Bonjour
Un exemple des ports ouverts sur le PC .



Ces ports sont visualisés avec CurrPorts, de Nirsoft
https://www.nirsoft.net/utils/cports.html

Les connexions établies le sont vers un autre PC du réseau local, qui héberge HFM.
Un upload est en cours, vers le port 8080 du serveur distant.

Il n'y a aucun port entrant ouvert à l'extérieur, testé avec Shields Up
https://www.grc.com/x/ne.dll?rh1dkyd2

[[Quebec]_Knivre]

Bonjour JWhy, merci aussi pour ta réponse.

Mon méa culpa, j'ai relancé hier soir F@H avant de me coucher mais je n'ai pas mis le forum à jour avec les résultats.

Grosso-modo j'arrive à la même conclusions que toi:
- Le sandbox de Microsoft m'apparaît être en effet un coup de marketing pour parler de la fonction Windows et couper court en milieu d'entreprise aux objections (probablement l'histoire des droits admin aussi). Pas aucun des liens n'expliquent en quoi F@H est insécuritaire (et j'ai fouillé un peu partout)­.
- Les ports qui permettent de contrôler le PC font face au réseau local uniquement comme tu l'as dit. Et encore la config XML demande à ce qu'on autorise certaines IP locale avant de les utiliser. Donc même si le PC de ma conjointe a un virus sur mon réseau (qui ne devrait pas arriver) ça devrait être bloqué pareil.
- Le travail à effectuer qui utilise nos CPU est mis dans des WU qui sont eux-même cryptés à l'arrivée et à l'envoi.
- Les work units sont compatibles avec les applications de simulation open source même si la gestion de ceux-ci par F@H est dans un programme propriétaire.
- Programme propriétaire qui n'est pas codé par n'importe qui. La page fait mention de plusieurs grandes compagnies (ex: Nvidia) dans ceux qui aident à programmer F@H. C'est pas des étudiants dans leur sous-sol ici. ;-) --> Note: J'ai rien contre les étudiants dans leur sous-sol! ;-)

- Finalement côté réputationnel c'est excellent. Quand on recherche Hack, Security, Safety avec Folding at Home... c'est pas des enjeux qu'on trouve mais plutôt des sites Anti-Hacking et des sites de compagnie en sécurité informatique ... qui recommandent à leurs utilisateurs d'utiliser le logiciel.

En conclusion les serveurs des universités hackés dans mon article de mon premier post c'est dû à une mauvaise gestion des accès ET ce n'était pas Folding at Home mais d'autres logiciel de simulation. Il n'y a donc pas de lien.

En bref, tu as raison qu'on peut avoir l'esprit tranquile.
(et pour les archives : tu as aussi raison vrai pour le security "updates" - j'avais mal lu)

Rendu à 16 millions cet après-midi. ;-)

Xavier
Note: Merci longparia pour confirmer les ports, rien de tel que la pratique pour confirmer la théorie!