Mye IT-funksjonalitet, ikke minst på sikkerhetssiden, avhenger korrekt tidsangivning. Samtidig får veldig mange IT-systemer levert tidsdata via fra kilder som ofte kan forfalskes. (Foto: SplitShire)

Network Time Protocol

Kapring av gammel nettprotokoll kan skape masse trøbbel

Mye sikkerhetsteknologi er sårbar for angrep på «tiden».

Nøyaktig tidsangivelse er ofte svært viktig i dagens IT-systemer. Feil i tidsangivelsen kan gi alle mulige problemer, men også muligheter. Det sistnevnte vet alle som juster pc-klokka for at prøveversjonen av favorittprogramvaren skal kunne brukes litt til.

Tidsprotokollen

For å sørge for at systemklokka til blant annet pc-er og servere skal gå mest mulig riktig, bruker de fleste datamaskiner i dag en nettverksprotokoll som heter Network Time Protocol (NTP).

NTP er blant de eldste internett-baserte protokollene som fortsatt brukes. Den første utgaven skal ha blitt implementert i 1985. Sett i forhold til hvor mye denne teknologien brukes, er det relativt få som i det hele tatt vet om den.

Hva så om noen kaprer trafikken til en NTP-server og leverer tilbake tidsangivelser som er forskjøvet i den ene eller den andre retningen? Kan dette brukes i mer alvorlige angrep på de berørte systemene?

Avdekket svakheter

Dette har forskere ved Boston University (BU) forsket på. I en vitenskapelig artikkel som ble utgitt denne uken, beskriver det både hvordan slike angrep kan gjøres, hva som kan være konsekvensene, samt hvordan et sett med enkle mottiltak kan forbedre sikkerheten til NTP.

Et resultat av forskningen er blant annet en sikkerhetsfiks som Network Time Foundation (NTF) inkluderte i en sikkerhetsoppdatering til NTP-programvaren denne uken.

– NTF har veldig begrensede ressurser, så arbeidet til BU og andre forskningsgrupper er nyttig for å avdekke problemer, sier NTF-grunnlegger og -president, Harlan Stenn, til BU Today. Også andre berørte programvareleverandører, blant annet Cisco, skal i august ha blitt varslet om forskernes funn.

Det er mange systemer som kan bli sårbare dersom noen manipulerer klokken de avhenger av. For eksempel kan svake sikkerhetssertifikater som har forfalt eller blitt trukket tilbake på en gitt dato, igjen blir godtatt av systemet dersom systemklokka har blitt stilt for eksempel et år tilbake.

Lokal mellomlagring av DNS-data og tidsstempler knyttet til DNSSEC, en protokoll som tilbyr kryptografisk autentisering av DNS-data, kan føre til at sårbare systemer ikke lenger er i stand til å knytte domenenavn til riktig IP-adresse, fordi de lokalt lagrede DNS-dataene ikke registreres som utdaterte.

Også autentisering, visse typer ruting, samt beregninger som gjøres av bitcoin-noder, er andre eksempler på mekanismer som ofte avhenger av en korrekt klokke for å fungere skikkelig.

– Krypteringsprotokollen som beskytter informasjonen som for eksempel sendes fra nettleseren til nettbanken din, er veldig avhengig av nøyaktigheten til klokkene til datamaskinen din, sier Sharon Goldberg til BU Today. Hun er førsteamanuensis i informatikk ved Boston Universitys College of Arts & Sciences, og har ledet forskningsarbeidet.

Kiss-o'-Death

Goldberg forteller at et av de potensielle angrepene som gruppen hennes har funnet, involverer en pakketype som kalles for Kiss-o'-Death. (Dødskyss, red.anm.)

Disse pakkene skal få klienter, som altfor hyppig sender forespørsler til NTP-serveren, til å senke takten på forespørslene. Men ved sende forfalskede pakker til klienten, kan en angriper over lang tid, i kanskje i årevis, forhindre at klienten kommuniserer med NTP-servere.

På denne siden beskrives fire konkrete typer angrep som involverer NTP. Alle kan forhindres, og to av dem, inkludert Kiss-o'-Death-forfalskningen, skyldes sårbarheter som i alle fall i ntpd-programvaren er fjernet med versjon 4.2.8p4, altså oppdateringen som er nevnt over.

På samme siden er det også en sårbarhetstest som alle kan bruke for å se om NTP-serverne de benytter, er sårbare. I Unix-lignende systemer finner gjerne dette i filen /etc/ntp.conf. I Windows-systemer finner man det ved å åpne verktøyet for dato og tid som finnes i kontrollpanelet. Dette gjelder også Windows 10.

Vanligvis benytter Windows-maskiner serveren time.windows.com, mens Mac-er gjerne er satt opp med time.euro.apple.com som NTP-server.

Leste du denne? Internett er bygget som et korthus

Til toppen