2012年,美國海軍的兩臺服務(wù)器時(shí)鐘回滾了12年,顯示日期變成了2000年。
這些服務(wù)器有著重要地位:它們是全球網(wǎng)絡(luò)時(shí)間協(xié)議網(wǎng)絡(luò)的組成部分,該網(wǎng)絡(luò)被用于幫助計(jì)算機(jī)獲得正確的時(shí)間。
與這兩臺海軍服務(wù)器進(jìn)行通訊的電腦都相應(yīng)調(diào)整了本機(jī)的時(shí)間,在手機(jī)系統(tǒng)、路由器和認(rèn)證系統(tǒng)中造成了種種問題。
網(wǎng)絡(luò)時(shí)間協(xié)議是最古老的互聯(lián)網(wǎng)協(xié)議之一,發(fā)布于1985年。該事件表明使用該協(xié)議可能會造成嚴(yán)重的問題。
網(wǎng)絡(luò)時(shí)間協(xié)議具有很強(qiáng)的魯棒性,然而來自波士頓大學(xué)的研究人員在本周三表示,他們發(fā)現(xiàn)了該協(xié)議中存在的幾個(gè)漏洞,它們可能破壞加密通訊甚至阻塞比特幣交易。
他們發(fā)現(xiàn)的問題之一是,攻擊者可以使目標(biāo)組織的服務(wù)器停止同步檢查時(shí)間。
論文綜述中稱,網(wǎng)絡(luò)時(shí)間協(xié)議配有限頻機(jī)制,所用到的數(shù)據(jù)包綽號為Kiss O’ Death。該數(shù)據(jù)包會阻止計(jì)算機(jī)由于技術(shù)故障重復(fù)查詢時(shí)間。發(fā)送該數(shù)據(jù)包后,系統(tǒng)可能會在未來幾天或幾年內(nèi)停止查詢時(shí)間。
研究人員發(fā)現(xiàn)了一個(gè)大問題:攻擊者可以偽造Kiss O’ Death數(shù)據(jù)包,在系統(tǒng)正常的情況下偽造其已經(jīng)損壞的假象。
波士頓大學(xué)計(jì)算機(jī)科學(xué)系副教授莎朗·戈德堡稱,他們并不是在查看代碼的過程中發(fā)現(xiàn)Kiss O’ Death數(shù)據(jù)包的。
她在周三接受電話采訪時(shí)稱:“我們僅通過閱讀網(wǎng)絡(luò)時(shí)間協(xié)議規(guī)范就發(fā)現(xiàn)了Kiss O’ Death漏洞。我們只是發(fā)現(xiàn)了這種數(shù)據(jù)包的存在,然后就在想‘你能拿這東西做什么?’”
研究人員猜測,黑客僅利用一臺電腦運(yùn)行nmap、zmap等嗅探器,就可以攻擊找到的大量網(wǎng)絡(luò)時(shí)間協(xié)議客戶端。
這種欺騙攻擊之所以存在可能,一部分原因在于網(wǎng)絡(luò)時(shí)間服務(wù)器不會加密自身和客戶端間的通訊。
通訊未經(jīng)加密的原因在于網(wǎng)絡(luò)時(shí)間協(xié)議沒有如SSL/TLS一般精細(xì)的密鑰交換協(xié)議。加密密鑰必須被手動編程寫入網(wǎng)絡(luò)時(shí)間設(shè)備,但大多數(shù)組織并不樂意這樣做。
如果計(jì)算機(jī)的時(shí)鐘存在錯(cuò)誤,可能造成廣泛的問題。
假如時(shí)鐘被往早撥了,就意味著過期的SSL/TLS證書可以被視為有效,而攻擊者有可能已經(jīng)拿到了這些證書的解密秘鑰。
對于比特幣而言,時(shí)鐘不準(zhǔn)確可能導(dǎo)致比特幣客戶端拒絕合法交易,浪費(fèi)算力。
研究人員還發(fā)現(xiàn)了兩個(gè)漏洞。使用某種拒絕服務(wù)攻擊,攻擊者可以偽造Kiss O’ Death數(shù)據(jù)包,讓它們看上去來自合法的網(wǎng)絡(luò)時(shí)間客戶端。之后時(shí)間服務(wù)器就會試圖放緩查詢,發(fā)送一個(gè)響應(yīng)包,讓網(wǎng)絡(luò)時(shí)間客戶端停止更新時(shí)鐘。
第三個(gè)漏洞可能使得攻擊者干擾未加密的網(wǎng)絡(luò)時(shí)間通訊,在篡改目標(biāo)計(jì)算機(jī)的時(shí)鐘,并在其重啟后生效。
由于研究者在今年八月份提前將研究成果私下透露給網(wǎng)絡(luò)時(shí)間基金會,官方目前已經(jīng)放出了修復(fù)軟件。紅帽和思科等廠商也已經(jīng)修復(fù)了其網(wǎng)絡(luò)時(shí)間協(xié)議的實(shí)現(xiàn)。
本周二發(fā)布的最新版網(wǎng)絡(luò)時(shí)間協(xié)議的版本號是ntp-4.2.8p4,我們建議管理員盡快更新。
戈德堡表示,由于人們普遍認(rèn)為網(wǎng)絡(luò)時(shí)間協(xié)議十分強(qiáng)大,它近期幾乎沒有得到什么關(guān)注。但研究人員的成果表明,如今被最廣泛使用的版本號是4.1.1,它已經(jīng)發(fā)布十來年了。
“你手上的都是老客戶端,它們已經(jīng)不那么中用了。”
該研究論文的其他作者還有:安查爾·馬爾霍特拉、艾薩克·科恩、埃里克·布拉克。他們都來自波士頓大學(xué)。