Nuovi attacchi al protocollo NTP posso colpire l’HTTPS

0

ntp

Qualche giorno fa, è stato reso noto che alcune vulnerabilità del meccanismo di sincronizzazione dell’orario via internet possono creare disservizi, permettere di leggere il contenuto di connessioni criptate, o catturare transazioni Bitcoin.

Le vulnerabilità risiede nel protocollo NTP (Network Time Protocol), largamente utilizzato per assicurarsi che l’ora di client e server sia sincronizzata globalmente. Straordinariamente, la maggior parte delle connessioni tra client e NTP server avvengono in chiaro, rendendo possibile a malintenzionati attacchi di tipo man-in-the-middle, creando variazioni importanti negli orari delle macchine, ottenendo così diversi risultati.

Se anche disservizi causati da variazioni di tempo “estreme” possono risultare preoccupanti, sicuramente uno dei privilegi che un attacco di questo tipo permette di ottenere spaventa particolarmente: la possibilità di bypassare il protocollo sicuro HTTPS forzando un client ad accettare un certificato TLS oramai scaduto.

Nel documento “Attacking the Network Time Protocol” rilasciato, oltre a questi ed altri possibili attacchi, viene fornita anche una comoda tabella riepilogativa:

To attack… change time by…
TLS Certs years
HSTS a year
DNSSEC months
DNS Caches days
Routing (RPKI) days
Bitcoin hours
API authentication minutes
Kerberos minutes

Non è ben chiaro dal documento come alcuni di questi attacchi possano essere messi in pratica in una situazione reale ed, in genere, una limitazione che prevede di evitare variazioni di orario superiori ad una certa soglia può sicuramente evitare che alcuni di questi attacchi vengano portati a termine (da specifiche di protocollo, variazioni superiori a 16 minuti vengono automaticamente bloccate, ma questo valore può essere variato a piacimento).

Insomma, lo studio mostra diversi motivi per cui è necessario tenere d’occhio anche la configurazione di una parte molto comune e relativamente semplice di un’infrastruttura, la gestione del tempo.

I ricercatori dell’Università di Boston hanno reso disponibile una pagina informativa che può aiutare a diagnosticare e rimuovere le debolezze NTP sia sui client che sui server che forniscono il servizio; una delle prime cose che viene consigliata è l’uso dell’NTP (sia client che server) almeno alla versione 4.2.8p4, disponibile direttamente sul sito relativo al protocollo.

Saranno giorni di verifiche i prossimi.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.