Alfonso Maruccia

NTP, nuovi bug nei tempi della Rete

I ricercatori identificano nuove, pericolose vulnerabilità nel protocollo standard per "tenere il tempo" su computer e gadget interconnessi. Un potenziale rischio caos, avvertono

Roma - Ancora (grossi) guai per il protocollo NTP (Network Time Protocol), tecnologia standardizzata negli anni '80 e tuttora alla base del più comune meccanismo di sincronizzazione dell'orario universale tra client, server e orologi atomici ultra-precisi connessi a Internet. Non è la prima volta che viene identificato un buco in NTP, ma questa volta i problemi sono molteplici e le conseguenze potenzialmente caotiche.

Il nuovo allarme sulle tante insicurezze di NTP arriva dai ricercatori dell'Università di Boston, che hanno scavato nelle specifiche del protocollo e la sua implementazione di riferimento (ntpd) scoprendo "diversi problemi di sicurezza" nelle comunicazioni non cifrate in grado sia di alterare l'orario di un computer/gadget elettronico (attacchi di timeshifting) che di prevenire la sincronizzazione degli orologi di sistema dei suddetti apparati (attacchi DoS).

NTP è ampiamente utilizzato dai protocolli crittografici per i certificati TLS, l'infrastruttura dei nomi di dominio (DNSSEC) e dalla criptomoneta più popolare (bitcoin), avvertono i ricercatori, e grazie ai nuovi bug scovati nel protocollo un malintenzionato - o una vera e propria organizzazione criminale, magari finanziata dall'intelligence - potrebbero mandare in crash il daemon del servizio, provocare un buffer overflow, attaccare i server di rete e altro ancora.
NTP potrebbe insomma essere lo strumento di compromissione delle comunicazioni sicure con attacchi man-in-the-middle, dei sistemi di autenticazione usati dai siti Web e del normale funzionamento della blockchain di bitcoin, dicono i ricercatori. L'allarme, per il momento, è solo ipotetico, i fattori di mitigazione non mancano (come la specifica NTP che previene le modifiche all'orario di sistema superiori ai 16 minuti) e il codice aggiornato privo dei bug scovati dai ricercatori è già disponibile per il download (ntp-4.2.8p4).

Alfonso Maruccia
Notizie collegate
  • AttualitàNTP, un buco nei tempi della ReteIl protocollo per la sincronizzazione via Internet ancora sotto attacco, e questa volta il rischio prevede l'esecuzione di codice malevolo da remoto. Si muove anche Apple con una patch automatica per OS X
  • TecnologiaL'orologio atomico preciso quanto l'universoCreato il primo orologio atomico in grado di misurare "l'ora esatta" con una precisione più duratura dell'intera esistenza dell'universo conosciuto. Un orologio più preciso potrebbe essere implementato solo nello spazio
8 Commenti alla Notizia NTP, nuovi bug nei tempi della Rete
Ordina
  • Il Maruccia riporta una grossa imprecisione dal Register: i bachi affliggono non il protocollo, ma la sua implementazione di riferimento, pubblicata dal NTP project.
    non+autenticato
  • "We have uncovered several security issues affecting unauthenticated NTP and its reference implementation ntpd."

    Il problema riguarda entrambe le cose.
  • Colgo l'occasione e mi butto in un offtopoc: ma un onfocus sui campi di input della form che disabilitano il meta refresh di 300 secondi si può avere? Non è una soluzione top ma almeno è un qualcosa ...
  • - Scritto da: Alfonso Maruccia
    > "We have uncovered several security issues
    > affecting unauthenticated NTP and its reference
    > implementation
    > ntpd."
    >
    > Il problema riguarda entrambe le cose.

    Affermazione tutta da dimostrare, dato che gli stessi ricercatori ammettono la confusione scrivendo che «practically speaking, the protocol is determined by the NTP reference implementation ntp» [https://eprint.iacr.org/2015/1020.pdf §III, pag. 3].
    non+autenticato
  • Stiamo toccando i limiti dell'assurdo.

    Ma è mai possibile che dobbiamo infilare chi sa quali migliaia di istruzioni di codice in una cosa talmente banale come la comunicazione di un timer? Insomma se per trasmettere una ventina di bytes utili riusciamo a costruire dei pastrocchi bacati, dei polpettoni in grado di essere attaccati dell'hacker di turno... alla faccia della tecnologia...

    Il mio Casio F-91W (10 euro su Amazon, impermeabile, full function, full digital, autonomia pila 7 anni...) lo metto a posto 2 volte all'anno, quando cambia l'orario, e lo sballo è meno di un minuto. A proposito, lo riallineerò domani notte.
    Però pare che, in questo mondo pieno di fuffa supertecnologica (e.g. win10) far circolare su rete le informazioni che fornisce il mio Casio sia un'impresa non tanto facile, se si cade miseramente in questi tranelli assurdi.
    Questo senza contare che i ritardi su rete mandano a farsi benedire l'accuratissima precisione di timer atomici o similari. Ma quandanche il segnale per assurdo viaggiasse su onde radio senza ripetitori intermedi, agli antipodi il ritardo con cui fare i conti sarebbe di quasi un decimo di secondo!
    Del resto lo diceva uno più ferrato di me, Einstein, che è impossibile la certezza di sincronismo a distanza, perchè un osservatore in A misura il tempo di B diversamente da come lo misura un osservatore in B.
    .
    -----------------------------------------------------------
    Modificato dall' autore il 24 ottobre 2015 04.23
    -----------------------------------------------------------
  • E' per questo che esistono diversi orologi di riferimento e non solo uno, il tuo Casio F-91W lo sincronizzi con l'IEN o ti adatti al segnale orario della RAI? No sai, perche' anche quello non e' preciso...
    non+autenticato
  • Il tuo casio ignora non solo il fuso orario ma anche l'esistenza del 29 febbraio. Se il confronto è con cotanta tecnologia, allora anche la calcolatrice di mio nonno non ha bug, a differenza dei moderni processori [ http://wiki.osdev.org/CPU_Bugs ]
  • - Scritto da: rockroll
    > Stiamo toccando i limiti dell'assurdo.
    >
    > Ma è mai possibile che dobbiamo infilare chi sa
    > quali migliaia di istruzioni di codice in una
    > cosa talmente banale come la comunicazione di un
    > timer? Insomma se per trasmettere una ventina di
    > bytes utili riusciamo a costruire dei pastrocchi
    > bacati, dei polpettoni in grado di essere
    > attaccati dell'hacker di turno... alla faccia
    > della tecnologia...
    >
    >
    > Il mio Casio F-91W (10 euro su Amazon,
    > impermeabile, full function, full digital,
    > autonomia pila 7 anni...) lo metto a posto 2
    > volte all'anno, quando cambia l'orario, e lo
    > sballo è meno di un minuto. A proposito, lo
    > riallineerò domani notte.


    al tuo Casio frega poco dell'ntp o se sgarra di un minuto o due.
    A una piazza finanziaria in cui passano di mano miliardi di $$$ con tempistiche di millisecondi, interessa eccome.
    Funz
    12995