Abo
  • Services:
Anzeige
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist.
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist. (Bild: Elliot Bennett, Wikimedia Commons/CC-BY 2.0)

Zeitserver: Neue Angriffe auf das Network Time Protocol

Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist.
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist. (Bild: Elliot Bennett, Wikimedia Commons/CC-BY 2.0)

Ein Forscherteam der Universität Boston präsentiert neue Angriffe gegen NTP, dem Protokoll zum Setzen der Systemzeit übers Netz. Mittels gespoofter Pakete können NTP-Clients faktisch abgeschaltet und in seltenen Fällen auch mit einer falschen Systemzeit manipuliert werden.

Anzeige

Das Network Time Protokol (NTP) zum Setzen der Systemzeit auf Computern weist Schwächen auf, die es Angreifern unter bestimmten Umständen ermöglichen, mittels gespoofter Pakete die Verbindungen zu Zeitservern zu verhindern und in einigen Fällen sogar einem Client gefälschte Antworten unterzuschieben. Dass NTP generell gegen Man-in-the-Middle-Angriffe verwundbar ist, ist keine Neuigkeit, aber die jetzt von Forschern der Universität Boston präsentierten Angriffe können mittels gespoofter UDP-Pakete auch ohne Man-in-the-Middle-Angriff durchgeführt werden.

Denial-of-Service mittels Kiss-of-Death-Paketen

NTP-Server können Clients ein sogenanntes Kiss-of-Death-Paket schicken, um ihnen zu signalisieren, dass sie überlastet sind, und der Client diesen Server nicht mehr so häufig anfragen soll. Diese Kiss-of-Death-Pakete konnten die Forscher ausnutzen, um Clients dazu zu bringen, die Intervalle so hoch zu setzen, dass der Server über Jahre nicht mehr angefragt wurde. Das NTP-Protokoll erlaubt es bei IPv4-Verbindungen, von Systemen, die gleichzeitig als Client und als Server agieren, herauszufinden, von welchem Server sie wiederum ihre Zeit erhalten haben. Somit kann ein Angreifer zunächst herausfinden, welchen Server ein System nutzt und es anschließend dazu bringen, diesen Server nicht mehr zu benutzen. Wenn ein System mehrere NTP-Server nutzt, kann der Angreifer diesen Angriff auch mehrfach ausführen.

Neben der Möglichkeit, die NTP-Funktionalität des Servers mit einem derartigen Angriff komplett zu deaktivieren, erwähnen die Autoren des Angriffs auch, dass es denkbar sei, einen Server, der viele verschiedene andere Server zum Setzen der Zeit nutze, auf einen schlechten Server zu pinnen. Bei einem Scan aller NTP-Server im Internet fanden die Wissenschaftler heraus, dass eine ganze Reihe von Servern entweder überhaupt nicht mit einer Zeit antwortete oder eine falsche Zeit auslieferte. Insgesamt fanden die Forscher etwa 13 Millionen IPs, unter denen ein NTP-Server erreichbar war. 1,7 Millionen davon antworteten mit einer Uhrzeit, die mehr als zehn Sekunden danebenlag, und 3,2 Millionen, die keine Uhrzeit sendeten.

Ein weiterer Angriff der Autoren setzte darauf, die Fragmentierung von IP-Paketen auszunutzen, um einem Client eine falsche Serverantwort unterzuschieben. Dabei kommt ein Teil der Antwort von einem legitimen NTP-Server, der Rest der Antwort ist ein gespooftes Paket des Angreifers. Damit dieser Angriff funktioniert, müssen allerdings einige Bedingungen erfüllt sein. Der Server muss bei der Paketfragmentierung das Setzen der sogenannten MTU (Maximum Transfer Unit) auf 68 Bytes erlauben. Aktuelle Versionen des Linux-Kernels erlauben dies nicht. Insgesamt fanden die Forscher etwa 11.000 Server, die für den Angriff verwundbar waren, also vergleichsweise wenige.

Um den Angriff zu ermöglichen, muss weiterhin der Client ein bestimmtes Verhalten bei überlappenden IP-Fragmenten zeigen. Wie viele Systeme mit NTP-Server als Client für diesen Angriff verwundbar sind, wollten die Forscher nicht testen, denn dazu hätten sie überlappende IP-Fragmente schicken müssen. Ein sehr alter Bug namens Teardrop, der in den 90er Jahren gefunden worden war, führte unter zahlreichen Betriebssystemen dazu, dass diese abstürzen, wenn sie derartige IP-Pakete erhalten. Das Risiko, den Absturz von Systemen herbeizuführen, wollten die Forscher nicht eingehen.

Man-in-the-Middle-Angriffe auf NTP keine Neuigkeit

Keine Neuigkeit ist, dass NTP-Verbindungen in aller Regel für Man-in-the-Middle-Angriffe verwundbar sind. Das Protokoll bietet zwar zwei Authentifizierungsmethoden, aber beide werden selten genutzt. Die eine nutzt einen symmetrischen Schlüssel, das bedeutet, dass sich Server und Client vorab auf einen Schlüssel einigen müssen. Die andere Methode namens Autokey hat zahlreiche Sicherheitslücken und bietet kaum Schutz. Aus diesem Grund wird in der Praxis NTP bis heute praktisch immer ohne kryptographische Schutzmaßnahmen verwendet, und ein Angreifer kann jederzeit einem System eine falsche Uhrzeit unterschieben.

Die NTP-Referenzimplementierung verwirft allerdings Uhrzeiten von Servern, die deutlich von der aktuellen Systemzeit abweichen. Die Forscher weisen jedoch darauf hin, dass dieser Schutz an einem Punkt nicht greife: Beim Starten erlaubt der NTP-Daemon, wenn er mit einer entsprechenden Option gestartet wurde, einmalig eine Uhrzeit, die beliebig von der aktuellen Systemzeit abweichen kann. Diese Option ist meistens die Standardeinstellung. Mit einigen Tricks gelang es weiterhin auch, einem System zunächst eine scheinbar plausible Zeit unterzuschieben, die nur wenig von der echten Uhrzeit abwich, und anschließend eine deutlich abweichende Zeit zu schicken.

13 Sicherheitslücken geschlossen

Die Entwickler der NTP-Standardimplementierung haben zeitgleich mit der Veröffentlichung dieser Forschungsergebnisse eine neue Version (4.2.8p4) veröffentlicht. Darin werden einige der beschriebenen Probleme behoben, und die Angriffe deutlich erschwert. Daneben wurden in dieser Version weitere Sicherheitsprobleme behoben, insgesamt wurden mit dem Update 13 Sicherheitslücken geschlossen.

Eine falsche Systemzeit kann zu zahlreichen Sicherheitsproblemen führen. So könnte ein Angreifer etwa abgelaufene TLS-Zertifikate weiter einsetzen. Im vergangenen Jahr zeigte der Sicherheitsforscher Jose Selvi auf der Black-Hat-Konferenz in Amsterdam, wie man mittels einer manipulierten Systemzeit das HSTS-Verfahren aushebeln kann. Selvi hatte auch ein Tool für Man-in-the-Middle-Angriffe auf NTP mit dem Namen Delorean entwickelt.

Eine Alternative zu NTP ist das Tool Tlsdate. Es erlaubt das Setzen der Systemzeit über den Timestamp von TLS. Allerdings ist diese Methode nicht so genau wie NTP. OpenNTPD, die NTP-Implementierung von OpenBSD, unterstütz eine Methode, bei der gleichzeitig eine NTP- und eine HTTPS-Verbindung genutzt wird, um größere Zeitsprünge zu verhindern. Beide Methoden sind letztendlich jedoch nur Workarounds. Langfristig sollte das NTP-Protokoll mittels Zertifikaten und Signaturen abgesichert werden, ein Entwurf hierfür existiert bereits.


eye home zur Startseite
Alexspeed 23. Okt 2015

Und hierauf haben es die Hacker abgesehen. Nicht unbedingt selbst zu verdienen. Man macht...

Th3Br1x 23. Okt 2015

NTP-Amplification-DDoS wäre ein weiteres Beispiel, warum man das NTP deutlich besser...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Dürr Systems AG, Bietigheim-Bissingen
  3. über Ratbacher GmbH, Raum Frankfurt
  4. CERATIZIT Deutschland GmbH, Empfingen


Anzeige
Blu-ray-Angebote
  1. 129,99€
  2. 12,99€
  3. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  2. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  3. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  4. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  5. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  6. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft

  7. Hearthstone

    Blizzard schickt Spieler in die Straßen von Gadgetzan

  8. Jolla

    Sailfish OS in Russland als Referenzmodell für andere Länder

  9. Router-Schwachstellen

    100.000 Kunden in Großbritannien von Störungen betroffen

  10. Rule 41

    Das FBI darf jetzt weltweit hacken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

  1. Re: DAU-Gesetzgebung für DAUs

    dl01 | 10:44

  2. Re: Wer sind die?

    phre4k | 10:37

  3. Re: dauert noch

    MonMonthma | 10:32

  4. Immer dasselbe Lied

    C.Behemoth | 10:23

  5. Re: Bezug zum Artikel?

    Moe479 | 10:15


  1. 09:02

  2. 18:27

  3. 18:01

  4. 17:46

  5. 17:19

  6. 16:37

  7. 16:03

  8. 15:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel