Abo
  • Services:
Anzeige
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist.
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist. (Bild: Elliot Bennett, Wikimedia Commons/CC-BY 2.0)

Zeitserver: Neue Angriffe auf das Network Time Protocol

Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist.
Neue Angriffe auf das Protokoll zum Setzen der Systemzeit zeigen, wie notwendig eine Authentifizierung für NTP-Antworten ist. (Bild: Elliot Bennett, Wikimedia Commons/CC-BY 2.0)

Ein Forscherteam der Universität Boston präsentiert neue Angriffe gegen NTP, dem Protokoll zum Setzen der Systemzeit übers Netz. Mittels gespoofter Pakete können NTP-Clients faktisch abgeschaltet und in seltenen Fällen auch mit einer falschen Systemzeit manipuliert werden.

Anzeige

Das Network Time Protokol (NTP) zum Setzen der Systemzeit auf Computern weist Schwächen auf, die es Angreifern unter bestimmten Umständen ermöglichen, mittels gespoofter Pakete die Verbindungen zu Zeitservern zu verhindern und in einigen Fällen sogar einem Client gefälschte Antworten unterzuschieben. Dass NTP generell gegen Man-in-the-Middle-Angriffe verwundbar ist, ist keine Neuigkeit, aber die jetzt von Forschern der Universität Boston präsentierten Angriffe können mittels gespoofter UDP-Pakete auch ohne Man-in-the-Middle-Angriff durchgeführt werden.

Denial-of-Service mittels Kiss-of-Death-Paketen

NTP-Server können Clients ein sogenanntes Kiss-of-Death-Paket schicken, um ihnen zu signalisieren, dass sie überlastet sind, und der Client diesen Server nicht mehr so häufig anfragen soll. Diese Kiss-of-Death-Pakete konnten die Forscher ausnutzen, um Clients dazu zu bringen, die Intervalle so hoch zu setzen, dass der Server über Jahre nicht mehr angefragt wurde. Das NTP-Protokoll erlaubt es bei IPv4-Verbindungen, von Systemen, die gleichzeitig als Client und als Server agieren, herauszufinden, von welchem Server sie wiederum ihre Zeit erhalten haben. Somit kann ein Angreifer zunächst herausfinden, welchen Server ein System nutzt und es anschließend dazu bringen, diesen Server nicht mehr zu benutzen. Wenn ein System mehrere NTP-Server nutzt, kann der Angreifer diesen Angriff auch mehrfach ausführen.

Neben der Möglichkeit, die NTP-Funktionalität des Servers mit einem derartigen Angriff komplett zu deaktivieren, erwähnen die Autoren des Angriffs auch, dass es denkbar sei, einen Server, der viele verschiedene andere Server zum Setzen der Zeit nutze, auf einen schlechten Server zu pinnen. Bei einem Scan aller NTP-Server im Internet fanden die Wissenschaftler heraus, dass eine ganze Reihe von Servern entweder überhaupt nicht mit einer Zeit antwortete oder eine falsche Zeit auslieferte. Insgesamt fanden die Forscher etwa 13 Millionen IPs, unter denen ein NTP-Server erreichbar war. 1,7 Millionen davon antworteten mit einer Uhrzeit, die mehr als zehn Sekunden danebenlag, und 3,2 Millionen, die keine Uhrzeit sendeten.

Ein weiterer Angriff der Autoren setzte darauf, die Fragmentierung von IP-Paketen auszunutzen, um einem Client eine falsche Serverantwort unterzuschieben. Dabei kommt ein Teil der Antwort von einem legitimen NTP-Server, der Rest der Antwort ist ein gespooftes Paket des Angreifers. Damit dieser Angriff funktioniert, müssen allerdings einige Bedingungen erfüllt sein. Der Server muss bei der Paketfragmentierung das Setzen der sogenannten MTU (Maximum Transfer Unit) auf 68 Bytes erlauben. Aktuelle Versionen des Linux-Kernels erlauben dies nicht. Insgesamt fanden die Forscher etwa 11.000 Server, die für den Angriff verwundbar waren, also vergleichsweise wenige.

Um den Angriff zu ermöglichen, muss weiterhin der Client ein bestimmtes Verhalten bei überlappenden IP-Fragmenten zeigen. Wie viele Systeme mit NTP-Server als Client für diesen Angriff verwundbar sind, wollten die Forscher nicht testen, denn dazu hätten sie überlappende IP-Fragmente schicken müssen. Ein sehr alter Bug namens Teardrop, der in den 90er Jahren gefunden worden war, führte unter zahlreichen Betriebssystemen dazu, dass diese abstürzen, wenn sie derartige IP-Pakete erhalten. Das Risiko, den Absturz von Systemen herbeizuführen, wollten die Forscher nicht eingehen.

Man-in-the-Middle-Angriffe auf NTP keine Neuigkeit

Keine Neuigkeit ist, dass NTP-Verbindungen in aller Regel für Man-in-the-Middle-Angriffe verwundbar sind. Das Protokoll bietet zwar zwei Authentifizierungsmethoden, aber beide werden selten genutzt. Die eine nutzt einen symmetrischen Schlüssel, das bedeutet, dass sich Server und Client vorab auf einen Schlüssel einigen müssen. Die andere Methode namens Autokey hat zahlreiche Sicherheitslücken und bietet kaum Schutz. Aus diesem Grund wird in der Praxis NTP bis heute praktisch immer ohne kryptographische Schutzmaßnahmen verwendet, und ein Angreifer kann jederzeit einem System eine falsche Uhrzeit unterschieben.

Die NTP-Referenzimplementierung verwirft allerdings Uhrzeiten von Servern, die deutlich von der aktuellen Systemzeit abweichen. Die Forscher weisen jedoch darauf hin, dass dieser Schutz an einem Punkt nicht greife: Beim Starten erlaubt der NTP-Daemon, wenn er mit einer entsprechenden Option gestartet wurde, einmalig eine Uhrzeit, die beliebig von der aktuellen Systemzeit abweichen kann. Diese Option ist meistens die Standardeinstellung. Mit einigen Tricks gelang es weiterhin auch, einem System zunächst eine scheinbar plausible Zeit unterzuschieben, die nur wenig von der echten Uhrzeit abwich, und anschließend eine deutlich abweichende Zeit zu schicken.

13 Sicherheitslücken geschlossen

Die Entwickler der NTP-Standardimplementierung haben zeitgleich mit der Veröffentlichung dieser Forschungsergebnisse eine neue Version (4.2.8p4) veröffentlicht. Darin werden einige der beschriebenen Probleme behoben, und die Angriffe deutlich erschwert. Daneben wurden in dieser Version weitere Sicherheitsprobleme behoben, insgesamt wurden mit dem Update 13 Sicherheitslücken geschlossen.

Eine falsche Systemzeit kann zu zahlreichen Sicherheitsproblemen führen. So könnte ein Angreifer etwa abgelaufene TLS-Zertifikate weiter einsetzen. Im vergangenen Jahr zeigte der Sicherheitsforscher Jose Selvi auf der Black-Hat-Konferenz in Amsterdam, wie man mittels einer manipulierten Systemzeit das HSTS-Verfahren aushebeln kann. Selvi hatte auch ein Tool für Man-in-the-Middle-Angriffe auf NTP mit dem Namen Delorean entwickelt.

Eine Alternative zu NTP ist das Tool Tlsdate. Es erlaubt das Setzen der Systemzeit über den Timestamp von TLS. Allerdings ist diese Methode nicht so genau wie NTP. OpenNTPD, die NTP-Implementierung von OpenBSD, unterstütz eine Methode, bei der gleichzeitig eine NTP- und eine HTTPS-Verbindung genutzt wird, um größere Zeitsprünge zu verhindern. Beide Methoden sind letztendlich jedoch nur Workarounds. Langfristig sollte das NTP-Protokoll mittels Zertifikaten und Signaturen abgesichert werden, ein Entwurf hierfür existiert bereits.


eye home zur Startseite
Alexspeed 23. Okt 2015

Und hierauf haben es die Hacker abgesehen. Nicht unbedingt selbst zu verdienen. Man macht...

Th3Br1x 23. Okt 2015

NTP-Amplification-DDoS wäre ein weiteres Beispiel, warum man das NTP deutlich besser...



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Meckenheim bei Bonn
  2. Kaufmännische Krankenkasse ? KKH, Hannover
  3. Deutsche Hypothekenbank (Actien-Gesellschaft), Hannover
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Hardware-Angebote
  1. (u. a. Fire HD 8 79,99€ statt 109,99€)
  2. (reduzierte Überstände, Restposten & Co.)
  3. und Assassin´s Creed Origins gratis downloaden

Folgen Sie uns
       


  1. Autonomes Fahren

    Singapur kündigt fahrerlose Busse an

  2. Coinhive

    Kryptominingskript in Chat-Widget entdeckt

  3. Monster Hunter World angespielt

    Die Nahrungskettensimulation

  4. Rechtsunsicherheit bei Cookies

    EU warnt vor Verzögerung von ePrivacy-Verordnung

  5. Schleswig-Holstein

    Bundesland hat bereits 32 Prozent echte Glasfaserabdeckung

  6. Tesla Semi

    Teslas Truck gibt es ab 150.000 US-Dollar

  7. Mobilfunk

    Netzqualität in der Bahn weiter nicht ausreichend

  8. Bake in Space

    Bloß keine Krümel auf der ISS

  9. Sicherheitslücke

    Fortinet vergisst, Admin-Passwort zu prüfen

  10. Angry Birds

    Rovio verbucht Quartalsverlust nach Börsenstart



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Firefox Nightly Build 58 Firefox warnt künftig vor Webseiten mit Datenlecks
  2. Mozilla Wenn Experimente besser sind als Produkte
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

  1. Re: beeindruckende Ersparnis! Hätte nicht...

    thinksimple | 19:38

  2. Re: Rauschgift?

    quineloe | 19:37

  3. Re: Milchmädchenrechnung

    BerndRubel | 19:30

  4. Re: Schwerkraft durch Rotation?

    emdotjay | 19:30

  5. Re: Einfach legalisieren

    quineloe | 19:28


  1. 17:56

  2. 15:50

  3. 15:32

  4. 14:52

  5. 14:43

  6. 12:50

  7. 12:35

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel