Международная команда исследователей нашла способ устранения ключевого недостатка сетевого протокола NTP. Специалисты предлагают бороться с атаками сдвига времени при помощи нового клиента Chronos и распределенного пула серверов, которые помогают оценить допустимое значения задержки пакета. Ученые уверяют, что внедрение этой технологии сделает бессмысленной эксплуатацию давней уязвимости стандарта.

Протокол NTP отвечает за синхронизацию системного времени компьютера и позволяет избежать ошибок при передаче данных. Технологию разработали десятки лет назад, и за время существования в ней нашелся ряд уязвимостей. Одна из них — возможность манипуляции внутренними часами устройства при помощи отправки специально сконструированных пакетов на целевой компьютер.

Эту брешь можно задействовать в атаках на чувствительные ко времени приложения и системы, к примеру, биткойны, TLS и DNS. Протокол предусматривает шифрование данных, однако на практике оно применяется нечасто. Более того, по мнению специалистов, злоумышленники могут скомпрометировать даже защищенные пакеты NTP.

Исследователи из Marvell Semiconductor и Еврейского университета в Иерусалиме предложили методику, блокирующую атаки, связанные с манипуляцией системным временем. Они разработали Chronos — NTP-клиент, способный отсекать подозрительные пакеты от взаимодействия с часами устройства.

Обычно протокол использует один или два сервера точного времени, чтобы синхронизировать системные часы. Таким образом, злоумышленнику достаточно взять под контроль ограниченное количество каналов связи, чтобы выполнить атаку «человек посередине». Chronos обращается к десятку независимых платформ, чтобы выявить некорректные данные.

Новый NTP-клиент игнорирует две трети полученных пакетов и оставляет за бортом отклики с наибольшей разницей по отношению к системным часам. На основании оставшихся данных выставляется актуальное время устройства. Если же они не укладываются в границы разумной погрешности, утилита включает «режим паники» и вновь анализирует всю выборку.

Программа совместима с актуальной версией NTP и не требует изменения режима работы серверов. Ожидается, что Chronos сделает бессмысленными атаки, основанные на сдвиге времени.

«Чтобы добиться минимального (около 100 миллисекунд) отклонения системных часов, киберпреступникам потребуется примерно 20 лет», — говорится в докладе ученых.

Возможно, толчком к созданию нового NTP-клиента послужила статья исследователей Бостонского университета, опубликованная в 2015 году. В ней американские ученые описали атаку на инфраструктуру открытых ключей, основанную на сдвиге времени.

Категории: Аналитика, Кибероборона, Уязвимости