The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новая атака на NTP позволяет воспользоваться просроченными с..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от opennews (??) on 22-Окт-15, 14:03 
Группа исследователей из Бостонского университета разработала серию
новых методов атаки (http://www.cs.bu.edu/~goldbe/NTPattack.html) (PDF (http://www.cs.bu.edu/~goldbe/papers/NTPattack.pdf)) на клиентские и серверные системы, использующие протокол NTP для синхронизации времени без применения аутентификации. Проблемы проявляются в пакете ntpd (http://www.ntp.org/) и устранены в выпущенной вчера версии 4.2.8p4 (всего исправлено 13 уязвимостей). Большинство выявленных уязвимостей позволяют осуществить отказ в обслуживании и заблокировать процесс синхронизации времени. Две проблемы дают возможность добиться установки фиктивного времени.


В частности, проблема с обработкой фрагментированных IPv4-пакетов позволяет атакующему сместить показания системных часов на произвольное время в прошлое, направив на систему жертвы поток специально оформленных NTP-пакетов. Для успешного проведения атаки NTP-сервер должен принимать запросы
PMTU (Path MTU Discovery) для фрагментирования пакетов с их приведением к MTU в 68 байт.
Проверить свои системы на наличие уязвимости можно через данную форму (http://ntp-test.as2914.net/server.html).


На первый взгляд изменение показания часов выглядит безобидной шалостью, но на деле может применяться для совершения комплексных атак на системы шифрования. В частности, смещение времени позволяет организовать работу с просроченными или изъятыми TLS-сертификатами, обойти проверки  DNSSEC, игнорировать ограничения HSTS (https://ru.wikipedia.org/wiki/HSTS) и инициировать отклонение легитимных записей в цепочке криптовалюты Bitcoin.

Например, атакующий может сместить время на системе жертвы на середину 2014 года и воспользоваться одним из ста тысяч отозванных сертификатов, скомпрометированных в результате уязвимости Heartbleed (https://www.opennet.ru/opennews/art.shtml?num=39518), или перевести часы на 2008 год и применить сертификат, выписанный без достаточной энтропии на системах с проблемным пакетом OpenSSL (https://www.opennet.ru/opennews/art.shtml?num=16523) в Debian. Также можно воспользоваться смещением времени для использования подобранных 1024-разрядных ключей RSA на сайтах уже отозвавших ненадёжные RSA-сертификаты.


URL: http://arstechnica.com/security/2015/10/new-attacks-on-netwo.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=43182

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Аноним (??) on 22-Окт-15, 14:03 
А просроченные сертификаты не удаляются и хранятся вечно, и их можно использовать просто сменив дату?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +14 +/
Сообщение от Аноним (??) on 22-Окт-15, 14:10 
Их обычно выбрасывают на помойку, вместе с закрытым ключем, там-то злоумышленник может их достать, отмыть, просушить, разгладить и потом использовать в своих корыстных целях, атакуя NTP.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +4 +/
Сообщение от Ytch (ok) on 22-Окт-15, 23:26 
> Их обычно выбрасывают на помойку, вместе с закрытым ключем,...

И всё из-за лени! Ведь по правилам сертификаты и закрытые ключи должны выбрасываться на разные помойки, ну или, как минимум, в разные контейнеры и обязательно в раздельных мешках для мусора! А на деле что? Берут всё вместе, в газетку завернут и выкидывают, иногда вообще прям просто с балкона кидают! А злоумышленники там и тусят! В итоге им даже отмывать ничего не приходится! Так уж, тряпочкой чуть протёр и всё - иди, грабь, убивай, атакуй NTP...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Олег email(??) on 22-Окт-15, 14:10 
Просто сменить дату не получиться, так как слетит подпись сертификата
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +2 +/
Сообщение от Аноним (??) on 22-Окт-15, 14:12 
Подпись можно цианокрилатным обратно приклеить, никто не заметит.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +5 +/
Сообщение от Аноним (??) on 22-Окт-15, 14:41 
Вообще операционным системам стоило бы защищаться от подобного например иметь настройку что допустим есть linux версии 5, выпущенный 1 января 2016 года.
Версия знает когда она выпущена и не заработает если попытаться поставить дату ранее. Сделать эту функцию отключаемой если кому-то понадобится что-то тестировать, но большинству эта функция будет прикрывать возможные дыры в безопасности, описанные выше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от наме on 22-Окт-15, 16:04 
и что вредоносу помешает отключить эту функцию?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Alexey (??) on 22-Окт-15, 16:19 
Просто не обязательно делать отключение функции через NTP сервер.
Это спасет от уязвимости, описанной выше.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +2 +/
Сообщение от Sluggard (ok) on 22-Окт-15, 16:55 
Новость про атаку на NTP, с помощью отсылки специальных пакетов.
Какие ещё вредоносы? Тебя Касперский покусал?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +1 +/
Сообщение от Аноним (??) on 22-Окт-15, 17:30 
Ну и зачем это решать на уровне операционной системы? Когда это нужно решать на прикладном уровне, тот сервис синхронизации времени мог бы игнорировать слишком внезапные и большие расхождения с системным или срать в лог предупреждения
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от cmp (ok) on 23-Окт-15, 18:46 
Проще запретить общаться с теми у кого mtu < 1200, хотя тоже костыль, но инорить время bios и устанавливать свое смещение - пахнет новыми дырами, в конце концов пролема сетевая и решаться должна сетевым стеком, практика показывает, что бить гвозди микроскопом не эффективно.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от анонимус (??) on 22-Окт-15, 18:13 
Как? ntpd ведь может менять время лишь в маленьком промежутке. вроде как +-час или меньше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Аноним (??) on 22-Окт-15, 22:14 
Года складываются из секунд.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Ytch (ok) on 22-Окт-15, 23:34 
> Как? ntpd ведь может менять время лишь в маленьком промежутке. вроде как
> +-час или меньше.

Когда выставляешь время на наручных часах, то тоже обычно с одного нажатия не получается поставить нужное.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от pavlinux (ok) on 23-Окт-15, 00:51 
А ты не крути так быстро бобышку.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

11. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от oooops (??) on 22-Окт-15, 20:38 
кто копал глубже?
chrony тоже уязвим?
есть возможность защититься от атак 1-2 без обновления ntpd?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Аноним (??) on 23-Окт-15, 01:20 
И вообще остальные реализации NTP!?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от pavlinux (ok) on 23-Окт-15, 00:49 
Долдпайопы

https://ntp.org/downloads.html
http://i58.fastpic.ru/big/2015/1023/27/6ffd3f104207405954130...

Ошибка подключения SSL

ERR_SSL_PROTOCOL_ERROR

Не удается создать безопасное соединение с сервером.
На сервере могла возникнуть проблема, или необходим сертификат
клиентской аутентификации, который у вас отсутствует.

Гугл Хром 46.0.2490.71 (64-bit)

$ wget http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4....
--2015-10-23 00:44:57--  http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4....
Распознаётся www.eecis.udel.edu... 128.4.31.8
Устанавливается соединение с www.eecis.udel.edu|128.4.31.8|:80... соединение установлено.
Запрос HTTP послан, ожидается ответ... 302 Moved Temporarily
Адрес: https://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4... [переход]
--2015-10-23 00:44:57--  https://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4...
Устанавливается соединение с www.eecis.udel.edu|128.4.31.8|:443... соединение установлено.
ОШИБКА: cannot verify www.eecis.udel.edu's certificate, issued by «/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization Validation CA - SHA256 - G2»:
  Невозможно локально проверить подлинность запрашивающего.
Чтобы небезопасно подключиться к www.eecis.udel.edu, используйте `--no-check-certificate'.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Michael Shigorin email(ok) on 23-Окт-15, 15:13 
> Группа исследователей из Бостонского университета разработала серию

Вот на этой первой строчке запись в RSS и обрывается.

> новых методов атаки

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Аноним (??) on 24-Окт-15, 00:35 
Ещё один повод переползать на OpenNTPD, в котором как раз добавили защиту посредством сверки с SSL/TLS-сертификатами...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Новая атака на NTP позволяет воспользоваться просроченными с..."  +/
Сообщение от Andrey Mitrofanov on 26-Окт-15, 10:25 
> Ещё один повод переползать на

На NTPsec! http://esr.ibiblio.org/?p=6881 c esr-ами и cmake^Wscons^Wwaf-ами.  </ждать!>

>OpenNTPD, в котором как раз добавили

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру