NTP, nuovi bug nei tempi della Rete

I ricercatori identificano nuove, pericolose vulnerabilità nel protocollo standard per "tenere il tempo" su computer e gadget interconnessi. Un potenziale rischio caos, avvertono
I ricercatori identificano nuove, pericolose vulnerabilità nel protocollo standard per "tenere il tempo" su computer e gadget interconnessi. Un potenziale rischio caos, avvertono

Ancora (grossi) guai per il protocollo NTP (Network Time Protocol), tecnologia standardizzata negli anni ’80 e tuttora alla base del più comune meccanismo di sincronizzazione dell’orario universale tra client, server e orologi atomici ultra-precisi connessi a Internet. Non è la prima volta che viene identificato un buco in NTP , ma questa volta i problemi sono molteplici e le conseguenze potenzialmente caotiche.

Il nuovo allarme sulle tante insicurezze di NTP arriva dai ricercatori dell’Università di Boston, che hanno scavato nelle specifiche del protocollo e la sua implementazione di riferimento (ntpd) scoprendo “diversi problemi di sicurezza” nelle comunicazioni non cifrate in grado sia di alterare l’orario di un computer/gadget elettronico (attacchi di timeshifting ) che di prevenire la sincronizzazione degli orologi di sistema dei suddetti apparati (attacchi DoS).

NTP è ampiamente utilizzato dai protocolli crittografici per i certificati TLS, l’infrastruttura dei nomi di dominio (DNSSEC) e dalla criptomoneta più popolare (bitcoin), avvertono i ricercatori, e grazie ai nuovi bug scovati nel protocollo un malintenzionato – o una vera e propria organizzazione criminale, magari finanziata dall’intelligence – potrebbero mandare in crash il daemon del servizio, provocare un buffer overflow, attaccare i server di rete e altro ancora.

NTP potrebbe insomma essere lo strumento di compromissione delle comunicazioni sicure con attacchi man-in-the-middle, dei sistemi di autenticazione usati dai siti Web e del normale funzionamento della blockchain di bitcoin, dicono i ricercatori. L’allarme, per il momento, è solo ipotetico, i fattori di mitigazione non mancano (come la specifica NTP che previene le modifiche all’orario di sistema superiori ai 16 minuti) e il codice aggiornato privo dei bug scovati dai ricercatori è già disponibile per il download (ntp-4.2.8p4).

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

23 10 2015
Link copiato negli appunti