WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Các cuộc tấn công vào Giao thức NTP có thể đánh bại HTTPS
Một vài điểm yếu nghiêm trọng trong cơ chế đồng bộ thời gian mạng có thể bị khai thác gây gián đoạn nguồn điện, nghe lén các trao đổi đã mã hóa, thay đổi giao dịch Bitcoin, các chuyên gia cảnh báo.
Các lỗ hổng nằm trong Giao thức đồng bộ thời gian mạng NTP được sử dụng rộng rãi nhằm đảm bảo tính chính xác cho các đồng hồ máy tính. Ngạc nhiên ở chỗ, các kết nối giữa máy tính và máy chủ NTP hiếm khi được mã hóa, tạo điều kiện cho hacker thực hiện các cuộc tấn công man-in-the-middle (MitM) để cài đặt lại đồng hồ quay trở lại thời gian trong quá khứ. Các nhà nghiên cứu đã mô tả một vài kỹ thuật giúp qua mặc các giải pháp ngăn chặn việc thay đổi thời gian đó. Họ cũng đưa ra cách thức khiến cho một lượng lớn máy tính kết nối không thành công đến các máy chủ đồng bộ.
Hacker có thể sử dụng các cách này để tiến hành các hành động phá hoại trên Internet. Chỉ cần chặn các máy tính và máy chủ quan trọng cập nhật đồng bộ thời gian thường xuyên, tin tặc có thể gây ra lỗi trên diện rộng. Trong nhiều trường hợp, những cuộc tấn công từ chối dịch vụ có thể được tiến hành ngay cả khi tin tặc không có khả năng kiểm soát lưu lượng đường truyền giữa mấy tính và server NTP.
Trong trường hợp xấu hơn, các cuộc tấn công có thể được sử dụng để dánh cắp dữ liệu đã được mã hóa hoặc để qua mặt những giải pháp an ninh như công nghệ an toàn mở rộng cho hệ thống DNS (DNSSEC). Công nghệ này ngăn chặn sự can thiệp vào các bản ghi hệ thống tên miền. Trường hợp xấu nhất liên quan đến việc vượt qua cơ chế mã hóa HTTPS bằng cách khiến một máy tính chấp nhận chứng chỉ an ninh đã hết hạn.
Ngoài HTTPS và DNSSEC, các biện pháp an ninh khác đều có nguy cơ bị đánh bại bao gồm cơ chế an ninh trong truyền tải HTTP. Các nhà nghiên cứu cho hay các cuộc tấn công NTP còn có thể được sử dụng để lừa người sử dụng Bitcoin từ chối blockchain cho tiền tệ số, hoặc làm xáo trộn hệ thống xác thực người dùng được sử dụng bởi các website.
Hiện tại vẫn chưa rõ mức độ khả thi trên thực tế của các hình thức tấn công này. Một máy tính để bàn có đồng hồ được cài đặt thời gian muộn hơn thời điểm hiện tại vài tháng, thậm chí là vài năm dễ dàng bị phát hiện. Và không có gì là lạ nếu thời gian sai lệch có thể gây ra những lỗi cho hệ điều hành hoặc các ứng dụng khác. Cũng có khả năng cài đặt đồng hồ đến thời gian sớm hơn để quan sát phiên làm việc Web được mã hóa, sau đó đổi trở lại trạng thái ban đầu ngay sau đó.
Một điểm hạn chế của những cuộc tấn công này là biện pháp chống thay đổi thời gian quá 16 phút được tích hợp trong NTP. Khi có sự thay đổi thời gian vượt quá ngưỡng cho phép, máy tính sẽ từ chối thực hiện và ghi nhận lỗi. Tuy nhiên, các nhà nghiên cứu cho biết biện pháp này có thể bị đánh bại bằng ít nhất hai cách. Một là sử dụng kỹ thuật tấn công “bước to bước nhỏ” tạo sự thay đổi thường xuyên hơn. Một cách khác là sử dụng NTP để cài đặt lại thời gian ngay sau khi máy tính nạn nhân khởi động lại. Chức năng cài đặt lại thời gian khởi động máy được bật mặc định trong một số hệ điều hành.
Một trong những điểm yếu quan trọng nhất là khó khăn trong việc đảm bảo máy tính chỉ liên lạc với máy chủ NTP hợp lệ. Trong khi mật mã đối xứng có thể được sử dụng để xác thực dịch vụ NTP thì vẫn khó lấy được khóa. Ví dụ, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) chỉ cấp phát khóa cho người dùng đăng ký sử dụng mail hoặc fax tại Mỹ, và người dùng phải gửi lại yêu cầu mỗi năm.
Các nhà nghiên cứu trường Đại học Boston công bố trang thông tin giúp mọi người phát hiện và xử lý lỗi NTP cả trên máy tính và máy chủ cung cấp dịch vụ đồng bộ thời gian.
Nguồn: Arstechnica
Các lỗ hổng nằm trong Giao thức đồng bộ thời gian mạng NTP được sử dụng rộng rãi nhằm đảm bảo tính chính xác cho các đồng hồ máy tính. Ngạc nhiên ở chỗ, các kết nối giữa máy tính và máy chủ NTP hiếm khi được mã hóa, tạo điều kiện cho hacker thực hiện các cuộc tấn công man-in-the-middle (MitM) để cài đặt lại đồng hồ quay trở lại thời gian trong quá khứ. Các nhà nghiên cứu đã mô tả một vài kỹ thuật giúp qua mặc các giải pháp ngăn chặn việc thay đổi thời gian đó. Họ cũng đưa ra cách thức khiến cho một lượng lớn máy tính kết nối không thành công đến các máy chủ đồng bộ.
Hacker có thể sử dụng các cách này để tiến hành các hành động phá hoại trên Internet. Chỉ cần chặn các máy tính và máy chủ quan trọng cập nhật đồng bộ thời gian thường xuyên, tin tặc có thể gây ra lỗi trên diện rộng. Trong nhiều trường hợp, những cuộc tấn công từ chối dịch vụ có thể được tiến hành ngay cả khi tin tặc không có khả năng kiểm soát lưu lượng đường truyền giữa mấy tính và server NTP.
Trong trường hợp xấu hơn, các cuộc tấn công có thể được sử dụng để dánh cắp dữ liệu đã được mã hóa hoặc để qua mặt những giải pháp an ninh như công nghệ an toàn mở rộng cho hệ thống DNS (DNSSEC). Công nghệ này ngăn chặn sự can thiệp vào các bản ghi hệ thống tên miền. Trường hợp xấu nhất liên quan đến việc vượt qua cơ chế mã hóa HTTPS bằng cách khiến một máy tính chấp nhận chứng chỉ an ninh đã hết hạn.
Ngoài HTTPS và DNSSEC, các biện pháp an ninh khác đều có nguy cơ bị đánh bại bao gồm cơ chế an ninh trong truyền tải HTTP. Các nhà nghiên cứu cho hay các cuộc tấn công NTP còn có thể được sử dụng để lừa người sử dụng Bitcoin từ chối blockchain cho tiền tệ số, hoặc làm xáo trộn hệ thống xác thực người dùng được sử dụng bởi các website.
Hiện tại vẫn chưa rõ mức độ khả thi trên thực tế của các hình thức tấn công này. Một máy tính để bàn có đồng hồ được cài đặt thời gian muộn hơn thời điểm hiện tại vài tháng, thậm chí là vài năm dễ dàng bị phát hiện. Và không có gì là lạ nếu thời gian sai lệch có thể gây ra những lỗi cho hệ điều hành hoặc các ứng dụng khác. Cũng có khả năng cài đặt đồng hồ đến thời gian sớm hơn để quan sát phiên làm việc Web được mã hóa, sau đó đổi trở lại trạng thái ban đầu ngay sau đó.
Một điểm hạn chế của những cuộc tấn công này là biện pháp chống thay đổi thời gian quá 16 phút được tích hợp trong NTP. Khi có sự thay đổi thời gian vượt quá ngưỡng cho phép, máy tính sẽ từ chối thực hiện và ghi nhận lỗi. Tuy nhiên, các nhà nghiên cứu cho biết biện pháp này có thể bị đánh bại bằng ít nhất hai cách. Một là sử dụng kỹ thuật tấn công “bước to bước nhỏ” tạo sự thay đổi thường xuyên hơn. Một cách khác là sử dụng NTP để cài đặt lại thời gian ngay sau khi máy tính nạn nhân khởi động lại. Chức năng cài đặt lại thời gian khởi động máy được bật mặc định trong một số hệ điều hành.
Một trong những điểm yếu quan trọng nhất là khó khăn trong việc đảm bảo máy tính chỉ liên lạc với máy chủ NTP hợp lệ. Trong khi mật mã đối xứng có thể được sử dụng để xác thực dịch vụ NTP thì vẫn khó lấy được khóa. Ví dụ, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) chỉ cấp phát khóa cho người dùng đăng ký sử dụng mail hoặc fax tại Mỹ, và người dùng phải gửi lại yêu cầu mỗi năm.
Các nhà nghiên cứu trường Đại học Boston công bố trang thông tin giúp mọi người phát hiện và xử lý lỗi NTP cả trên máy tính và máy chủ cung cấp dịch vụ đồng bộ thời gian.
Nguồn: Arstechnica