Schwachstellen im Network Time Protocol gefährden HTTPS-Verbindungen

Ein Fehler im Synchronisierungsprotokoll des Internets, dem Network Time Protocol (NTP), kann für Angriffe auf verschlüsselte Kommunikation ebenso wie auf Bitcoin-Transaktionen genutzt werden. Einen diese Woche von US-Wissenschaftlern publizierten diesbezüglichen Report (PDF) hat Ars Technica aufgegriffen. Demnach sind Zeitsynchronisierungsvorgänge selten verschlüsselt, was eine Reihe von Manipulationen der Uhr von Computersystemen und auf diese Weise diverse Angriffsverfahren ermöglicht.

Daneben schildern die Forscher der Boston University, wie Systeme von Zugriffen auf Synchronisierungsserver komplett gehindert werden können. So können Angreifer in großem Maßstab Fehlfunktionen sowie Ausfälle auslösen.

HTTPS-Verschlüsselung lässt sich etwa dahingehend aushebeln, dass Angreifer durch eine Veränderung der Systemzeit abgelaufene Zertifikate unterschieben können – beispielsweise betrügerisch erworbene, die in der Zwischenzeit als solche erkannt und zurückgerufen wurden. Dies betrifft auch die DNSSEC-Schutzmaßnahmen für Aufzeichnungen des Domain Name System.

Als Beispiel führen die US-Forscher eine Zeitänderung auf Mitte 2014 an, um mehr als 100.000 Zertifikate nutzen zu können, die bald danach aufgrund der Sicherheitslücke Heartbleed zurückgezogen worden. Oder wenn man gar bis 2008 zurückgehe, könne man Tausende Zertifikate nutzen, die aufgrund eines Fehlers in Debian OpenSSL nur 15 bis 17 Bit Schlüssellänge vorsahen.

HTTP Strict Transport Security ist demnach ebenfalls angreifbar. Und im Fall von Bitcoin könnten legitime Blockchain-Einträge abgewiesen werden. Auch Angriffe auf Website-Authentifizierungssysteme seien denkbar.

Einschränkend weist Ars Technica darauf hin, dass Manipulationen an der Systemzeit in der Praxis leicht auffallen, zumal sie zu Fehlfunktionen zahlreicher Anwendungen führen dürften. Kurzzeitige Änderungen seien aber denkbar. Unklar ist zudem, wie leicht sich große Zeitsprünge durchführen lassen. NTP sieht vor, Änderungen um mehr als 16 Minuten nicht zuzulassen. Den Forschern aus Boston zufolge lässt sich dies aber durch schrittweise Modifikationen aushebeln – oder durch eine Rücksetzung der Systemzeit via NTP direkt nach dem Bootvorgang. Dies sei bei den meisten Betriebssystemen mit den Standardeinstellungen möglich.

Vor knapp zwei Jahren waren NTP-Schwachstellen für umfangreiche Denial-of-Service-Angriffe auf Spielewebsites genutzt worden. Das neuartige Verfahren ermöglichte einer geringen Zahl Angreifersysteme, ihre begrenzte Bandbreite auf mehr als 100 Gigabyte für die Server anfallenden Datenmüll pro Sekunde zu vervielfachen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de