انتشار شده در تاریخ 1395/03/11 - 21:11

کارگزارهای NTPو حملات بی‌سیم

به گزارش واحد متخصصین سایبربان؛ در آمستردام کنفرانس Hack In the Box، محققان نشان داده‌اند که مهاجمان از راه دور بی‌سیم می‌توانند زمان را در کارگزار پروتکل زمان شبکه (NTP) با استفاده از دستگاه‌های ارزان قیمت از مسافت‌های طولانی تغییر دهند.

پروتکل NTP یک پروتکل شبکه است که برای همگام‌سازی زمان میان رایانه‌ها به کار می‌رود. NTP از یک سامانه‌ی سلسله مراتبی منابع زمان استفاده می‌کند که سطح اول آن (سطح صفر) توسط ساعت‌های مرجع همچون ساعت‌های اتمی، جی‌پی‌اس و ساعتهای رادیویی (JJY ،WWVB DCF77 و WWVH) ارائه می‌شوند. رایانه‌هایی که در دیگر سطوح قرار دارند (سطح‌های ۱ و ۲ و ...) با سطح قبلی همگام‌سازی می‌شوند و همچین دستگاه‌ها از جهت سلامت و ثبات و استحکام بررسی می‌شوند.

کارگزارهای NTP می‌توانند در سازمان‌ها برای همگام‌سازی زمان روی دستگاه‌ها در شبکه استفاده شوند اما علاوه بر آن نقش مهی را در شبکه‌های جدید صنعتی بازی می‌کنند.

تغییر ساعت در کارگزار NTP می‌تواند عواقبی جدی را در بر داشته باشد. این کار به مهاجمان نه تنها اجازه می‌دهد که به سامانه‌ها آسیب بزنند، بلکه به آن‎ها کمک می‌کند تا با استفاده از گواهی‎نامه‌های منقضی شده وارد این سامانه‌ها شده، از HTTPS STS و اتصالات گواهی‎نامه‌ها گذر کنند و خدمات گیرندگان TLS را وادار کنند تا گواهی‎نامه‌های منقضی شده را بپذیرند.

این هفته، در یک سخنرانی در کنفرانس Hack in the Box، یووی زنگ و هاوکی شان از شرکت امنیتی چینی Quihoo360 نشان دادند که چگونه یک مهاجم از راه دور می‌تواند زمان را روی سطح ۱ کارگزار NTP، با ارسال از راه دور یک سیگنال زمان جعلی رادیویی، تغییر دهد.

این محققان اشاره می‌کنند که اگر یک مهاجم تلاش کند تا زمان را روی کارگزار NTP یکباره به میزان زیادی دستکاری کند، کارگزار یا آن را نادیده گرفته و یا از کار می‌افتد. برای اینکه زمان را بدون از کار افتادن دستگاه تغییر دهد، مهاجم می‌تواند هر بار تغییراتی را به میزان ۱۰۰۰ ثانیه انجام دهد. محققان به SecurityWeek در مصاحبه‌ای گفته‌اند که عوامل مخرب می‌توانند سیگنال‌های جعلی متعددی را برای دستکاری زمان به میزان هر بار ۱۰۰۰ ثانیه ارسال کنند و هر کدام از آن‌ها تقریبا ۶ دقیقه طول می‌کشد تا پردازش شوند.

یووی زنگ و هاوکی شان، از قطعات ارزان قیمتی که همه جا در دسترس هستند استفاده کرده‌اند تا دستگاه‌های اثبات مفهومی (PoC) را ایجاد کنند و با آنها کارگزارهای NTP را با ارسال سیگنال‌های جعلی جی‌پی‌اس و JJY هدف قرار دهند. آن‎ها قابلیت‌های این دستگاه‌ها را برای هدف قرار دادن یک کارگزار NTP که برای ارائه‌ی زمان به دستگاه‌های گوشی هوشمند تنظیم شده بود، نشان دادند.

کارشناسان گفته‌اند که یک حمله جی‌پی‌اس می‌تواند در فاصله‌ای حدود ۵۰ تا ۱۰۰ متر کار کند (۱۶۴-۳۲۸ فوت) اما سیگنال‌های جعلی می‌توانند از فاصله‌ی ۲ کیلومتری نیز ارسال شده و بر روی هدف تقویت شوند. محققان اشاره کرده‌اند که کارگزارهای NTP که از جی‌پی‌اس به عنوان ساعت مرجع استفاده می‌کنند، معمولاً دارای یک آنتن جی‌پی‌اس روی سقف یا در پنجره ساختمان هستند که کار را برای هدف قرار دادن آن‎ها آسان می‌کند. در مورد JJY نیز که برای همگام‌سازی ساعت‌های در ژاپن استفاده می‌شود، محققان عقیده دارند که می‌توان در فاصله‌ی ۲ کیلومتری حمله را سازمان‌دهی کرد.

بر اساس تجزیه و تحلیل‌ها و بحث‌هایی که با فروشندگان کارگزارهای NTP صورت گرفته است، محققان مشخص‌ کرده‌اند که حمله‌ی آن‎ها می‌تواند به صورتی گسترده علیه دستگاه‌هایی که در چین، آمریکای شمالی و اروپا استفاده می‌شوند، به کار رود. با این حال، کارشناسان می‌گویند به نظر نمی‌رسد که فروشندگان چندان نگرانی از این بابت داشته باشند، با وجودی که برخی از آن‎ها عنوان کرده‌اند، دستگاه‌های آن‎ها هیچ نوع حفاظتی را در برابر این حملات انجام نمی‌دهد.