Emanuel Lipschütz

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.

Korrekt tid i en it-infrastruktur är inte bara avgörande för driften av servrar, certifikat, licenser och nätverksenheter. Manipulerad tid utgör ett direkt hot mot företag och samhällsfunktioner. Det handlar inte bara om risk för tekniska fel, felaktig tidsinformation kan också skapa allvarliga säkerhetsbrister.

I ett tekniskt perspektiv förlitar sig många system på Network Time Protocol (NTP) eller liknande källor för att synkronisera de olika klockor som finns. Om tiden plötsligt feljusteras kan flera tjänster fallera samtidigt. Ett exempel är en incident som inträffade den 19 november 2012. Två viktiga amerikanska tidsservrar gick tolv år bakåt i tiden, vilket omedelbart orsakade avbrott i AD-autentisering (Active Directory), telefonväxlar (PBX) och routrar. Det illustrerar hur känslig infrastruktur är för felaktiga tidsstämplar.

Här är tre exempel på konsekvenser av felaktig tid i infrastruktur:

Loggar och spårning. Fel tid försvårar loggning och forensisk analys. Händelser får inkorrekta tidsstämplar och blir svåra att jämföra mellan system. En illvillig insider kan utnyttja detta genom att ändra en servers klocka för att dölja sina spår eller manipulera tidskänsliga transaktioner.

Om en angripare saboterar tidsinställningen så att domänkontrollanter och klienter inte längre är i synk kan inloggningar helt upphöra att fungera.

Autentisering och domäntjänster. Protokoll som Kerberos (används i Microsoft AD) kräver att klient- och servertid är nära synkroniserade (typiskt inom fem minuters differens). Om en angripare saboterar tidsinställningen så att domänkontrollanter och klienter inte längre är i synk kan inloggningar helt upphöra att fungera. Det är i praktiken en överbelastningsattack (denial of service) mot autentisering.

Certifikat och licenser. Digitala certifikat för TLS och SSL (protokoll för anslutningar) har giltighetsperioder (start- och utgångsdatum). Fel tid kan leda till att giltiga certifikat betraktas som ogiltiga, eller än värre att föråldrade och utgångna certifikat accepteras. Om systemklockan hoppar för långt fram kan licenser felaktigt anses utgångna och tjänster stanna. Många kontroller kräver korrekt tid för att validera certifikatskedjor och förhindra attacker.

Flera incidenter och forskningsresultat visar hur tiden i sig kan utnyttjas som attackvektor:

  • Nationellt tidssystem under attack – Kinesiska myndigheter har vid flera tillfällen från 2022 och framåt anklagat amerikanska NSA för att ha hackat det nationella tidssynkroniseringscentret i Beijing.
  • Föråldrade certifikat accepteras – Forskning visar att en angripare som kan lura en server eller klient att ställa tillbaka sin klocka under vissa förutsättningar kan kringgå säkerhet av typen TLS. Ett system kan då acceptera ett certifikat som egentligen redan är återkallat eller utgånget.
  • Domänsäkerhet – DNS (hantering av webbadresser, så kallade domännamn) säkras med signaturer som har giltighetstider. Forskning beskriver hur en angripare som påverkar tidsinformation kan få sådana signaturer att verka utgångna, vilket gör att validering upphör.
  • Kerberos-autentisering slås ut – Som nämnts ovan kan en angripare skapa inloggningskaos genom att störa den tidskälla som används. Om protokollet NTP som används manipuleras så att ett företagsnäts klienter och servrar har stor tidsskillnad misslyckas Kerberos och AD-inloggningar.
  • Sabotage via Y2K38-sårbarheten – En risk som är besläktad med tidsmanipulation är den så kallade Year 2038-buggen. Den gör att många äldre system inte kan hantera tidsstämplar efter 19 januari 2038 (32-bitars overflow). Även om problem som kommer av Year 2038-buggen inte nödvändigtvis beror på en angripares manipulation, visar den hur tidshantering kan bli en sårbarhet.
  • ”Kiss-of-Death”-attack mot NTP – NTP-protokollet har en funktion kallad Kiss of Death (KoD) som normalt stoppar en felaktig klient från att spamma en tidserver. Forskning från bland annat Boston University visade 2015 att äldre NTP-versioner kunde luras med förfalskade KoD-paket.
  • Ett generellt problem är att licenser slutar fungera om hanteringen av tid fallerar. Om det finns säkerhetsfunktioner med tidsbestämda licenser är det en effektiv metod att kringgå dem genom att ändra tiden så att de upphör att fungera.
Tidens integritet är lika viktig som nätverkssäkerhet i övrigt. Ett litet tidshopp kan få stora konsekvenser om det utnyttjas av en skicklig angripare.

Korrekt tid är en grundläggande förutsättning för säker it-drift. Ovanstående incidenter och angrepp, både i praktiken och teoretiskt demonstrerade, understryker att tidsynkronisering inte bara är en driftfråga utan också en säkerhetsfråga. Under de senaste åren har hotaktörer uppmärksammat tidsinfrastrukturen som en potentiell måltavla, vilket visas av både avancerade statsangrepp och forskarrön.

Försvarsåtgärder som säkrare NTP, redundanta tidskällor och övervakning av klockdrift är viktiga för att skydda sig mot sådana attacker. Tidens integritet är lika viktig som nätverkssäkerhet i övrigt. Ett litet tidshopp kan få stora konsekvenser om det utnyttjas av en skicklig angripare.

Tiden är inte bara en teknisk parameter – den är ett fundament i hela cybersäkerhetsarkitekturen. När den manipuleras, manipuleras tilliten. När såg ni senast över säkerheten i er tidshantering? Det är dags nu.

Emanuel Lipschütz, cybersäkerhetsexpert på Cyber Defencely

Redaktionen Aktuell Säkerhet

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik

Sponsrat innehåll från Sectra
ANNONS

SOC – nyckeln för att möta nya Cybersäkerhetslagen

Med den nya Cybersäkerhetslagen och NIS2-direktivet skärps kraven på aktörer inom kritisk infrastruktur. Säkerhetsarbetet måste gå från punktinsatser [...]