Esta semana se han encontrado nuevas debilidades en el conocido protocolo Network Time Protocolo (NTP) que todos los ordenadores y equipos usan para que sus relojes internos estén sincronizados. Estas debilidades en NTP podrían debilitar el protocolo HTTPS en ciertos casos permitiendo la intercepción del tráfico, también se podría incluso manipular transacciones de Bitcoin.
Las comunicaciones entre los ordenadores y los servidores NTP (Network Time Protocol) muy pocas veces se cifran, un usuario malintencionado podría realizar un ataque man-in-the-middle para fijar una fecha y hora del pasado. Aunque los sistemas operativos están preparados para no permitir que haya grandes cambios cuando cambiamos la fecha, se ha publicado recientemente un estudio donde se describen técnicas para eludir estas medidas de seguridad. Algunas de estas técnicas es por ejemplo ir cambiando el tiempo gradualmente, sin que haya un salto importante de tiempo, otro método es usar NTP para restablecer el tiempo inmediatamente después de que el equipo víctima se haya reiniciado. En algunos sistemas operativos la restauración del tiempo en el reinicio se encuentra activada de forma predeterminada. Además en este estudio también se describe detalladamente cómo prevenir que un gran número de equipos se conecten con éxito a los servidores NTP legítimos.
Si un cibercriminal utiliza estas debilidades en el protocolo NTP para hacer retroceder en el tiempo a los equipos, se podría ver todo el tráfico cifrado e incluso eludir medidas de seguridad como el protocolo DNSSEC, esto último impediría realizar peticiones DNS de forma segura y permitir otros ataques como la manipulación de los registros del sistema de nombre de dominio. El protocolo DTLS es otra opción que existe.
Sin embargo, el escenario más grave y preocupante para la seguridad de los equipos es que se podría obligar a un ordenador aceptar un certificado de seguridad que estuviera caducado, por lo que un ataque man-in-the-middle sin que el usuario se entere de qué está sucediendo es posible. Otros ataques que se podrían realizar es contra HSTS (HTTP Strict Transport Security), rechazar entregas legítimas de Bitcoins e incluso alterar los sistemas de autenticación de los sitios web de Bitcoin.
Este estudio llega casi 2 años después de que un grupo de cibercriminales realizaran ataques de denegación de servicio en sitios de juegos online utilizando la técnica de amplificación NTP.
Os recomendamos visitar este artículo de Arstechnica (inglés) donde encontraréis todos los detalles sobre estas debilidades en NTP, asimismo podéis leer el estudio técnico a NTP donde tendréis todas las cuestiones técnicas explicadas al detalle.