Frage:
Wie wichtig ist die Ortszeit für die Sicherheit?
Martin Thoma
2018-09-11 23:36:12 UTC
view on stackexchange narkive permalink

Ich wollte kürzlich sehen, was passiert, wenn ich meine Ortszeit auf etwas offensichtlich Falsches ändere. Ich habe das Jahr 2218 ausprobiert, also 200 Jahre in der Zukunft. Das Ergebnis: Ich konnte auf keine Website mehr zugreifen (ich habe jedoch nicht zu viele ausprobiert). Ich habe diesen Fehler erhalten:

enter image description here

Ich denke, NET :: ERR_CERT_DATE_INVALID bedeutet, dass ein HTTP-Zertifikat ungültig ist . Aber normalerweise gibt es eine "erweiterte" Option, mit der ich sie ignorieren kann. Nicht so hier. Ich frage mich auch, warum dort steht "Ihre Uhr ist voraus" - wenn Chrome die richtige Zeit kennt, warum wird dies nicht zum Vergleichen verwendet?

Kommen wir zu meiner Frage: Wie wichtig ist die Ortszeit für die Sicherheit? ? Wenn ein Angreifer die Systemzeit willkürlich ändern kann, welche Arten von Angriffen erlauben dies? Gibt es gemeldete Fälle, in denen Zeitmanipulation ein entscheidender Teil war?

"Wenn Chrom die richtige Zeit kennt, warum braucht man das nicht zum Vergleichen?"- Ich weiß nicht, wie es das überprüft, aber 200 Jahre in der Zukunft sind ziemlich offensichtlich falsch.Es ist möglich zu wissen, dass etwas nicht stimmt, ohne zu wissen, was die richtigen Daten tatsächlich sind.
Dies betrifft nicht nur die Browser.Wenn einem Server etwas passiert und die Systemzeit bereits nach wenigen Stunden geändert / desynchronisiert wird, kann dies dazu führen, dass Probleme bei der Verbindung zu anderen Diensten im Netzwerk auftreten (was mir mehrfach passiert ist).
Wahrscheinlich kennt Chrome nicht die richtige Zeit, weiß aber, dass die Gültigkeit des Zertifikats weit außerhalb des Bereichs liegt.
[Dieses Video] (https://www.youtube.com/watch?v=ylfyezRhA5s) von LiveOverflow zeigt einige der Probleme, die sich aus einem schlechten Zeitmanagement ergeben können, recht gut.
@AndrolGenhald Chrome wurde also absichtlich so konzipiert, dass es nach einer bestimmten Zeit fehlschlägt?
@Acccumulation Wie gesagt, ich habe mich nicht darum gekümmert, zu überprüfen, wie es implementiert ist.Wenn ein Zertifikat angezeigt wird, das vor mehr als 10 Jahren abgelaufen ist, wird möglicherweise nur davon ausgegangen, dass Ihre Uhr falsch ist.
@Acccumulation Es könnte auch auf dem Veröffentlichungsdatum der aktuellen Version basieren.
@AndrolGenhald Ich würde vermuten, dass Chrome selbst eine Zeitsuche mit eingebauten eigenen Zeitservern hat. Ich bin sicher, dass die Ortszeit verwendet wird, aber ich wäre überhaupt nicht überrascht, wenn in Chrome eine Netzwerkzeitsuche durchgeführt wird, um die "Echtzeit, unabhängig davon, was die Ortszeit sagt.
Wieder nur Spekulation, aber das TLS-Protokoll codiert auch (oft) die lokale Serverzeit, die mit der lokalen Zeit verglichen werden könnte.
"Aber normalerweise gibt es eine" erweiterte "Option, mit der ich sie ignorieren kann. Nicht so hier"> Ich kann "Erweitert" sehen.Ja, es ist ausgegraut, aber ich denke, Sie können möglicherweise darauf klicken
@ConorMancone: Chrome kann nicht sicher sein, dass die von seinen vertrauenswürdigen Zeitservern verwendeten Schlüssel in den nächsten 200 Jahren nicht irgendwann geknackt werden.Wenn die Uhr des Computers anzeigt, dass es jetzt der 13.09.2218 ist, aber der * scheinbar * vertrauenswürdige Zeitserver meldet, dass es der 13.09.2008 ist, kann Chrome nicht wissen, ob der Server wahr ist oder ob der ComputerDie Uhr stimmt und der Server ist eine falsche Fälschung, die einen Schlüssel verwendet, der irgendwann in den 200 Jahren seit 2018 geknackt wurde.
Zumindest sagt Ihnen der Browser, dass Ihre lokale Uhr wahrscheinlich falsch ist.Wir haben zu lange gebraucht, um herauszufinden, wann der Browser es uns nicht gesagt hat.
Neun antworten:
Mike Ounsworth
2018-09-11 23:54:00 UTC
view on stackexchange narkive permalink

Sie haben dort eine Reihe von Fragen.

Ich denke, NET :: ERR_CERT_DATE_INVALID bedeutet, dass ein HTTP-Zertifikat nicht gültig ist.

Ja

Hier ist das Zertifikat für help.ubuntu.com :

Certificate for help.ubuntu.com

Sie werden feststellen, dass es gültige Daten von und gültig bis hat. Wenn Sie versuchen, außerhalb dieser Daten auf eine durch dieses Zertifikat geschützte Site zuzugreifen, wird sich Ihr Browser beschweren. Der Grund, warum Zertifikate ablaufen, besteht (unter anderem) darin, Webmaster zu zwingen, weiterhin neue Zertifikate mit der neuesten Krypto und anderen neuen Sicherheitsfunktionen in Zertifikaten zu erhalten.

Wenn Ihr Browser versucht, zu entscheiden, ob er einem Zertifikat vertraut, Es verwendet die Systemuhr als endgültige Quelle der Wahrheit für die Zeit. Sicher, es wird versucht, NTP zu verwenden, aber wenn Sie (der Administrator) ausdrücklich angegeben haben, dass die NTP-Server falsch sind, sind Sie der Boss.

Wenn ein Angreifer die Systemzeit willkürlich ändern kann, welche Arten von Angriffen erlauben dies?

Betrachten wir PCs und Server getrennt. Ich habe hier keine Nachforschungen angestellt.

PCs

  • Benutzer spielen häufig Spiele mit ihrer Systemuhr, um ungefähr 30 zu erreichen. Tagesversuch "Typ Dinge. Wenn Sie das Unternehmen sind, dessen Software auf diese Weise illegal verwendet wird, würden Sie dies als Sicherheitsproblem betrachten.
  • Gefälschte Websites. Es ist viel einfacher, alte abgelaufene Zertifikate zu hacken - möglicherweise wurde eine 10 Jahre alte Krypto verwendet, die leicht geknackt werden kann, oder der Server wurde vor 6 Jahren kompromittiert, aber die Zertifizierungsstellen verfolgen die Sperrinformationen nicht so lange (Ideengutschrift: ) @immibis 'Antwort). Wenn ein Angreifer Ihre Systemuhr ändern kann, werden die Warnungen nicht angezeigt.

Server

  • Protokollierung. Wenn bei der Untersuchung einer Sicherheitsverletzung die Uhren Ihrer Server nicht synchron sind, kann es sehr schwierig sein, alle Protokolle zusammenzufügen, um genau herauszufinden, was passiert ist und in welcher Reihenfolge.
  • Anmeldungen. Dinge wie die OTP 2-Faktor-Authentifizierung sind normalerweise zeitbasiert. Wenn sich die Uhren eines Servers hinter einem anderen Server befinden, können Sie beobachten, wie jemand einen OTP-Code eingibt, und ihn dann für den Server verwenden, der sich dahinter befindet, da dieser Code noch nicht abgelaufen ist.
Natürlich auch Denial-of-Service. Wenn der Server einige Webdienste von Drittanbietern von HTTPS verwendet, schlagen die Anforderungen wie oben im Browser fehl.
w.r.t.Anmeldungen, nicht nur die OTP 2-Faktorauthentifizierung, sind betroffen.Kerberos erfordert, dass Computer angemessen synchron sind ("um Wiederholungsangriffe zu verhindern").Bei Windows-Domänen, die beispielsweise Kerberos verwenden, müssen Computer (standardmäßig) innerhalb von 5 Minuten voneinander entfernt sein, da Sie sonst keine Berechtigung für die Domäne erhalten können.
Ein weiteres Problem, das auf der diesjährigen DEF CON angesprochen wurde, ist die Tatsache, dass jemand eine zuvor registrierte Website registrieren kann und möglicherweise sogar noch ein gültiges Zertifikat hat, auf das der Vorbesitzer Zugriff hat.Das Ablaufdatum stellt sicher, dass dies nicht auf unbestimmte Zeit geschieht.
Schwache Algo-Zertifikate könnten widerrufen werden.Der Grund für viele kurzlebige Zertifikate ist meiner subjektiven Meinung nach Geld.
@bradbury9 Vielleicht.Browser beschweren sich über alte Krypto (ex MD5 / SHA1) oder fehlende Sicherheitsfunktionen (Zertifikatstransparenz), _ ** wenn ** _ das Opfer einen aktuellen Browser verwendet.Ich könnte mich irren, aber ich denke, es sind tatsächlich die Browser, nicht die Zertifizierungsstellen, die die Entscheidung für eine maximale Zertifikatslebensdauer von 2 Jahren getroffen haben, und die Zertifizierungsstelle mit der kürzesten Zertifikatslebensdauer - Let's Encrypt nach 3 Monaten - ist völlig kostenlos.
Upvoted für "Nun, du bist der Boss".Manchmal können Benutzer ihre eigenen schlimmsten Feinde sein, egal wie gut das Sicherheitssystem ist.:-)
user253751
2018-09-12 06:12:18 UTC
view on stackexchange narkive permalink

Ein Grund dafür ist, dass Zertifikatsperraufzeichnungen nach Ablauf des Zertifikats nicht mehr aufbewahrt werden.

Angenommen, ich habe das Zertifikat von Google vor 10 Jahren gestohlen. Google hat das Zertifikat sofort bemerkt und widerrufen. Da das Zertifikat in den letzten 10 Jahren einige Zeit abgelaufen ist, wurde der Widerrufseintrag gelöscht. Wenn ich Ihre Uhr auf 10 Jahre zurücksetze, bis sie gültig war, kann ich mich als Google ausgeben und Ihr Browser wird es nicht bemerken, da er nicht weiß, dass es widerrufen wurde.

Mir scheint, Sie beschreiben die Umkehrung der Frage.OP zeigt an, wenn Sie die Ortszeit ändern, der Browser die Änderung akzeptiert und entsprechend handelt.Wenn überhaupt, macht dieses Verhalten den von Ihnen beschriebenen Angriff möglich, es scheint ihn jedoch nicht zu verhindern.
@Suma, aus Sicherheitsgründen Chrome verwendet immer die Computerzeit des Benutzers.Der Browser sagt "Dieses Zertifikat ist am 09.12.2018 abgelaufen und es ist derzeit 2218-08-06, daher kann dem Zertifikat nicht vertraut werden und eine Zertifikatfehlerseite wird benötigt".Nachdem festgestellt wurde, dass eine Zertifikatfehlerseite erforderlich ist, versucht Chrome, eine geeignete Seite zu erstellen, indem die Hauptursache des Problems erraten wird.In diesem Fall hat Chrome vermutet, dass das Zertifikat möglicherweise nicht 200 Jahre alt ist und Ihre Uhr möglicherweise falsch ist.Daher schlug Chrome vor, die Uhr zu ändern.
schroeder
2018-09-11 23:48:47 UTC
view on stackexchange narkive permalink

Ihre Frage ist weit gefasst, aber wenn ein Angreifer die lokale Systemuhr ändern kann, kann er die Protokolle seiner Aktivität vergiften. Auf diese Weise können sie ihre Aktivitäten so verbergen, dass sie irgendwann in der Vergangenheit aufgetreten sind (und möglicherweise jenseits des Fensters, in dem die Administratoren nach Aktivitäten suchen) oder mit den Aktivitäten anderer Benutzer übereinstimmen.

Zum Beispiel, wenn Wenn Sie mitten in der Nacht in ein System einbrechen, können Sie die Uhr so ​​einstellen, dass sie am Vortag mittags ist, Ihre Aktivität ausführen und dann die Uhr zurückstellen. Jeder, der die Protokolle überprüft, geht davon aus, dass der normale Benutzer die Aktivität ausgeführt hat (oder sie in der Aktivität des normalen Benutzers überhaupt nicht sieht).

Aus diesem Grund ist es wichtig, die Uhr so ​​einzustellen, dass sie mit einer maßgeblichen externen Quelle synchronisiert wird. Das und dass alle Protokolle aus allen Quellen richtig korreliert werden können.

Dies spricht nicht an, warum in diesem speziellen Fall eine nicht synchronisierte Uhr ein Problem darstellt.
Es ist eine breite Frage, und ich habe einen Teil davon angegangen.
Hm ... das stimmt nur, wenn mehrere Systeme beteiligt sind, oder?Weil Protokolle normalerweise zeilenweise geschrieben werden (an eine Textdatei angehängt).Dies bedeutet, dass der Angreifer die Zeit ohne Vorankündigung "verlangsamen" könnte, aber wenn der Angreifer "in der Zeit zurückgehen" würde (wodurch die Protokolleinträge nicht chronologisch werden), wäre es super einfach, diejenigen zu erkennen, bei denen er die Zeit manipuliert hat.
@AustinHemmelgarn Der Titel "Wie wichtig ist Ortszeit für Sicherheit?"Nun, es passt irgendwie.
@MartinThoma Wie würden Sie die Protokolleinträge bemerken, die die betrügerische Zeit haben?
Dies ist auch der Grund, warum einige Protokollierungslösungen Sequenznummern mit den Einträgen enthalten oder beispielsweise, warum Linux-Kernel-Protokolle Sekunden seit dem Start verwenden.
@schroeder `für i im Bereich (1, len (loglines)): wenn loglines [i] ['time']
Schwern
2018-09-14 00:48:28 UTC
view on stackexchange narkive permalink

Wenn ein Angreifer die Systemzeit willkürlich ändern kann, welche Arten von Angriffen erlauben dies?

Über Zertifikate hinaus ...

Schlecht gesetzte RNGs

Sie können möglicherweise einen schlecht gesetzten Zufallszahlengenerator ausnutzen. Die Verwendung von time als Startwert kam häufig vor, bevor bessere Zufallszahlenschnittstellen erkannten, dass einem durchschnittlichen Programmierer nicht vertraut werden kann, um einen guten Startwert bereitzustellen. Ein Angreifer kann dies ausnutzen, indem er die Systemzeit auf einen Zeitpunkt einstellt, zu dem der Zufallszahlengenerator die gewünschte Ausgabe erzeugt.

Natürlich kann sich der Angreifer viel Ärger ersparen, indem er einfach auf eine gewünschte Zeit wartet

UUIDs

UUIDv1 und v2 hängen beide von der MAC-Adresse und der Zeit ab. Die MAC-Adresse kann ermittelt werden. Wenn Sie die Zeit einstellen können, können Sie jetzt steuern, welche UUID als Nächstes zugewiesen wird. Beispielsweise können sie möglicherweise die UUID eines Administratorkontos für sich selbst duplizieren. Natürlich sollen UUIDv1 und v2 nicht sicher sein, sondern nur eindeutig . Wenn Sie sicher und einzigartig sein möchten, verwenden Sie UUIDv4, aber es gibt viele Software, die UUIDv1 und v2 unangemessen verwendet.

Periodische Jobs

Viele Systeme haben kritische Prozesse, die an bestimmten Tagen und regelmäßig ausgeführt werden mal. Der Angreifer kann sich mit der Zeit herumschlagen, um dies zu manipulieren.

Viele Systeme verfügen über Wartungsfenster, die zu bestimmten Zeiten auftreten. Der Angreifer kann die Zeit, die in diesem Fenster verbleibt, kontinuierlich zurücksetzen und das System für Wartungsarbeiten herunterfahren.

Wenn ein ressourcenintensiver Prozess regelmäßig auftritt, kann er mit der Zeit so herumspielen, dass mehrere dieser Prozesse ausgeführt werden laufen zur gleichen Zeit. Wenn das System die Anzahl gleichzeitiger Prozesse nicht begrenzt, kann dies das System überfluten.

Oder Sie können in die andere Richtung gehen und die Zeit kontinuierlich zurücksetzen, um zu verhindern, dass ein kritischer Wartungsprozess ausgeführt wird.

Wachhunde

Das System verfügt möglicherweise über Watchdog-Prozesse, die nach zu vielen oder zu wenigen Aktionen suchen, die in einem Zeitfenster ausgeführt werden. Der Watchdog kann sich dafür entscheiden, automatische Wartungsmaßnahmen wie das Neustarten von Maschinen oder das Beenden von Diensten durchzuführen. Ein Angreifer kann die Zeit manipulieren, um den Eindruck zu erwecken, dass die Rate zu hoch oder zu niedrig ist, um den Watchdog auszulösen und ein funktionierendes System anzuhalten.

Quelle für UUIDv4: [Abschnitt 4.4] (https://tools.ietf.org/rfc/rfc4122.txt)
+1 Gute Antwort, aber ich bin mir nicht sicher, ob ich damit einverstanden bin.1) Kryptografische RNGs werden von anderen Dingen als der Uhr ausgesät, z. B.: Vorheriger Startwert, Festplatten-E / A-Ereignisse, Netzwerkpaketereignisse, sodass die vollständige Kontrolle über die Uhr nicht die vollständige Kontrolle über den Startpunkt gibt.2) Selbst UUIDv4 soll nicht sicher sein: _ "4.4. Algorithmen zum Erstellen einer UUID aus wirklich zufälligen oder pseudozufälligen Zahlen" _ Daher ist jede Software, die eine UUID als Client-Geheimnis verwendet, wahrscheinlich eine schlechte Software.3) Ein weiteres gutes Beispiel für regelmäßige Jobs und Wachhunde ist das Vorrücken der Uhr, um den geplanten Scan des Antivirenprogramms zu überspringen.
@MikeOunsworth Sicher, wenn Sie es richtig machen, sind die ersten beiden kein Problem, aber ... 1) [Die Menge an Code, die mit "Zeit" gesät wird, wird Sie schockieren] (https://github.com/Suche? q = srand + time & type = Code).2) Viele, viele Software legt ihre UUIDs offen.
@Schwern Gute Diskussion!1) `srand` behauptet nicht, ein kryptografisch sicheres RNG zu sein.`srand (time ());` ist in Ordnung, wenn Sie beispielsweise Textur-Maps generieren;Wenn Leute "srand" verwenden, um kryptografische Geheimnisse zu generieren, dann wäre das ein Problem.2) Ich bin nicht sicher, warum das ein Problem ist?In unserer Software basieren wir unser Sicherheitsmodell auf der Annahme, dass Angreifer UUID-Werte ermitteln können, wenn sie dies wirklich möchten.Wenn ein Entwickler aus irgendeinem Grund eine UUID verfügbar machen muss, aus welchem Grund auch immer.UUIDs (wie jede andere Art von ID) sollten nicht als Authentifizierungstoken verwendet werden.
"* In unserer Software basieren wir unser Sicherheitsmodell auf der Annahme, dass Angreifer UUID-Werte ermitteln können, wenn sie dies wirklich wollen. *" Das ist ausgezeichnet.Viele Software nicht.Dies sind Angriffe, die häufige, kleine Sicherheitsfehler ausnutzen.
@Schwern Oh, ich verstehe.Sie sprechen nicht darüber, wie _good_ Software erstellt wird, sondern darüber, wie _bad_ erstellt wird.Touché.
supercat
2018-09-13 20:06:46 UTC
view on stackexchange narkive permalink

Es gibt zwei mögliche Situationen, in denen ein Computer, der glaubt, das Jahr sei 2038, versucht, eine Verbindung zur Außenwelt herzustellen, und alles in der Außenwelt sagt, dass es 2018 ist:

  1. Die Uhr des Computers ist falsch.

  2. Das Jahr ist tatsächlich 2038, und alles in der Außenwelt wird gefälscht, wobei Zertifikate aus dem Jahr 2018 verwendet werden, die geknackt wurden die 20 Jahre seitdem.

    3. ol>

    Obwohl Angriffe dieser Form schwer genug wären, um sie abzuwehren, wäre die erste Möglichkeit in der Praxis weitaus wahrscheinlicher, wenn man sich gegen die zweite schützt Sie müssen eine Bestätigung erhalten, dass die Uhr des Computers tatsächlich falsch ist.

Hm.Und wo ziehst du die Grenze?Was ist ein akzeptabler Unterschied zur Außenwelt?
@MartinThoma: Wenn die Uhr eines Computers innerhalb des Bereichs liegt, in dem seine Zertifikate gültig sind, sind die Zertifikate wahrscheinlich gültig.Wenn die Uhr des Computers außerhalb dieses Bereichs liegt, ist es möglich (und in einigen Fällen wahrscheinlich), dass die Zertifikate tatsächlich gültig sind und nur die Uhr des Computers fehlerhaft ist. Ein Computer kann jedoch nicht sicher sein, dass ein externer Zeitserver ohne diesen vertrauenswürdig istEin Zertifikat, das zum angegebenen Zeitpunkt des Computers gültig ist.Wenn externe Zeitserver konsistent Zeiten melden, die "in der Vergangenheit" liegen, würde dies bedeuten, dass ...
... eine Diagnose über die zukünftige Uhr des Computers ist hilfreicher als eine Meldung, dass alle Zertifikate abgelaufen sind, sollte jedoch die Möglichkeit bieten, dass ein Benutzer eine Meldung betrachtet. "Die Uhr Ihres Computers zeigt an, dass es 2018 ist, aber jedersonst sagt es ist 2012 "und sagt" es ist 2018; die Server, die 2012 behaupten, sind falsch - wahrscheinlich absichtlich. "
Ihre Linie ist also ein Kalenderjahr.Dies bedeutet, dass 365 Tage in einem Schaltjahr falsch wären, ein Tag mehr jedoch nicht.
@MartinThoma: Welche Zeiten akzeptabel wären, hängt davon ab, welche Zertifikate der Computer zu einem bestimmten Zeitpunkt installiert hat.
birdwes
2018-09-14 06:02:50 UTC
view on stackexchange narkive permalink

Wenn Sie einen einzelnen Windows-Domänencontroller oder einen Teil seines Netzwerks ausführen, kann ein Zeitunterschied von nur fünf oder einigen Minuten kritisch sein: Kerberos-Zeittoleranz

Ich musste mich einmal mit einem ausgefallenen Windows SBS 2008-Server befassen und einen Weg finden, als SYSTEM zum Lesen des Ereignisprotokolls einzusteigen.

Es stellte sich heraus, dass ein Stromstoß die CMOS-BIOS-Uhr auf dem Domänencontroller einige Jahre zuvor auf das Systemdesigndatum zurückgesetzt hatte. Das Ergebnis ist, dass Kerberos-Tickets nicht ausgestellt werden konnten.

Kerberos-Tickets sind nur wenige Minuten gültig.

Edheldil
2018-09-12 20:16:03 UTC
view on stackexchange narkive permalink

Ein weiteres (leicht kompliziertes) Beispiel für einen Angriff auf einen Computer mit verzögerter Systemzeit ist das Bereitstellen veralteter DNS-Einträge aus einer mit DNSSEC gesicherten Zone.

Wenn der Client beispielsweise nach der Adresse www.example.com fragt, kann der Angreifer beispielsweise mit einem Verweis auf seinen eigenen DNS-Server und einem (abgelaufenen) Nachweis der Nichtexistenz eines DS-Eintrags antworten. com aus der Zeit, als example.com noch nicht signiert war, und liefern anschließend gefälschte DNS-Einträge für alles in der example.com-Zone.

Devuan User
2018-09-12 01:06:09 UTC
view on stackexchange narkive permalink

Es könnte als Fälschung angesehen werden, und wenn die Computeruhr nicht immer synchronisiert wird, kann dies Vor- und Nachteile haben. Offensichtliche sind diejenigen, auf die bereits hingewiesen wurde. Ein Vorteil ist, dass Websites Ihr tatsächliches Datum nicht kennen, obwohl dies mehr zum Datenschutz als zur Sicherheit an sich führen würde. Normalerweise wird Datenschutz als Teil der Sicherheit betrachtet.

Ich weiß es nicht Vieles über die NTP-Aufzählung, aber sie wird beim Pentesting verwendet, daher ist dies ein Faktor, der für die Sicherheit berücksichtigt werden muss.

"Das Netzwerkzeitprotokoll ist ein Protokoll zum Synchronisieren der Zeit in Ihrem Netzwerk. Dies ist besonders wichtig, wenn Verwenden von Verzeichnisdiensten Es gibt weltweit eine Reihe von Zeitservern, mit denen Systeme miteinander synchronisiert werden können. NTP verwendet den UDP-Port 123. Durch NTP-Aufzählung können Sie Informationen wie Listen von Hosts sammeln, die mit dem NTP-Server IP verbunden sind Adressen, Systemnamen und Betriebssysteme, die auf dem Client-System in einem Netzwerk ausgeführt werden. Alle diese Informationen können durch Abfragen des NTP-Servers aufgelistet werden. " Quelle: " https://www.greycampus.com/opencampus/ethical-hacking/ntp-enumeration"

Dieser Antwort fehlen konkrete Details, die mir nützlich sein könnten.Was ist ein Szenario, in dem es schadet, dass Websites die Ortszeit auf meinem Computer nicht kennen?Wie ist das ein Datenschutzproblem?
Wenn Sie einen VPN oder Proxy verwenden und Ihr System eine andere Zeitzone verwendet als Ihre IP ... sollte jede Person in Betracht ziehen, dass Sie einen VPN oder Proxy verwenden.Die meisten Proxys und VPNs können die Zeitschaltuhr Ihres Betriebssystems standardmäßig nicht verbergen, und Websites können dies lesen (daher auf den Ort verweisen, an dem Sie leben, auch wenn Sie einen Proxy / VPN verwenden, wodurch Ihre Privatsphäre beeinträchtigt wird).
@DevuanUser Es gibt viele Bedingungen, die gelten müssen: 1) Die Site müsste Ihre IP anhand des Standorts und der Zeitzone nachschlagen. 2) Das Javascript auf der Seite müsste die Ortszeit abfragen und an zurücksendender Server, 3) Ihr VPN müsste sich in einer anderen Zeitzone befinden als Sie.Dies sind wichtige Bedingungen und sollten in einer so kurzen Beschreibung nicht beschönigt werden.
Dies scheint auch die Frage nach einer böswilligen Änderung der Zeit nicht zu beantworten.
Nun, der Schöpfer des Threads hat sich über Sicherheit gewundert und ich habe eine Antwort gegeben, damit er mögliche tägliche Probleme versteht, die bei der Synchronisierung der Uhr auftreten können oder nicht.Auf der anderen Seite ... werde ich eine weitere Antwort hinzufügen.
Die NTP-Aufzählung gilt nicht für die Situation
"Die NTP-Aufzählung gilt nicht für die Situation" lautet die Frage "Wie wichtig ist die Ortszeit für die Sicherheit?"99% der Internetnutzer synchronisieren ihren Computer mit der Ortszeit, indem sie NTP-Server verwenden, damit Sie verstehen, wie sie wirklich eine Sache mit der anderen in Beziehung setzen.--- Quelle hinzugefügt, für die Zukunft notiert, danke ---
* "Ein Vorteil ist, dass Websites Ihr echtes Datum nicht kennen" * - Ihr echtes Datum ist das gleiche wie das aller anderen.Wir befinden uns im selben Universum und haben nur den vereinbarten Zeitstrom, den wir gemeinsam haben.Wie der Weltraum.(Übung: Ich werde aus Sicherheitsgründen verbergen, in wie vielen Dimensionen ich mich gerade befinde. Was? Sie haben drei erraten? Verdammt! Woher wussten Sie das?)
Das NTP-Protokoll tauscht nur den Zeitstempel in UTC aus, unabhängig von den Einstellungen des Clients und Servers.Ein NTP-Server kann also höchstens davon ausgehen, dass der Computer von einer bestimmten IP-Adresse für einen bestimmten Zeitraum nicht mehr synchron ist.Ironischerweise können die Daten verwendet werden, um den Computer auch nach einer Änderung der IP-Adresse zu verfolgen, wenn er zu einem festgelegten Zeitpunkt durchgehend nicht synchron ist.Im Vergleich zu regelmäßig synchronisierten Maschinen, die eine ähnliche Versatzdauer aufweisen wie andere Maschinen in der Region.
@Wildcard Da man pedantisch ist, könnte man sagen, dass die Zeit relativ ist.In den meisten Fällen spielt es keine Rolle, aber z.für GPS tut es.Wir haben also nicht alle die gleiche Zeit.Aufgrund genau dieses Problems ist TAI ein Durchschnitt von mehreren Atomuhren.(Wie auch immer, ich stimme dem allgemeinen Punkt zu, dass dieses Argument / diese Antwort nicht viel Sinn macht)
Sie können vermeiden, Ihre lokale Zeit anzugeben, indem Sie die Zeitzone für Ihren Browser auf UTC einstellen.Dies ist zum Beispiel das, was Tor Browser tut, aber es ist immer noch klar in der Lage, das Ablaufen von Zertifikaten zu erkennen.
PrashantKC
2018-09-13 21:44:33 UTC
view on stackexchange narkive permalink

Bei vielen Softwareprogrammen, insbesondere solchen, die in einem Cluster arbeiten, ist die Zeitsynchronisierung sehr wichtig. Wenn also jemand mit der Zeit herumspielt, verursacht die auf diesem System ausgeführte Software viele Probleme, insbesondere bei der Synchronisierung. Dies wird letztendlich als Service-Auswirkung gewertet.

Herzlich willkommen!Dies sieht eher nach einem Kommentar als nach einer vollständigen Antwort aus.Ich empfehle, es zu entfernen und als Kommentar zu einer der anderen Antworten hinzuzufügen oder genügend Informationen hinzuzufügen, um daraus eine vollständige Antwort zu machen.
Ich denke, um einen Kommentar zu schreiben, müssen Sie mindestens 50 Punkte haben: https://stackoverflow.com/help/privileges


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...