c't 17/2019
S. 162
Praxis
Network Time Protocol
Aufmacherbild

Zeitversicherung

Android-Smartphone als Zeitgeber im Netzwerk

Wenn Angreifer die Uhrzeit von Clients manipulieren oder die Synchronisierung mit Zeitservern im Internet ausfällt, verweigert die Bank den Online-Zugang und die Heimautomation spielt verrückt. Dagegen kann ein ausrangiertes gerootetes Android-Handy helfen. Oder, in Verbindung mit einem Raspi als Router, auch ein ungerootetes.

Die weitaus meisten vernetzten Geräte gleichen ihre Uhrzeit mit Servern im Internet über das Network Time Protocol ab (NTP). Das ist ein oft unterschätzter Schwachpunkt, denn die Internet-Verbindung kann ausfallen und zudem lassen sich NTP-Pakete leicht fälschen. Beispielsweise kann das Python-Progrämmchen Delorean die Zeit im Netzwerk nach Belieben verstellen (siehe ct.de/yaws).

Stellt man damit die Uhr einige Tage vor, scheitern Internet-Anwendungen, die die aktuelle Zeit voraussetzen. Das sind beispielsweise verschlüsselte Verbindungen auf TLS-Basis – also etwa der Zugang zur Online-Bank, die VPN-Verbindung zur Filiale, Downloads von Aktualisierungen, Zugriffe auf Online-Shops und so weiter. Denn vor dem Verbindungsaufbau prüfen die Gegenstellen die Gültigkeit ihrer TLS-Zertifikate auf Basis der aktuellen Zeit.

Kommentieren