网络安全让我们从时间被黑说起……

2019年4月6日,纽约关键基础设施的“时间同步”失效,致使该市交通信号灯系统发生故障,而这种情况持续了近两周时间,造成了严重的社会秩序失调。

一次意外便能掀起轩然大波,那么,刻意为之的攻击活动又将如何?

2021欧洲黑帽大会上,著名硬件安全专家Adam Laurie强调称,人们将时间同步视为理所当然的事情,但却忽略了这样一个事实:“时间”同样运行在脆弱的生态系统上,存在被黑的可能性。为了证实自己的说法,他还为我们展示了一种改变时钟时间的简单方法。

为了验证是否能够欺骗时间同步信号,Laurie使用名为“txtempus”的开源工具构建了自己的模拟时间信号系统。这种设备能够模拟信号以同步时钟和手表的时间,并在配备射频识别 (RFID)天线的树莓派(Raspberry Pi)上运行。

Laurie的装置覆盖了英国地区官方的低频、基于无线电广播的时钟同步信号。他选择了红、白两种颜色的时钟进行演示,其中,白色时钟被设置为正常运行,与网络时间协议(NTP)通信,将本地原子钟广播传输到计时设备。红色时钟也被设置为与英国国家物理实验室(英国原子钟发源地)通信,通过网络时间协议馈送数据,但在此过程中,Laurie劫持了该链接的馈送,忽略了信号并强迫它显示错误的时间。

结果,他最终重置了红色时钟的指针:被黑的红色时钟将时间纂改为4:18,而未被黑的时钟显示为9:48(正确的时间)。如下所示:

[[438120]]

可能是考虑到存在模仿攻击的可能性,Laurie并未透露过多技术细节。但可以肯定的是,此次黑客攻击不仅再次强调了RFID的脆弱性,也为我们展示了一种新的可能性:攻击者完全有可能在更广泛的范围内改变时间来造成严重破坏。

而且,与其他安全问题不同,这种时间攻击的风险并非源于软件或硬件漏洞:它更多地与老化的技术和流程有关。因为从本地原子钟接收信号并自动设置时间的技术和流程太过老旧。

时间被黑之后

如今,准确、统一的时间不仅影响我们生活的方方面面,还会影响社会的诸多领域:从依赖准确支付时间的金融交易到工业系统、取证和互联网上带时间戳的网络数据包,无所不包。物联网(IoT)设备同样依赖于原子钟。根据2017年英国政府公布的一份报告显示,时间同步失败的成本预计高达每天10亿英镑。

Laurie指出,互联网上负责分发时间更新的网络时间协议(NTP)和精确时间协议(PTP)可能会被欺骗以传输欺骗性信息。它们并非时间源,而是依赖外部来源(即原子钟,通过RF和GPS进行广播)馈送它们时间数据。

这种情况下,极有可能催生勒索软件攻击。而如果攻击者通过对原子钟馈送发动拒绝服务(DOS)攻击,后果同样不堪设想。

长期以来,Laurie及其他研究人员已经阐明了RF的安全风险。他表示,“无线电频率以纯文本形式传输数据,并且缺乏身份验证过程。即便现在有验证信号的技术,大多数现有的RF基础设施仍然不安全。而现在,很多庞大的、已部署的基础设施都依赖于这些不安全的技术。这次的时间危机只是隐藏其中的‘冰山一角’。”

事实上,近年来,英国政府和各行业组织也为加强时间同步安全做出了诸多努力,甚至诞生了一个名为“弹性导航和授时基金会”(The Resilient Navigation and Timing Foundation)的组织。作为国际性非盈利组织,该基金会提议加强GPS和全球导航卫星系统(GNSS)系统以防御欺骗和干扰信号,并增加法律手段来强制执行。

结语

我们认为理所当然的时间同步问题,一旦遭到黑客利用,将为我们的工作和生活甚至社会的稳定带来巨大的麻烦。因此,是时候重新审视那些被我们视为理所当然的技术的安全性了!

本文翻译自:https://www.darkreading.com/vulnerabilities-threats/what-happens-if-time-gets-hacked如若转载,请注明原文地址。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/133233.html<

(0)
管理的头像管理
上一篇2025-02-27 09:33
下一篇 2025-02-27 09:34

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注