Рубрика «ntp»

Тема варьирования или замедления времени в космических масштабах кажется настолько фантастической, что даже на Хабре пока разобрана преимущественно в специфическом «релятивистском» ключе – например, применительно к фильму «Интерстеллар». Но соотнесение представлений о пространстве-времени в различных точках постепенно перетекает не только в научную, но и в практическую реальность. Известно, что GPS-навигация – первая широко распространённая технология, в которой принципиальную роль играют релятивистские эффекты (кстати, Читать полностью »

image

Знать время нужно всем. Точное время необходимо для криптографии, непрерывного производства, навигации на Земле и в космосе.

Интернет зависит от времени так, что малейшая ошибка ведет к масштабным проблемам: падению серверов, сбоям в DNS, зависанию приложений. Из-за проблем со временем системы зацикливаются и потребляют излишние ресурсы CPU.

Конечно, программисты знают, откуда берется время. UNIX-time, timestamp, datetime, tzdata, NTP и другие решения дают четкое ощущение контроля времени. Однако кому на самом деле время принадлежит, кто несет за него ответственность?

Это история о бесконечном поиске консенсуса, талантливых одиночках, работающих без зарплаты, крушении «Титаника», увлеченном слепом программисте и смелых решениях, ведущих к новым ошибкам. Это история про время.

Читать полностью »

Большинство дистрибутивов операционных систем на базе Linux и многих сетевых устройств используют для установки часов сервера вида *.pool.ntp.org.

Рассмотрим подробнее откуда же берутся данные сервера, что требуется чтобы создать свой собственный сервер и добавить его к данному кластеру для помощи сообществу синхронизации времени.

Как сказано на сайте https://www.ntppool.org/ru/  - это огромный кластер серверов точного времени, предоставляющий надежный и простой в использовании NTP-сервис для миллионов клиентов и его услугами пользуются десятки миллионов систем по всему миру.

Читать полностью »

Как синхронизация времени стала безопасной - 1

Как сделать так, чтобы время per se не врало, если у вас есть миллион больших и малых устройств, взаимодействующих по TCP/IP? Ведь на каждом из них есть часы, а время должно быть верным на всех. Эту проблему без ntp невозможно обойти.

Представим себе на одну минуту, что в одном сегменте промышленной ИТ инфраструктуры возникли трудности с синхронизацией сервисов по времени. Немедленно начинает сбоить кластерный стек Enterprise ПО, распадаются домены, мастера и Standby узлы безуспешно стремятся восстановить status quo.

Возможна также ситуация, когда злоумышленник намеренно старается сбить время через MiTM, или DDOS атаку. В такой ситуации может произойти все что угодно:

  • истечет срок действия паролей учетных записей пользователей;
  • истечет срок действия X.509 сертификатов;
  • двухфакторная аутентификация TOTP перестанет работать;
  • бэкапы «устареют» и система удалит их;
  • сломается DNSSec.

Понятно, что каждый первый департамент ИТ заинтересован в надежной работе служб синхронизации времени, и хорошо бы они были надежны и безопасны в промышленной эксплуатации. Читать полностью »

Целый год (или два) я откладывал публикацию данной статьи по главной причине — мной уже были опубликованы две статьи, в которых я описал процесс создания полноценного маршрутизатора в SOCKS из самого обычного ноутбка с Debian.

Однако, с тех пор стабильная версия Debian обновилась до Buster, мне в личку обратилось достаточное количество людей с просьбой помочь в настройке, а значит, мои предыдущие статьи не являются исчерпывающими. Что ж, я и сам догадывался, что методы, изложеннные в них, не до конца раскрывают все тонкости настройки Linux для маршрутизации в SOСKS. К тому же они написаны для Debian Stretch, а после обновления до Buster, в системе инициализации systemd, я заметил небольшие изменения во взаимодействии служб. Да и в самих статьях я не использовал systemd-networkd, хотя она лучше всего подходит для сложных сетевых конфигураций.
Читать полностью »

Здравствуйте, читатели. Сегодня я хочу рассказать о том, как написать свой простенький NTP клиент. В основном, разговор зайдет о структуре пакета и способе обработки ответа с NTP сервера. Код будет написан на питоне, потому что, как мне кажется, лучшего языка для подобных вещей просто не найти. Знатоки обратят внимание на схожесть кода с кодом ntplib — я «вдохновлялся» именно им.
Читать полностью »

Зовите детишек! Сейчас дядя Андрей расскажет рождественскую страшилку об NTP (Network Time Protocol).

Почти два года назад, в понедельник 16 января 2017 года, в нашу систему баг-репортов BitFolk поступил интересный тикет от постороннего лица. Отправитель представился как ведущий инженер-программист компании NetThings UK Ltd.

Тема: запрос NTP на IP 85.119.80.232

Привет,

Это может показаться странным, но мне нужно настроить сервер NTP по IP-адресу 85.119.80.232.

Что такого особенного в адресе 85.119.80.232? Это IP-адрес одного из NTP-серверов для обслуживания наших клиентов. За несколько недель до этого тикета сервер также был частью проекта NTP Pool.

Здесь важное слово «был». В конце декабря 2016 года я вывел NTP-серверы BitFolk из общественного пула и заблокировал их для посторонних.
Читать полностью »

Security Week 47: закладки в Android, безопасность Wi-Fi, уязвимость NTP - 1В прошлом выпуске я писал о том, что Apple, похоже, по умолчанию шлет информацию об истории телефонных звонков в iCloud, и отключить это возможно только полностью заблокировав облачный бэкап. За неделю это была не единственная новость на тему: отличился и разработчик устройств на базе Android. Исследователи из компании Anubis Networks обнаружили (новость, исследование) в китайских смартфонах OEM-компании Ragentek механизм, который по ряду параметров может быть квалифицирован как бэкдор.

Речь идет о схеме обновления прошивки: программный модуль имеет в смартфонах этого производителя права рута, регулярно запрашивает серверы производителя, и может загружать и устанавливать с них обновления. Вроде бы все неплохо, но есть два «но». Во-первых, все коммуникации ведутся по HTTP, что делает смартфоны уязвимыми для атак типа man-in-the-middle с возможностью выполнения произвольного кода. Во-вторых, из трех зашитых в модуль доменов два разработчики софта просто забыли зарегистрировать — они так и были бы в свободном доступе, но исследователи из Anubis не зарегистрировали их на себя. Мониторинг подключений к доменам позволил оценить примерное количество уязвимых устройств: под три миллиона.

Чуть раньше, 15 ноября, в New York Times со ссылкой на исследовательскую группу Kryptowire рассказали о том, что в ряде Android-устройств производителя BLU Products установлен мониторинговый модуль рекламной сети Adups, высылающий «куда-то в Китай» подробную информацию о пользователе, включая «историю звонков, тексты сообщений» и прочее. Тогда производитель объяснил проблему досадной ошибкой, и выпустил патч. Проходит неделя, и выясняется, что смартфоны BLU подвержены еще и проблеме с загрузчиком обновлений.
Читать полностью »

Security Week 23: украли все пароли, невзлом TeamViewer, Lenovo просит удалить уязвимую утилиту - 1Тема паролей не отпускает. К недавним утечкам из LinkedIn добавились новые сливы из Вконтакта, Twitter, Tumblr и MySpace. У Марка Цукерберга взломали Твиттер и Пинтерест, выяснилось что пароль был «dadada», и это конечно эпик фейл.

Действительно, "астрологи объявили месяц утечек". Отчасти это может быть связано с действиями одного хакера, который сливает в дарквеб не самые свежие, но объемные базы, недорого. Не меньшую роль играют и профильные СМИ: если осенью прошлого года все копали до изнеможения тему шифрования, зимой — высказывались про кейс Apple и ФБР, то сейчас особое внимание уделяется паролям — так уж работает инфопространство.

Но тема важная. Arstechnica подсчитала, что за последний месяц слили более 600 миллионов паролей. Да, это действительно не самые свежие взломы, но аудит паролей стоит провести. Особенно тому легиону людей, у которых пароль 123456. Всем остальным можно ориентироваться на разумный срок смены паролей с интервалом максимум в два года, лучше чаще (исходя из типичного возраста слива в 4 года). Как защититься тоже понятно, непонятно как наконец начать это делать. Варианты улучшения ситуации обсудили в комментариях к предыдущей серии. Мой подход по убыванию надежности: (1) Менеджер паролей и одноразовые пароли везде (2) Сложные и разные пароли на критических сервисах (Основные соцсети, платежные системы) (3) Менее сложные и проще запоминаемые пароли с вариациами на некритичных сервисах (форумы и прочее). И конечно двухфакторная авторизация везде, где только можно.
Предыдущие выпуски сериала доступны по тегу.
Читать полностью »

Disclaimer: информация опубликована исключительно в образовательных целях, а не для применения на практике

Как известно, два месяца назад в iOS обнаружили опасный баг: если поставить дату на 1 января 1970 года, то телефон выходит из строя по неизвестной причине.

Apple исправила уязвимость в версии 9.3.1, так что хакеры получили моральное право публиковать практические руководства по её эксплуатации. Один из способов буквально потрясает своей простотой и вредоносностью. Он позволяет автоматизировать процесс по превращению чужого девайса в кирпич, или даже многих устройств одновременно.

Трюк с массовым поражением окружающих девайсов основан на том, что они постоянно проверяют NTP-сервера для синхронизации своих часов.

Начинаете догадываться?
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js