CAS Team Finds Flaw in Computers’ Timekeeping
数以千万计的电脑容易受到攻击
波士顿大学澳门威尼斯人注册网站研究员莎伦·戈德堡发现,数千万台电脑的时钟容易受到破坏。 西德尼·斯科特摄
莎朗·戈德堡(Sharon Goldberg)担心互联网安全,这样我们其他人就不必担心了。 在昨天发表的一篇论文中,Goldberg和她的团队报告了一种值得担忧的安全问题,一个坏人可以利用一台攻击机器来削弱互联网上数千万台计算机的时钟功能。
戈德堡是艺术与科学学院的计算机科学副教授,他说,幸运的是,在这篇论文发表之前,这个漏洞的修复程序就已经实施了。
Working with students Aanchal Malhotra (GRS’19), Isaac Cohen (CAS’16), and Erik Brakke (CAS’16) last spring, Goldberg discovered a potential vulnerability in the 网络时间协议 (NTP), the software and rules that synchronize clocks on computers. 该团队开发的攻击可以改变计算机系统的时间,危及其他应用程序,例如保护与银行网站互联网通信的加密方案。 其他应用程序,从比特币系统到网站认证和登录协议,也可能被攻破。
“If NTP breaks, many other computing applications break as well,” says Goldberg, who holds a fellowship from the Rafik B. Hariri计算与计算科学与工程澳门威尼斯人注册网站研究所 and is also a 斯隆的.
Before posting the paper on her project’s website, Goldberg’s team worked with the 网络时间基础, which implements the NTP, and with software firms like 思科系统公司 and 红色的帽子, to plug the holes in the NTP code. 戈德堡说,大多数计算机用户不需要采取纠正措施,因为他们的NTP软件“通过更新或修补他们的操作系统”进行例行修改。 She says operating systems “will be issuing patches that protect against our attacks, and 其他成员 of the 网络时间基础 are likely to do so as well.”
Experts needing to test their servers can consult the 戈德堡团队的网站 for instructions.
戈德堡说:“很有可能你的笔记本电脑使用NTP来同步它的时钟到互联网上某个地方的时间服务器。” “例如,保护从你的网络浏览器发送到银行网站的信息的加密协议,在很大程度上取决于你电脑时钟的准确性。”
The 网络时间基础 “really appreciates the work of Sharon, Aanchal, and their team in finding these issues and reporting them responsibly,” says NTF founder and president Harlan Stenn. “NTF has very limited resources, so the work of BU and other research teams is helpful in finding issues.”
Goldberg的团队发现的最严重的潜在攻击包括“kiss-o ' -death数据包”,这条消息会阻止计算机系统与其时间服务器通信,可能会持续数年,实际上是关闭受害者系统的NTP。
Last week, Goldberg received a $250,000 grant from the 硅谷社区基金会 to continue research on the security of the NTP. 她和她的团队去年3月申请了这笔资金,当时他们开始让实验室里的多台电脑“互相使用NTP,”她说,“并开始用‘死亡之吻’包进行各种实验。”
“时间转移”攻击,即改变计算机系统的时间设置,需要更长的时间来开发,她说,“因为NTP实际上是一个相当复杂的协议,随着时间的推移而发展。”
戈德堡说,她的团队遵循了澳门威尼斯人注册网站研究人员发现软件漏洞的标准“负责任的披露”准则。 这意味着提醒受影响的各方注意这个漏洞,并给他们一个规定的时间来修补这个问题,之后澳门威尼斯人注册网站研究人员会公布她的工作。 戈德堡在8月份向思科发送了一份她团队论文的初稿——她说,她定期向思科汇报她的澳门威尼斯人注册网站研究,因为它资助了她的工作,并雇佣了她的几名学生——而思科“在帮助我们协调负责任的披露澳门威尼斯人注册网站研究结果方面发挥了重要作用”。
Goldberg’s work helps cement “BU’s presence in cybersecurity,” says Azer Bestavros, a CAS computer science professor and director of the 哈里里澳门威尼斯人注册网站研究所. “Sharon的工作经常涉及本科生,他们从她的课程中得到启发,强调卓越的澳门威尼斯人注册网站研究如何对教学质量和体验式学习做出重大贡献。”
评论与讨论
波士顿大学缓和评论,以促进知情的、实质性的、文明的对话。 辱骂、亵渎、自我推销、误导、语无伦次或离题的评论将被拒绝。 版主在正常营业时间(EST)有澳门威尼斯人注册,只能接受用英语写的评论。 统计数据或事实必须包含引文或引文链接。