Attacking and securing Network Time Protocol

Malhotra, Aanchal

14 February 2020

Network Time Protocol (NTP) is used to synchronize time between computer systems communicating over unreliable, variable-latency, and untrusted network paths. Time is critical for many applications; in particular it is heavily utilized by cryptographic protocols. Despite its importance, the community still lacks visibility into the robustness of the NTP ecosystem itself, the integrity of the timing information transmitted by NTP, and the impact that any error in NTP might have upon the security of other protocols that rely on timing information. In this thesis, we seek to accomplish the following broad goals: 1. Demonstrate that the current design presents a security risk, by showing that network attackers can exploit NTP and then use it to attack other core Internet protocols that rely on time. 2. Improve NTP to make it more robust, and rigorously analyze the security of the improved protocol. 3. Establish formal and precise security requirements that should be satisfied by a network time-synchronization protocol, and prove that these are sufficient for the security of other protocols that rely on time. We take the following approach to achieve our goals incrementally. 1. We begin by (a) scrutinizing NTP's core protocol (RFC 5905) and (b) statically analyzing code of its reference implementation to identify vulnerabilities in protocol design, ambiguities in specifications, and flaws in reference implementations. We then leverage these observations to show several off- and on-path denial-of-service and time-shifting attacks on NTP clients. We then show cache-flushing and cache-sticking attacks on DNS(SEC) that leverage NTP. We quantify the attack surface using Internet measurements, and suggest simple countermeasures that can improve the security of NTP and DNS(SEC). 2. Next we move beyond identifying attacks and leverage ideas from Universal Composability (UC) security framework to develop a cryptographic model for attacks on NTP's datagram protocol. We use this model to prove the security of a new backwards-compatible protocol that correctly synchronizes time in the face of both off- and on-path network attackers. 3. Next, we propose general security notions for network time-synchronization protocols within the UC framework and formulate ideal functionalities that capture a number of prevalent forms of time measurement within existing systems. We show how they can be realized by real-world protocols (including but not limited to NTP), and how they can be used to assert security of time-reliant applications-specifically, cryptographic certificates with revocation and expiration times. Our security framework allows for a clear and modular treatment of the use of time in security-sensitive systems. Our work makes the core NTP protocol and its implementations more robust and secure, thus improving the security of applications and protocols that rely on time.

Computer science

Cryptography

Domain name system (DNS)

Network attacks

Network protocols

Network Time Protocol

Security

Régulation de l'Internet par les noms de domaine. Le régime juridique et institutionnel de l'ICANN

Bricteux, Caroline

04 March 2019

La régulation de l’Internet constitue depuis toujours un défi pour le droit :le « réseau des réseaux » a été conçu dans un esprit de connectivité universelle, avec la volonté que chaque utilisateur intéressé puisse y relier son ordinateur et accéder aux informations disponibles en ligne, sans que celles-ci soient altérées en fonction du lieu de connexion et donc sans tenir compte d’éventuelles règles nationales, régionales ou internationales. S’il s’inscrit ainsi en porte-à-faux avec les principes fondamentaux du droit national et international, fondés sur la souveraineté des États et sur des frontières géographiques bien établies, l’Internet n’est pas pour autant un espace anarchique. Il constitue plutôt un terrain propice à l’émergence de nouveaux régulateurs et à l’expérimentation de nouvelles formes de normativité. L’espace virtuel global repose en effet sur une architecture physique et informatique qui peut être modelée et sollicitée à des fins de régulation des flux d’informations en ligne. Dans cette optique, notre thèse se penche sur le Domain Name System (DNS), le système de nommage et d’adressage de l’Internet qui assure les correspondances entre les noms de domaine intelligibles pour les humains et les adresses IP numériques utilisées par les ordinateurs pour communiquer entre eux. La structure hiérarchique de cet annuaire global en fait une cible de choix pour ceux qui aspirent à un contrôle centralisé du réseau et des informations qu’il véhicule. Le DNS est administré depuis 1998 par une organisation globale atypique, l’Internet Corporation for Assigned Names and Numbers (ICANN), constituée sous la forme d’une société privée de droit californien, investie de ses compétences en vertu de contrats avec le gouvernement des États-Unis et caractérisée par un modèle de gouvernance multipartite mobilisant des représentants du secteur privé, de la société civile et des gouvernements. Par une étude pragmatique des actes juridiques produits par l’ICANN en vue d’attribuer de nouvelles extensions de noms de domaine génériques – à côté du fameux .com et en parallèle des extensions nationales telles le .be – nous démontrons que l’organisation ne se cantonne pas à une mission essentiellement technique mais se profile, à son corps défendant, comme un régulateur global des contenus en ligne. Nous mettons en évidence, d’une part, que les normes globales édictées par l’ICANN pour justifier le rejet des candidatures indésirables ne visaient pas seulement les termes proposés comme nouvelles extensions mais aussi les conditions d’exploitation envisagées par les candidats, afin d’assurer ex ante la licéité et la qualité des informations présentées dans les futurs domaines. Nous montrons, d’autre part, que l’ICANN a été amenée, sous la pression des gouvernements, à investir ses sous-contractants, les registres et registraires de noms de domaine, d’obligations d’intérêt public relatives au contenu des sites web auxquels leurs noms de domaine donnent accès, en vue de lutter contre les activités abusives et de protéger les consommateurs. Nous démontrons que l’ICANN a ainsi renforcé, sous sa supervision, le rôle des intermédiaires du DNS en tant que points de contrôle du contenu posté en ligne et pointons les dérives potentielles de cette évolution, qui n’est accompagnée d’aucun garde-fou pour préserver la liberté d’expression en ligne. / Doctorat en Sciences juridiques / info:eu-repo/semantics/nonPublished

Droit

Droit de l'informatique

Internet

Noms de domaine

Domain Name System (DNS)

Extensions génériques (gTLD)

Droit global

Résolution de conflits

Régulation du contenu en ligne

Points de contrôle

Liberté d'expression