Om goed te kunnen werken hebben jouw laptop en smartphone, maar ook pinautomaten en kerncentrales de juiste internettijd nodig. Wat gebeurt er als hackers die systeemtijd aanpassen? “We hebben in Europa al een aantal alarmerende incidenten meegemaakt.”
Ook al kunnen we ons tegenwoordig geen leven meer zonder internet voorstellen, pas vanaf de tweede helft van de twintigste eeuw ontstond beetje bij beetje een netwerk van computers dat uiteindelijk de wereld omspande. In de eerste decennia was er nog nauwelijks oog voor de beveiliging van dat netwerk, behalve dat het altijd moest blijven werken. Het internet was nog te klein en de gebruikers ervan te idealistisch.
De eerste spam dook op in 1978, en virussen werden pas vanaf de jaren negentig een probleem. Toen het internet populair begon te worden, was het eigenlijk al te laat voor funderingsherstel. Beveiliging werd dus ook stukje bij beetje toegevoegd, in de vorm van oneindige hoeveelheden pleisters, zoals cryptografische sleutels en echtheidscertificaten.
Ook de manier waarop computers wereldwijd hun horloges gelijkzetten is het resultaat van een organisch gegroeide samenwerking tussen goedwillende onderzoekers en hobbyisten. Dat maakt onze gemeenschappelijke internettijd kwetsbaar. Een technisch onderlegde slechterik kan her en der de internettijd voor- dan wel achteruitzetten, wat allerlei onheil tot gevolg kan hebben.
Ons kent ons
Dat besef drong vooral vanaf 2016 door, toen Aanchal Malhotra van de Amerikaanse Boston University een hele rits zwakheden beschreef in de codetaal die computers gebruiken om de juiste tijd met elkaar uit te wisselen: het Network Time Protocol (NTP). “Net als veel andere internetprotocollen stamt NTP uit de begintijd van het internet”, zegt Roland van Rijswijk-Deij, hoogleraar Internetveiligheid van de Universiteit Twente. “Iedereen kende elkaar toen nog zo’n beetje, en beveiliging speelde geen enkele rol. Daardoor lopen we nu tegen allerlei beveiligingsuitdagingen aan.”
Is het echt zo’n probleem als de systeemtijd niet klopt? Zo’n ramp is het toch niet als je computer vijf minuutjes, of zelfs tien jaar achterloopt? Toch wel. “Het NTP-protocol houdt overal ter wereld computerklokken gesynchroniseerd “, zegt George Smaragdakis, hoogleraar Cybersecurity aan de TU Delft. “Hackers met slechte bedoelingen kunnen via datzelfde protocol daarom ongelofelijk veel processen in gevaar brengen. Wanneer de synchronisatie van computerklokken spaak loopt, kan een derde partij doen alsof een bepaalde actie eerder of later plaatsvond dan in de realiteit. Op die manier kun je geld of persoonlijke informatie stelen, of datasystemen vervuilen. Ook kunnen er authenticatieprocessen mislopen. Dat betekent dat er fouten optreden bij het controleren van de identiteit van computergebruikers, servers, routers en databases. Daarnaast is het mogelijk om routers te laten crashen, en daarmee delen van het internet te doen uitvallen.”
Verstoringen veroorzaken
Een ander probleem is dat allerlei internetbeveiligingsmaatregelen totaal verweven zijn met een juiste tijdmeting. Het onderzoeksteam van Malhotra liet zien hoe je door de systeemtijd te veranderen, allerlei internetbeveiligingsprotocollen onklaar kunt maken. Van Rijswijk-Deij: “Als je bijvoorbeeld naar een met https beveiligde website surft, dan verloopt de communicatie versleuteld en wordt daarnaast de echtheid van de website gecontroleerd aan de hand van een digitaal certificaat. Je kunt dat certificaat bekijken door op het slotje in de adresbalk te klikken. Zo’n certificaat heeft een bepaalde geldigheid. Als een kwaadwillend persoon de datum op jouw computer wijzigt, zodat dat certificaat ofwel verlopen is ofwel nog niet geldig, zal het achterliggende SSL-protocol zeggen: ‘Hier is iets mis, ik verhinder dat de verbinding tot stand komt.’ Dat betekent dat jij die website niet meer kunt bezoeken. En zo zijn er allerlei beveiligingsprotocollen waarbij tijd een essentiële rol speelt.”
Is het erg als een website of servercomputer niet bereikbaar is, doordat beveiligingsprotocollen dat onterecht verhinderen? Van Rijswijk-Deij: “De consequenties kunnen ernstig zijn. Denk bijvoorbeeld aan online betaaldiensten en pintransacties in de winkel. Als de software daarachter massaal weigert om een verbinding met de bankcomputer te leggen omdat de systeemtijd ontregeld is, dan kunnen kwaadwillende personen enorme verstoringen veroorzaken in de maatschappij. Dus zelfs al hebben de banken zelf hun systeemtijd goed beveiligd, dan nog kan het misgaan als hun klanten dat niet doen.”
Neptijden verspreiden
Dat kwaadwillende personen onze tijdsservers onklaar kunnen maken, is niet het enige probleem. Ze kunnen namelijk ook doen of ze zelf zo’n tijdsserver zijn en vervolgens neptijden gaan verspreiden. “Jonghoon Kwon van ETH Zürich beschrijft in recent onderzoek onder meer hoe cyberaanvallers nepservers kunnen toevoegen aan een samenwerkingsverband voor tijdsservers, zoals de NTP Pool”, zegt Van Rijswijk-Deij. “Door vervolgens goedwillende NTP-servers in diskrediet te brengen bij de monitoringsoftware die die pool in de gaten houdt, kan die nepserver nog eens extra invloed verwerven. Het in diskrediet brengen van andere servers kan bijvoorbeeld door de reistijd van het tijdssignaal van valide tijdsservers met trucjes stiekem te verhogen, waardoor hun signaal niet meer lijkt te kloppen en de monitoringssoftware ze buiten de NTP Pool sluit.”
Een andere aanvalsmethode loopt via het gps-signaal. Veel referentieklokken, die aan de top van een piramide van tijdsservers staan en elkaar de tijd doorgeven, maken namelijk gebruik van het gps-satellietnavigatiesysteem. Gps-satellieten hebben een atoomklok aan boord, en zijn dus uitstekende tijdsbronnen. Smaragdakis: “Als een kwaadwillende echter een gps-signaal in de lucht brengt dat zogenaamd afkomstig is van een gps-satelliet, maar in werkelijkheid niet, dan kan die persoon een tijd doorgeven aan referentieklokken die in het geheel niet klopt.”
Kwetsbare infrastructuur
Kan ook kritieke infrastructuur geraakt worden door NTP-hacks? Smaragdakis: “Ja, ook ons elektriciteitsnetwerk, nucleaire reactoren en onze vervoersinfrastructuur maken gebruik van NTP. Al is het wel zo dat uit veiligheidsredenen een deel van die kritieke systemen over een privénetwerk contact legt met een goed beveiligde tijdserver, eventueel met een eigen atoomklok.” Maar dat geldt dus niet voor alle kritieke infrastructuur in Nederland? Van Rijswijk-Deij: “Nee. Nog in 2019 waren bijna duizend controlesystemen van kritieke infrastructuur via het internet te benaderen, zo bleek uit onderzoek door Joao Ceron van de Universiteit Twente in opdracht van het Wetenschappelijk Onderzoek en Documentatiecentrum. Ongeveer zestig van die systemen bleken op een of meer manieren kwetsbaar.”
Smaragdakis: “Maar zelfs al communiceren kritieke systemen veilig over een privénetwerk, dan nog maken ze gebruik van het NTP-protocol. En daarvan is gebleken dat het op een aantal manieren kwetsbaar is. Dus als een kwaadwillend persoon zichzelf toegang weet te verschaffen tot zo’n privénetwerk, dan kan hij of zij alsnog misbruik maken van die kwetsbaarheden in het NTP-protocol.”
“En er is nog een probleem”, vervolgt Smaragdakis. “Het NTP-protocol kan ook misbruikt worden om het internet als geheel over te belasten, waardoor het kan uitvallen. Dat gebeurde bijvoorbeeld in grote delen van Europa op 11 februari 2014, doordat zo’n 4.500 NTP-servers opeens een reeks complexe informatieverzoeken kreeg. Die verzoeken leken afkomstig van keurige NTP-klanten, maar dat was niet zo. Hun IP-adres was gespooft: een onverlaat had het als afzendadres opgegeven. “Dat was een van de grotere aanvallen, maar daarna is het nog veel vaker gebeurd. Vrijwel elk jaar hebben we met dit soort aanvallen te maken.”
Veilige versies
Kunnen we nog wel iets doen om rampen te voorkomen, gezien deze deprimerend lange lijst van aanvalsmogelijkheden? Smaragdakis: “Er bestaat inmiddels een beveiligde versie van NTP. Die maakt het mogelijk om de legitimiteit van tijdsservers beter te controleren. In Nederland heeft SIDN, de beheerder van het Nederlandse internetdomein .nl, dit beveiligde protocol bijvoorbeeld al op een paar servers geïnstalleerd. Het zal echter nog wat voeten in aarde hebben voordat elke tijdserver wereldwijd er gebruik van maakt. Allerlei organisaties moeten daarvoor investeren in infrastructuur en personeelstrainingen, zonder dat ze daarvan zelf meteen een duidelijk voordeel hebben. De overheid zou dat proces kunnen versnellen door bijvoorbeeld subsidies te verstrekken en campagnes te voeren waarin het belang van een veiliger NTP-infrastructuur wordt benadrukt.”
Ook regulering zou volgens Smaragdakis bijdragen aan een oplossing: “Europa heeft al belangrijke stappen gezet op het gebied van bijvoorbeeld privacybescherming. Nu is het tijd voor wetgeving over het beveiligen van onze kritische infrastructuur. We moeten van overheidsorganisaties eisen dat ze veilige versies van NTP gebruiken, op straffe van sancties. We hebben in Europa al een aantal alarmerende NTP-beveiligingsincidenten meegemaakt. Ik hoop niet dat er eerst iets ergs moet gebeuren voordat mensen zich realiseren hoe groot het risico is.”
Tijdcommunity
“We zouden daarnaast in Nederland een een tijdcommunity moeten opzetten”, vindt Cristian Hesselman, hoogleraar Trusted Open Networking aan de Universiteit Twente en directeur van SIDN Labs. “Daarin zouden allerlei partijen kunnen samenwerken om beveiligingsuitdagingen te lijf te gaan en de internettijdsinfrastructuur in Nederland en Europa verder te ontwikkelen. Denk aan technische universiteiten, standaardenorganisatie VSL, onderwijsorganisatie SURF en de beheerder van het Nederlandse internetdomein SIDN. Gezien het maatschappelijke belang van tijdservices is dat bepaald geen overbodige luxe.”