È una delle componenti fondamentali della Rete, consentendone il corretto funzionamento a livello globale e assicurando che tutti gli internauti "vedano" uno stesso orologio. Ideato da David L. Mills della University of Delaware nella prima metà degli anni '80 del secolo scorso, il protocollo NTP si occupa della sincronizzazione degli orologi dei computer e dei server connessi a una stessa rete, sia essa locale (LAN) o estesa geograficamente (come Internet, per l'appunto).
A cosa serve protocollo NTP
Acronimo di Network Time Protocol, fa parte dei protocolli della suite IP e ricopre un ruolo piuttosto particolare (quanto importante). Prendendo a riferimento il tempo coordinato universale (Utc) e sfruttando una versione modificata dell'algoritmo di Marzullo, il protocollo NTP gestisce e seleziona una lunga serie di server "temporali" che i nodi della rete utilizzano come riferimento per impostare il loro orologio interno.
Scopo del protocollo NTP
Lo scopo del Network time protocol è evidente: fare in modo che tutti i nodi della Rete utilizzino lo stesso orario (con una differenza di pochi millesimi di secondo) ed evitare che si possano creare problemi di comunicazione a causa di sfasamenti temporali di varia natura. In una rete a commutazione di pacchetto, infatti, anche un disallineamento di pochi centesimi può far sì che i pacchetti di dati non siano "ricostruiti" nella giusta sequenza e le informazioni trasmesse arrivino in maniera errata.
Funzionamento del protocollo NTP
Per gestire "l'orologio della Rete", il protocollo NTP fa riferimento a un sistema gerarchico di fonti temporali: ogni livello della gerarchia è chiamato "strato" ed è utilizzato a mo' di "marca temporale" per i nodi dello strato successivo. Per garantire una migliore sincronizzazione, un computer appartenente allo strato n confronta il proprio orologio interno con gli orologi dello strato precedente o dello stesso strato.
Problemi di sicurezza del protocollo NTP
A differenza di quanto potrebbe sembrare, gli ingranaggi del Network time protocol non sono sincronizzati alla perfezione. L'età del protocollo, infatti, non rema a favore della sicurezza del sistema e diversi hacker hanno provato a sfruttare queste debolezze a loro vantaggio.
L'ultimo allarme sicurezza risale all'ottobre 2015, quando dei ricercatori della Boston University hanno messo in evidenza come il Network time protocol sia "sensibile" ad attacchi DDoS e man in the middle. Si tratta di problemi di sicurezza informatica tutt'altro che di poco conto: il protocollo NTP, come detto, riveste un ruolo fondamentale nel funzionamento di server di ogni genere, da quelli utilizzati per l'autenticazione su servizi web a quelli che gestiscono la Blockchain della criptomoneta Bitcoin. Un pirata informatico potrebbe sfruttare una delle falle di sicurezza del protocollo NTP per mandare in crash il sistema di controllo del server e prenderne il controllo nel giro di pochi minuti. Ciò vorrebbe dire mettere a rischio tutte le informazioni (incluse quelle personali) salvate negli hard disk del server.
Nel dicembre 2014, invece, ricercatori del Google security team hanno messo in evidenza come i problemi di sicurezza del protocollo NTP potrebbero essere sfruttati anche per prendere il controllo di server e altre macchine connesse alla Rete così da aggiungere la loro potenza di calcolo a botnet di grande estensione e potenza.
Come sfruttare problemi sicurezza protocollo NTP
Le falle di sicurezza del Network time protocol potrebbero essere sfruttate da qualunque malintenzionato sia per trafugare informazioni, sia per portare attacchi DDoS. Una volta preso possesso di un server addetto alla sincronizzazione temporale, infatti, gli hacker potrebbero utilizzarlo per "intercettare" e filtrare informazioni scambiate tra server e client. Dal momento che il Network time protocol riveste grande importanza nel processo di autenticazione online, un server appartenente a uno degli strati della gerarchia NTP potrebbe essere usato come "grimaldello" per attacchi man in the middle e per trafugare le credenziali di accesso a vari servizi web.
Sempre più spesso, invece, i server NTP compromessi sono utilizzati in attacchi DDoS: una volta che un hacker ne ha "preso possesso" sfruttando una falla di sicurezza, può utilizzarne la potenza di calcolo per reflection attack e mettere fuori uso altri server e altri servizi web.