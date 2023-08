Objavljeno: 18.8.2023 13:00

Microsoftovi strežniki lahko sami pokvarijo točen čas – izklopite to možnost!

Na strežnikih, ki jih poganja Windows, teče malo znani Microsoftov servis, ki lahko v nekaterih primerih sam od sebe prestavi sistemski čas daleč v preteklosti ali prihodnost. Imenuje se Secure Time Seeding in ga je najbolje izključiti, preden povzroči veliko težav.

Natančen čas je namreč ključnega pomena, saj je od njega odvisnih precej storitev in programov, od varnostnega kopiranja do kompleksnih obdelav v bazah. Microsoft se je domislil nenavadnega načina, kako zagotavljati točen čas, če se sistem ne more varno povezati v internet do strežnikov NPT. Iznašli so zapleten algoritem – ki ni javen – s katerim se iz pogovarjanja z drugimi strežniki prek SSL izračuna čas. In to gre lahko zelo narobe.

Zakaj se napaka zgodi, še ni povsem jasno. Ni pogosta, je pa ravno dovolj frekventna, da je moteča. V nekaterih primerih se sistemski čas prestavi za mesece vnaprej, drugič za tedne nazaj in podobno. Znano je, da OpenSSL v polje ServerUnixTime, ki ga preverja Microsoft, piše naključne vrednosti. To je vedel tudi Microsoft in upošteval, saj se napaka ne zgodi vsakokrat, ko pokličemo kak strežnik prek OpenSSL. Prav tako je Microsoft upošteval dejstvo, da se sistemska ura ponastavi šele, ko je sistem po več rokovanjih prek SSL prepričan, da je dobro izračunal točen čas.

Zato nihče ne ve, kje je tisti hrošč, zaradi katerega varovalke občasno zatajijo. A dejstvo je, da se to zgodi, in po možnosti ob najbolj neprimernem času. Zato je resnično priporočljivo, da Secure Time Seeding izključimo. Navodila obsegajo spremembo zgolj enega ključa v registru.

ArsTechnica