У вас есть куча вопросов, упало туда.

Я думаю, нет::ERR_CERT_DATE_INVALID означает, что сертификат HTTPS не является допустимым.

Да.

Вот это верняк для help.ubuntu.com`:

Вы'заметите, что он действителен С и действителен до даты, если вы пытаетесь получить доступ к сайту защищен этот сертификат вне этих дат, Ваш браузер будет ругаться. Причина сертификатов бессрочная (среди прочих причин), чтобы заставить вебмастеров постоянно получаю новые сертификаты с использованием новейших криптографических и других новых функций безопасности в сертификатах.

Когда ваш браузер пытается решить, если он доверяет сертификату, он использует системные часы в качестве единственного источника истины по времени. Конечно, это'будете пытаться использовать NTP, но если ты (пользователь admin) явно сказал, что NTP-серверы не правы, ну, вы'вэ босс.

если злоумышленник может произвольно менять системное время, какие виды атак позволяет это?

Позвольте'ы считают персональных компьютеров и серверов по отдельности. Я не'т-нибудь здесь, просто с верхней части моей головы.

Персоналки#

• Люди часто играют в игры с их системных часов, чтобы обойти "и 30-дневную пробную версию" и типа вещи. Если вы'вновь в компании, программное обеспечение которых незаконно использован таким способом, то ты считал бы это проблемой безопасности.
• Поддельные сайты. Это'ы гораздо легче рубить старые сертификаты с истекшим сроком действия ... может быть раньше 10 лет крипто, который легко взламывается, или, может быть, сервер был взломан 6 лет назад, но КАС не'т отслеживать отзыва информация так долго (идея кредит: @immibis' ответить). Если злоумышленник сможет изменить ваши системные часы, то вы выиграли'т см. предупреждения.

Сервера ##

• Лесозаготовки. При расследовании нарушения безопасности, если на серверах' часы не синхронизированы, это может быть очень трудно собрать все журналы, чтобы выяснить, что именно произошло и в каком порядке.
• Логинов. Такие вещи, как проверки подлинности OTP 2 фактора обычно связаны со временем. Если на одном сервере'ы часы за другом сервере, то вы могли бы посмотреть на кого-то ввести одноразовый код, потом его на сервере, что'ы сзади, потому что код выиграл'т уже истек.

Одна из причин заключается в том, что отзыв сертификата записи не сохраняются после истечения срока действия сертификата.

Предположим, я украл в Google'сертификат S 10 лет назад. Google сразу же заметил и отозвал свой сертификат. Поскольку сертификат истек, то в последние 10 лет, запись отзыва был удален. Если я поставил свои часы 10 лет назад, когда он был в силе, я могу выдать себя за Google и браузере выиграл'т заметил, потому что он выиграл'т знаю, что это было отменено.

Ваш вопрос обширный, но если злоумышленник может изменять локальные системные часы, то они могут яд бревна из своей деятельности. Таким образом, они могут скрывать свои действия, чтобы появиться, чтобы произошли когда-то в прошлом (а может за окном что админы ищут занятие) или совпадать с другими пользователями'ы деятельность.

Например, если вы сломать в системе в середине ночи, вы можете установить часы, чтобы быть в полдень предыдущего дня, вашей активности, затем установите часы назад. Кто проверять журналы предположим, что обычный пользователь сделал действие (или не видят его вообще, среди нормальных пользователей'ы деятельности).

Поэтому настраивать часы должны быть синхронизированы с авторитетного внешнего источника важна. То, что все журналы из всех источников может быть правильно соотнесены.

если злоумышленник может произвольно изменить системное время, какие виды атак позволяет это?

За сертификаты...

Плохо раздал Рнгс

Они могут быть в состоянии использовать плохо сеяные генератор случайных чисел. Через "время" в качестве затравки бывало много лучше, интерфейсы случайных чисел понял ваш средний программист может'т быть надежными, чтобы обеспечить хорошее семя. Злоумышленник может воспользоваться этим, установив системное время в тот момент, когда генератор случайных чисел выдает их желаемого результата.

Конечно, злоумышленник может сохранить себя много мороки, просто ждет нужное время.

Идентификаторы UUID

UUIDv1 и V2 оба зависят от MAC-адресов и времени. MAC-адрес может быть обнаружен. Будучи в состоянии установить время означает, что теперь они могут контролировать, какие идентификаторы UUID присваивается следующий. Например, они могут быть в состоянии дублировать UUID в учетную запись администратора для себя. Конечно, UUIDv1 и V2 не должны быть безопасной, они'вэ просто должен быть уникальный. Если вы хотите безопасно и уникально используется UUIDv4, но там'с большим количеством программного обеспечения, которое использует UUIDv1 и V2 ненадо.

Периодические задания

Многие системы имеют критические процессы, которые периодически работать в определенные дни и время. Злоумышленник может связываться со время, чтобы манипулировать этим.

Многие системы обслуживания, которые возникают в определенное время. Злоумышленник может постоянно сбрасывается время остаются в этом окне и сохранить систему для обслуживания.

Если есть ресурсоемкий процесс, который происходит периодически, они могут связываться с такой, что несколько из этих процессов выполняются одновременно. Если система не ограничивает количество одновременных процессов это может перегружать систему.

Или вы можете пойти другим путем и постоянно сбрасывается время, чтобы не допустить критической процесс технического обслуживания работы.

Барбосов

Система может иметь процессы, Watchdog, которая ищет слишком много или слишком мало действий происходит в окно времени. Сторож может взять автоматическое поддержание действия, такие как перезагрузка машины или остановка служб. Злоумышленник может манипулировать временем, чтобы казалось, как если ставка слишком высокой или слишком низкой срабатывания сторожевого таймера и заставляя его остановить работающую систему.

Было бы две возможные ситуации, когда компьютер, который думает, что год-2038 пытается подключиться к внешнему миру, и все во внешнем мире говорит, что это 2018:

1. Компьютер'ы часы идут неправильно.

2. Год на самом деле 2038, и все то, что кажется внешним миром будет подделать, используя сертификаты с 2018 года, что были трещины в 20 лет.

Хотя атаки, что форма будет достаточно тяжело снять, что первый вариант на практике, намного более вероятно, защищая от второй потребует подтверждение того, что компьютер'ы часы на самом деле это неправильно.

Если вы работаете в домене один контроллер, или часть его'сетевые ы, разница во времени всего пять или несколько минут могут иметь решающее значение: отклонения Kerberos времени

Я когда-то имел дело с неудачной СБС для Windows Server 2008 и должен был найти способ, чтобы получить в систему, чтобы прочитать журнал событий.

Оказалось, что скачок напряжения имел сброса часы CMOS BIOS на контроллере домена, в момент проектирования системы, несколько лет назад. В результате чего билеты Kerberos не может быть выдан.

Kerberos билеты действительны в течение всего нескольких минут.

Другой (немного запутанно) пример атаки на компьютер с отставанием системного времени отбывает устаревших записей DNS из зоны, охраняемой с помощью DNSSEC.

Например, если клиент просил www.example.com адрес, злоумышленник может ответить со ссылкой на его собственный DNS-сервер и (истек срок действия) документ, подтверждающий отсутствие ДС рекорд example.com с того времени, когда example.com еще не был подписан, и впоследствии служить поддельных DNS-записей для чего-либо в example.com зоны.

Многие программы, особенно те, которые работают в кластере, синхронизация времени очень важна. Так что если кто-то заморочки со временем, тогда программа работает на этой системе будет вызвать много проблем, особенно с синхронизацией. В конечном счете это позволит рассчитывать, как влияет службы.

Можно считать, притворяется и не имея компьютер часы всегда синхронизируются есть свои преимущества и недостатки. Очевидно, это те, что уже указал. Одним из преимуществ веб-сайты не будут знать ваш настоящий день, хотя это будет более входить в частной жизни, чем безопасности как таковой, как правило конфиденциальности является частью безопасности.

Я не'т знаем многое о NTP перечисление, но его использовали в пантестин так что'ы фактор учитывать для обеспечения безопасности.

"в протокол сетевого времени-это протокол для синхронизации времени через В вашей сети, это особенно важно при использовании каталога услуги. Существует ряд серверов времени по всему миру что можно использовать для поддержания систем синхронизированы друг с другом. НТП использует UDP-порт 123. Путем перечисления НТП вы можете собрать такую информацию как списки хостов, подключенных к NTP-сервера, IP-адреса, система имен, > и Осс запущена на клиентской системе в сети. Все это информация могут быть перечислены путем запроса NTP-сервером.&и" источник: "и https://www.greycampus.com/opencampus/ethical-hacking/ntp-enumeration"