Эксперты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), предупредили, что в грядущие выходные устройства GPS могут столкнуться с проблемами. Все дело во временной ошибке, влияющей на серверы Network Time Protocol (NTP) с GPS Daemon (GPSD) на борту.
В CISA говорят, что ошибка проявит себя в воскресенье, 24 октября 2021 года, и ее последствия непредсказуемы. Возможно, многие системы попросту перестанут отвечать на запросы или станут недоступны. Дело в том, что 24 октября 2021 года все серверы Network Time Protocol (NTP), использующие GPSD версий с 3.20 по 3.22, вернутся на 1024 недели назад, на 3 марта 2002 года.
CURRENT ACTIVIY: On October 24, 2021, Network Time Protocol servers using bugged GPSD versions 3.20-3.22 may rollback the date 1,024 weeks—to March 2002—which may cause systems and services to become unavailable or unresponsive. Learn more: https://t.co/hlpdQviDJm pic.twitter.com/rlZMu1QGoj
— Cybersecurity and Infrastructure Security Agency (@CISAgov) October 22, 2021
«Network Time Protocol (NTP) имеет решающее значение для обеспечения точного учета времени в различных системах, на которые полагаются предприятия и организации. Механизмы аутентификации, такие как одноразовый пароль на основе времени (Time-based One-Time Password, TOTP) и Kerberos, также сильно зависят от времени. В случае серьезного несоответствия во времени пользователи не смогут пройти аутентификацию и получить доступ к системам», — гласит описание SANS ISC.
Сообщается, что уязвимые версии GPSD были выпущены в период с 31 декабря 2019 года по 8 января 2021 года, поэтому многие уязвимые GPS-девайсы используются и в настоящее время. Баг чем-то похож на знаменитую «проблему 2000 года», она же Y2k, и пока никто не может точно сказать, с какими именно сбоями столкнутся проблемные девайсы.
CISA призывает владельцев и операторов устройство срочно обновить GPSD до версии 3.23, выпущенной 8 августа 2021 года, или более новой, чтобы избежать возможных проблем.
Bleeping Computer рассказывает, что GPSD — широко используемый сервисный демон, который преобразует данные о времени в полезную информацию для клиентских приложений, таких как навигаторы и решения для хронометрии. Это кроссплатформенное ПО с открытым исходным кодом, доступное для Linux, Unix, macOS и Android, широко применяется в компьютерах, телефонах, автомобилях, роботах, системах проверки транзакций и так далее.
Точное хронометрирование крайне важно для устройств GPS, а для отслеживания в реальном времени и вовсе требуется точности не менее 100 наносекунд. Спутники GPS отсчитывают время в неделях и секундах в течение активной недели.
Каждые 1024 недели (около 20 лет) в системе происходит феномен number rollover, возникающий из-за целочисленного переполнения, и в результате внутреннее значение счетчика недель обнуляется. Эта внутренняя проблема в конечном итоге была решена с помощью дополнительного кода, призванного помочь устройству предвидеть это событие.
В последний раз подобное произошло 6 апреля 2019 года, и тогда из-за бага были отменены рейсы, произошли сбои беспроводных сетей и возникли технические проблемы на старых смартфонах. Издание отмечает, что хотя это и не имеет отношения к свежей ошибке GPSD, зато помогает представить, какое влияние резкие временные сдвиги такого рода могут оказать на глобальные системы позиционирования.
Подобное совсем не обязательно случится в грядущие выходные, однако специалисты настоятельно рекомендуют не рисковать, установить обновления, а в противном случае быть готовым к сюрпризам.
