Epochalypse Project

提高人们对 2038 年问题的各种表现形式的认识，并在还有时间的时候尝试修复问题。

• 阅读 FAQ
• 加入 forum
• 在 wiki 上贡献

加入邮件列表

The Epochalypse Project

32 位时间戳漏洞：我们数字时代的定时炸弹

在 2038-01-19 03:14:08 UTC，全球数百万个敏感的嵌入式和工业计算机系统将突然开始以不可预测的方式运行，除非我们现在采取协调一致的行动。更糟糕的是，由于不安全的 time protocols，攻击者无需等到 2038 年。 这不是科幻小说。这是一个真正的技术漏洞，影响着我们每天依赖的系统——从医院设备到电网，从银行系统到交通网络。这种漏洞存在于我们数字基础设施的基本架构中。

为什么你应该关注？

如果没有充分的准备，我们将面临广泛的中断，包括：

• 医院设备显示不正确的用药时间
• 银行系统无法处理付款
• 交通控制系统出现故障
• 电网不稳定导致停电
• 互联网服务中断
• 安全系统生成虚假警报

在我们互联互通的世界中，这些技术故障可能会产生连锁反应。关键系统故障可能危及生命、扰乱经济并损害基本服务。更糟糕的是，恶意威胁行为者可以在许多情况下操纵 time synchronization protocols，在他们选择的时间触发此漏洞。 鉴于许多网络对他们的 Network Time Protocol (NTP) 安全的关注程度很低，这尤其令人担忧。

了解 32 位时间戳漏洞

许多计算机系统使用 32 位带符号整数跟踪时间，该整数计算自 1970-01-01T00:00:00Z 以来的秒数（称为“Unix time”）。 这种方法存在数学限制：当此计数器在 2038-01-19 03:14:08 UTC 达到其最大值时，受影响的系统将回滚到负数，导致它们将日期解释为 1901-12-13T20:45:52Z。 此漏洞存在于：

• 运行关键基础设施的 Legacy 系统
• 工业环境中的嵌入式设备
• 互联网 of Things (IoT) 设备
• 交通和能源管理系统
• 医疗设备
• 金融交易处理器
• 电信基础设施
• 全球数百万个家庭和企业中的“智能”设备

规模是前所未有的

由于几个关键原因，32 位时间戳漏洞绝对比 Y2K 更严重：

1. 大规模：现在存在的漏洞系统数量是 Y2K 期间的数百倍。在过去的 30 年里，简单的控制器计算机已经嵌入到几乎所有移动或连接的事物中。
2. 嵌入式性质：与主要影响可以修补的可见软件的 Y2K 不同，今天的漏洞存在于无数无法轻松更新的嵌入式系统中。许多在物理上无法访问，埋在基础设施中或密封在硬件中。
3. 日益增加的依赖性：自 2000 年以来，我们的社会对数字基础设施的依赖性急剧增加。从医疗保健到交通运输的关键系统现在完全依赖准确的时间戳来进行基本操作。
4. 安全影响：当今系统的近乎普遍的连接意味着与时间相关的漏洞可以被远程利用。不安全的 time protocols 意味着攻击者可能会随意触发故障。
5. 可见性较低：许多易受攻击的系统在没有用户界面或监控功能的情况下运行，使得问题的检测比 Y2K 困难得多。

一个全球性的挑战

我们的数字基础设施类似于一个相互连接的生态系统。当各个组件同时出现故障时，整个系统都会变得脆弱。 即使只有 15-30% 的关键系统出现故障，我们也会在多个领域经历重大中断。 经济学家称之为“公地悲剧”加剧了这一挑战——责任是分散的，但没有哪个实体感到有责任解决共同的问题。组织通常假设：

• “我们的系统仅代表基础设施的一小部分”
• “其他利益相关者将解决关键组件”
• “更新 Legacy 系统提供的投资回报率最低”

最令人担忧的方面之一涉及安全基础设施。 当系统时钟突然向后跳动时，安全证书将在互联网的大部分区域失效，从而危及我们的数字安全框架。

时间有限，需要采取行动

距离关键日期还有大约 12 年的时间，我们必须优先考虑我们的响应。 我们的分析表明，我们无法及时更换或更新所有易受攻击的系统。 许多嵌入式设备根本无法更新。 但是，通过协调一致的行动，我们可以：

1. 识别并优先处理最关键的易受攻击的系统
2. 尽可能实施修复
3. 为无法更新的系统制定应急计划
4. 建立全球协调以管理过渡

我们是谁

The Epochalypse Project 由 Trey Darley（又名“treyka”）和 Pedro Umbelino（又名“kripthor”）创立，他们是两位在漏洞研究和关键基础设施保护方面拥有丰富经验的网络安全研究人员。 Trey Darley 从十几岁起就一直在 IT 行业工作，作为开发人员、系统管理员、网络工程师和网络安全专家，建立了一个多元化的职业生涯。 他的职业生涯包括为一家大型电影制作公司运营 IT、网络威胁情报的基础性工作以及在 COVID 年代在国家 CERT 中担任重要职务。 Trey 还在 FIRST.org 董事会任职，这让他走遍全球，与网络安全专业人士建立联系。 Trey 在 Y2K 解决后不久首次意识到 2038 年问题。 大约在 2016 年，他开始在技术会议的演讲中开玩笑地提到它，说“当然我们会在 2038 年到来之前修复所有这些安全漏洞。” 在 2023 年，他惊恐地意识到 2038 年现在比 2008 年的金融危机离我们更近。 Trey 在 FIRST.org 担任职务期间在全球旅行时，多次询问知识渊博的联系人，询问正在采取哪些措施来解决 2038 年问题。 他曾以为某个政府资助的技术小组正在解决这个问题，但发现似乎不存在这样的总体计划。 Pedro Umbelino 在 8 岁时开始了他的技术之旅，自学在 Spectrum 计算机上编写 BASIC 代码。 14 岁时，他在当地书店偶然遇到一本 Assembly language 书籍，激发了他使用 A86/D86 反编译计算机病毒。 Pedro 的职业生涯涉及系统管理员、开发人员和企业家的角色，但计算机安全始终是他的热情所在。 在过去的十年里，他专注于跨各个领域的安全研究，在此过程中发现了多个系统中的漏洞。 The Epochalypse Project 始于 2024 年，此前 Pedro 参加了 Trey 在 hack.lu 会议上的闪电演讲。 Pedro 刚刚发表了“为了娱乐和盈利而炸毁加油站”的演讲，强调了暴露的工业系统的危险，当时 Trey 关于迫在眉睫的 2038 年问题的消息震撼了他。 意识到 2038 年比开始准备时的 Y2K 更近，Pedro 在一个设备上进行了测试并发现了基本漏洞。 他立即联系了 Trey，他们决定一起启动这个项目。 这项举措是一项副业，其动力是他们对一个未受到足够重视的关键漏洞的共同关注。 正如 Trey 所说，“由于似乎没有人有总体计划，因此我们有责任组织并采取一些协调一致的行动。” 他们共同带来了在技术研究、漏洞评估和公众意识宣传活动方面的互补技能——应用从以前的全球技术挑战中吸取的经验教训，同时解决 32 位时间戳漏洞的独特方面。 The Epochalypse Project 建立在他们协调应对广泛漏洞的综合经验之上——应用从以前的全球技术挑战中吸取的经验教训，同时解决 32 位时间戳漏洞的独特方面。

The Epochalypse Project 的使命

我们正在建立一项协作的全球倡议，通过以下方式解决 32 位时间戳漏洞：

• 标准化的测试方法
• 系统漏洞的文档
• 补救策略的制定
• 跨部门和边界的知识共享

您的参与很重要——无论您是技术专家还是仅仅拥有智能手机的人。 您运行的每个测试都有助于我们绘制漏洞图，您分享的每个解决方案都可以保护无数系统。

为什么这需要紧急的全球关注

尽管已被证明比 Y2K 更严重，但 32 位时间戳漏洞并未受到足够的关注。自 1990 年代以来，技术行业就意识到了这个问题，但协调一致的补救工作仍然有限。 人们现在没有采取行动，这种情况必须立即改变。 解决此漏洞的延迟不仅令人担忧，而且可能具有灾难性。 您可以成为解决方案的一部分。 以下各节概述了不同角色的人员如何为这项关键工作做出贡献。

您如何提供帮助

测试安全指南

重要提示：在测试 32 位时间戳漏洞时，请遵循以下安全预防措施：

• 仅测试您拥有或明确允许测试的系统
• 切勿测试生产系统或关键基础设施
• 在测试之前备份所有重要数据
• 物理隔离具有修改日期的系统
• 防止测试时间信号影响其他系统
• 测试后将系统恢复到正确的日期
• 记录所有观察结果，即使是看似微不足道的观察结果

对于公众

即使没有技术专业知识，您也可以做出有价值的贡献：

• 通过将其日期更改为 2038-01-19 03:14:08 UTC（32 位时间戳漏洞的“零时”），测试您的个人智能设备
• 记录您观察到的任何错误或异常行为
• 测试智能电视、健身追踪器和家庭安全系统等设备
• 在您经常使用的网站中输入 2038 年以后的日期
• 在购买时询问技术公司有关其 32 位时间戳漏洞准备情况的信息
• 提高朋友、家人和代表的意识
• 在 我们的论坛 上加入我们的社区讨论
• 订阅我们的 邮件列表 以获取更新

对于行业专业人士

制造商

• 使用设置为 2038-01-19 03:14:08 UTC 及以后的系统时间测试产品
• 记录所有错误、崩溃或异常行为
• 创建到期日期为 2038 年以后的测试证书
• 更新安全要求以包括时间戳翻转缓解
• 测试数据库系统是否正确处理 2038 年后的日期
• 将时间戳测试纳入漏洞管理
• 为受影响的产品开发固件/软件更新
• 在产品文档中包含 32 位时间戳漏洞合规性

进口商和分销商

• 验证制造商是否已测试产品是否符合 32 位时间戳漏洞
• 向供应商索取合规性文档
• 对进口产品进行抽样测试
• 测试产品如何处理具有 2038 年后到期日期的证书
• 维护测试产品的记录
• 向制造商报告漏洞
• 创建客户意识材料

授权代表

• 协调制造商和当局之间的测试工作
• 维护全面的文档
• 帮助制造商了解长期支持要求
• 确保技术文档解决 32 位时间戳漏洞
• 促进有关已发现漏洞的信息共享
• 将制造商与测试资源联系起来

对于政府和公共部门

• 为关键基础设施运营商制定指导文件
• 创建要求符合 32 位时间戳漏洞的监管框架
• 建立漏洞报告机制
• 协调跨境模拟演习
• 评估对基本服务的国家级风险
• 制定特定行业的指南
• 为缓解解决方案分配研究资金
• 举办多方利益相关者研讨会
• 更新技术标准
• 创建验证针对 32 位时间戳漏洞的保护的认证计划
• 开展公众意识宣传活动
• 建立应急响应协议

对于技术专业人士

网络安全研究人员

• 分析固件以识别漏洞模式
• 反向工程时间处理协议
• 创建专用测试工具
• 开发安全的演示概念验证
• 绘制与时间相关的攻击面
• 审计代码中的 time_t 依赖项
• 通过负责任的披露分享发现

事件响应者

• 为与时间相关的故障开发响应剧本
• 创建取证分析工具
• 设计用于级联故障的包含策略
• 针对 32 位时间戳漏洞场景测试恢复程序
• 设计模拟演习
• 记录时间异常期间的系统行为模式
• 培训团队识别与时间相关的故障

软件开发人员

• 审计代码库中的 32 位 time_t 用法
• 升级到 64 位时间实现
• 检查代码中是否有硬编码时间假设
• 创建特定于时间的单元测试
• 重构算法以优雅地处理翻转
• 开发时间模拟库
• 检查数据库模式是否存在时间限制
• 实施错误检测和恢复机制

QA 专业人员

• 为与时间相关的函数开发测试套件
• 创建用于时间操作测试的框架
• 设计用于日期处理的边缘情况
• 为漏洞修复构建回归测试套件
• 创建虚拟化测试环境
• 记录时间测试方法
• 设计涵盖时区和 DST 场景的测试矩阵

加入我们的全球响应团队

The Epochalypse Project 是 32 位时间戳漏洞测试、报告和补救的中心协调点。 提交给我们平台的所有发现都与全球社区共享，以加速解决方案的开发。 通过我们的 [报告门户] 提交您的发现、测试方法和补救策略。 通过跨部门和边界共同努力，我们可以将这种潜在的数字灾难转化为人类远见和合作的证明。 让我们共同保障我们的数字未来。