.
Alguns meses atrás, um engenheiro em um data center na Noruega encontrou alguns erros desconcertantes que fizeram com que um servidor Windows reiniciasse repentinamente o relógio do sistema para 55 dias no futuro. O engenheiro contava com o servidor para manter uma tabela de roteamento que rastreava os números de telefone celular em tempo real enquanto eles eram movidos de uma operadora para outra. Um salto de oito semanas teve consequências terríveis porque fez com que os números que ainda não haviam sido transferidos fossem listados como já movidos e os números que já haviam sido transferidos fossem relatados como pendentes.
“Com essas tabelas de roteamento atualizadas, muitas pessoas não conseguiram fazer chamadas, pois não tínhamos um estado correto!” o engenheiro, que pediu para ser identificado apenas pelo primeiro nome, Simen, escreveu em um e-mail. “Encaminharíamos as chamadas recebidas e efetuadas para as operadoras erradas! Isso significava, por exemplo, que as crianças não podiam alcançar seus pais e vice-versa”.
Uma questão de parar o show
Simen experimentou um erro semelhante em agosto passado, quando uma máquina executando o Windows Server 2019 redefiniu seu relógio para janeiro de 2023 e, em seguida, voltou atrás pouco tempo depois. A solução de problemas da causa dessa reinicialização misteriosa foi dificultada porque os engenheiros não a descobriram até que os logs de eventos fossem limpos. O salto mais recente de 55 dias, em uma máquina executando o Windows Server 2016, o levou a procurar mais uma vez por uma causa e, desta vez, ele a encontrou.
O culpado era um recurso pouco conhecido no Windows, conhecido como Secure Time Seeding. A Microsoft introduziu o recurso de cronometragem em 2016 como uma forma de garantir que os relógios do sistema fossem precisos. Os sistemas Windows com relógios configurados para a hora errada podem causar erros desastrosos quando não conseguem analisar corretamente os carimbos de data/hora em certificados digitais ou executam trabalhos muito cedo, muito tarde ou fora da ordem prescrita. O Secure Time Seeding, disse a Microsoft, era uma proteção contra falhas nos dispositivos on-board movidos a bateria, projetados para manter a hora exata mesmo quando a máquina está desligada.
“Você pode perguntar – por que o dispositivo não pergunta ao servidor de horário mais próximo a hora atual pela rede?” Os engenheiros da Microsoft escreveram. “Como o dispositivo não está em condições de se comunicar com segurança pela rede, ele também não pode obter tempo com segurança pela rede, a menos que você opte por ignorar a segurança da rede ou pelo menos fazer alguns furos fazendo exceções.”
Para evitar fazer exceções de segurança, Secure Time Seeding define o tempo com base nos dados dentro de um handshake SSL que a máquina faz com servidores remotos. Esses handshakes ocorrem sempre que dois dispositivos se conectam usando o protocolo Secure Sockets Layer, o mecanismo que fornece sessões HTTPS criptografadas (também conhecido como Transport Layer Security). Como o Secure Time Seeding (abreviado como STS no restante deste artigo) usava certificados SSL que o Windows já armazenava localmente, ele poderia garantir que a máquina estivesse conectada com segurança ao servidor remoto. O mecanismo, escreveram os engenheiros da Microsoft, “nos ajudou a quebrar a dependência cíclica entre o tempo do sistema do cliente e as chaves de segurança, incluindo certificados SSL”.
Simen não foi a única pessoa a encontrar flutuações selvagens e espontâneas nos relógios do sistema Windows usados em ambientes de missão crítica. Em algum momento do ano passado, um engenheiro separado chamado Ken começou a ver desvios de tempo semelhantes. Eles eram limitados a dois ou três servidores e ocorriam a cada poucos meses. Às vezes, os tempos do relógio saltavam em questão de semanas. Outras vezes, os tempos mudaram para o ano de 2159.
“Cresceu exponencialmente para que mais e mais servidores sejam afetados por isso”, escreveu Ken em um e-mail. “No total, temos cerca de 20 servidores (VMs) que passaram por isso, em 5.000. Portanto, não é uma quantia enorme, mas é considerável, especialmente considerando o dano que isso causa. Geralmente acontece com servidores de banco de dados. Quando um servidor de banco de dados salta no tempo, ele causa estragos e o backup também não será executado, desde que o servidor tenha um deslocamento tão grande no tempo. Para nossos clientes, isso é crucial.”
Simen e Ken, que pediram para serem identificados apenas pelo primeiro nome porque não foram autorizados por seus empregadores a falar oficialmente, logo descobriram que engenheiros e administradores relatavam as mesmas redefinições de horário desde 2016.
.
