Viele Standardprozeduren bei Sicherheitsaudits bzw. externen Tests von Webapplikationen bemängeln die Verwendung von TCP Timestamps bzw. empfehlen deren Abschaltung. Aus unserer Sicht besteht auf modernen Systemen kein Grund TCP Timestamps zu deaktivieren. Die Verwendung von TCP Timestamps selbst stellt keine ausnutzbare Sicherheitslücke dar. Die tcp_timestamps Variable weist den Kernel an Timestamps nach RFC 1323 zu benutzen. Das wird zur präzisen Ermittlung von RTTs in breitbandigen Verbindungen mit geringer Latenz verwendet, da dieses Verfahren genauer ist, als die Ermittlung der RTTs per Retransmission Timeout Methode.
Das Argument der Auditoren ist hier, das sich die Uptime des Systems ermitteln lässt. Früher konnte man anhand der Uptime und des OS Fingerprints schätzen, welchen Patchlevel das System bzw. der Kernel hat und ggf. gezielter nach ausnutzbaren Sicherheitslücken suchen. Im Zeitalter virtualisierter Infrastrukturen und der Möglichkeit des Kernel-Live-Patching (kpatch/ksplice) lassen sich anhand der Uptime keinerlei verlässliche Rückschlüsse auf den Softwarestand des Systems schließen. Siehe auch http://rhelblog.redhat.com/2014/02/26/kpatch/.
