Ali je UPnP varnostno tveganje?
UPnP je privzeto omogočen na številnih novih usmerjevalnikih. V nekem trenutku so FBI in drugi varnostni strokovnjaki priporočili, da se iz varnostnih razlogov onemogoči UPnP. Kako varna je danes UPnP? Ali uporabljamo UPnP??
UPnP pomeni "Universal Plug and Play". Z UPnP lahko aplikacija samodejno posreduje vrata na usmerjevalniku in vam ročno prihrani težave pri posredovanju vrat. Obravnavali bomo razloge, zaradi katerih ljudje priporočajo onemogočanje UPnP, da bomo lahko dobili jasno sliko o varnostnih tveganjih.
Zasluge za slike: comedy_nose na Flickru
Malware na vašem omrežju lahko uporablja UPnP
Virus, trojanski konj, črv ali drug zlonamerni program, ki uspe okužiti računalnik v vašem lokalnem omrežju, lahko uporablja UPnP, tako kot lahko zakoniti programi. Medtem ko usmerjevalnik običajno blokira dohodne povezave, preprečuje nekaj zlonamernega dostopa, lahko UPnP zlonamernemu programu v celoti prepreči požarni zid. Trojanski konj lahko na primer v računalnik namesti program za oddaljeni nadzor in v požarnem zidu usmerjevalnika odpre luknjo, ki omogoča 24/7 dostop do računalnika z interneta. Če je bil UPnP onemogočen, program ni mogel odpreti vrat - čeprav bi lahko premostil požarni zid na druge načine in telefoniral domov.
Je to problem? Da. O tem se ne premika - UPnP domneva, da so lokalni programi zaupanja vredni in jim omogočajo, da posredujejo pristanišča. Če vam zlonamerna programska oprema ne more posredovati vrat, boste morali onemogočiti UPnP.
FBI je rekel ljudem, da onemogočijo UPnP
Konec leta 2001 je FBI-jev nacionalni center za zaščito infrastrukture vsem uporabnikom svetoval, da onemogočijo UPnP zaradi prekoračitve vmesnega pomnilnika v operacijskem sistemu Windows XP. To napako je popravil varnostni popravek. NIPC je dejansko izdal popravek za ta nasvet kasneje, potem ko so spoznali, da problem ni v samem UPnP. (Vir)
Je to problem? Ne. Medtem ko se nekateri ljudje spomnijo svetovanja NIPC in imajo negativno mnenje o UPnP, je bil ta nasvet v tem času napačen in specifični problem je bil določen s popravkom za Windows XP pred več kot desetimi leti.
Zasluge za sliko: Carsten Lorentzen na Flickru
Napad Flash UPnP
UPnP od uporabnika ne zahteva nobene avtentikacije. Vsaka aplikacija, ki se izvaja v računalniku, lahko od usmerjevalnika zahteva, da posreduje vrata prek UPnP, zaradi česar lahko zgornja programska oprema zlorabi UPnP. Morda boste domnevali, da ste varni, dokler se na lokalni napravi ne izvaja nobena zlonamerna programska oprema, vendar ste verjetno narobe.
Flash UPnP Attack je bil odkrit leta 2008. Posebej izdelan aplet Flash, ki teče na spletni strani v vašem spletnem brskalniku, lahko pošlje vaš UPnP zahtevo na vaš usmerjevalnik in ga prosi, da posreduje vrata. Na primer, programček lahko od usmerjevalnika zahteva, da na računalnik posreduje vrata 1-65535 in jih dejansko razkrije celotnemu internetu. Vendar pa mora napadalec izkoristiti ranljivost v omrežni storitvi, ki se izvaja na vašem računalniku, čeprav - z uporabo požarnega zidu v računalniku boste zaščitili.
Na žalost se poslabša - na nekaterih usmerjevalnikih lahko aplet Flash spremeni primarni strežnik DNS z zahtevo UPnP. Port forwarding bi bilo najmanj vaših skrbi - zlonamerni DNS strežnik bi lahko preusmeril promet na druge spletne strani. Na primer, Facebook.com lahko na primer naslovi na drug naslov IP - naslovna vrstica vašega spletnega brskalnika bi rekel Facebook.com, vendar bi uporabljali spletno mesto, ki ga je vzpostavila zlonamerna organizacija..
Je to problem? Da. Ne morem najti nobenih znakov, da je bila to kdaj popravljena. Tudi če bi bilo popravljeno (to bi bilo težko, saj je to problem s samim protokolom UPnP), bi bilo veliko starejših usmerjevalnikov, ki so še v uporabi, ranljivi..
Slaba UPnP-izvedba na usmerjevalnikih
Spletna stran UPnP Hacks vsebuje podroben seznam varnostnih vprašanj na način, kako različni usmerjevalniki izvajajo UPnP. To ni nujno problem z UPnP samim; pogosto so težave z implementacijami UPnP. Na primer, številne UPnP izvedbe usmerjevalnikov ne preverijo pravilnega vnosa. Zlonamerna aplikacija lahko od usmerjevalnika zahteva, da omrežje preusmeri na oddaljene naslove IP na internetu (namesto na lokalne naslove IP), usmerjevalnik pa mora ustrezati. Na nekaterih usmerjevalnikih, ki temeljijo na Linuxu, je mogoče UPnP izkoristiti za izvajanje ukazov na usmerjevalniku. (Vir) Spletno mesto navaja številne druge takšne težave.
Je to problem? Da! Milijoni usmerjevalnikov v naravi so ranljivi. Mnogi proizvajalci usmerjevalnikov niso dobro opravili varovanja svojih UPnP implementacij.
Zasluge za sliko: Ben Mason na Flickru
Če ste onemogočili UPnP?
Ko sem začel pisati ta post, sem pričakoval, da bom ugotovil, da so bile napake UPnP precej majhne, preprosta stvar trgovanja z malo varnosti za nekaj udobja. Na žalost pa se zdi, da ima UPnP veliko težav. Če ne uporabljate aplikacij, ki potrebujejo posredovanje vrat, kot so aplikacije peer-to-peer, strežniki iger in številni programi VoIP, boste morda bolje, da v celoti onemogočite UPnP. Težki uporabniki teh aplikacij bodo želeli razmisliti, ali so pripravljeni odreči nekaj varnosti za udobje. Vrata lahko še naprej posredujete brez UPnP; samo malo več dela. Oglejte si naš vodič za posredovanje pristanišč.
Po drugi strani pa se te napake usmerjevalnika ne uporabljajo aktivno v divjini, tako da je dejanska možnost, da boste naleteli na zlonamerno programsko opremo, ki izkorišča napake pri implementaciji UPnP vašega usmerjevalnika, dokaj nizka. Nekatera zlonamerna programska oprema uporablja UPnP za posredovanje pristanišč (na primer črva Conficker), vendar nisem naletel na primer malwarea, ki bi izkoriščal te napake usmerjevalnika..
Kako ga onemogočim? Če usmerjevalnik podpira UPnP, boste našli možnost, da ga onemogočite v svojem spletnem vmesniku. Za več informacij si oglejte priročnik vašega usmerjevalnika.
Ali se ne strinjate z varnostjo UPnP? Pustite komentar!