Je UPnP varnostno tveganje?

UPnP je privzeto omogočen na številnih novih usmerjevalnikih. V nekem trenutku so FBI in drugi varnostni strokovnjaki priporočili onemogočanje UPnP iz varnostnih razlogov. Toda kako varen je danes UPnP? Ali trgujemo z varnostjo za udobje pri uporabi UPnP?

UPnP je kratica za "Universal Plug and Play." Z uporabo UPnP lahko aplikacija samodejno posreduje vrata na vašem usmerjevalniku in vam prihrani težave pri ročnem posredovanju vrat. Ogledali si bomo razloge, zaradi katerih ljudje priporočajo onemogočanje UPnP, da bomo lahko dobili jasno sliko varnostnih tveganj.

Zasluge za slike: comedy_nose na Flickr

Zlonamerna programska oprema v vašem omrežju lahko uporablja UPnP

Virus, trojanski konj, črv ali drug zlonamerni program, ki uspe okužiti računalnik v vašem lokalnem omrežju, lahko uporablja UPnP, tako kot zakoniti programi. Medtem ko usmerjevalnik običajno blokira dohodne povezave in preprečuje zlonamerni dostop, lahko UPnP dovoli, da zlonamerni program v celoti obide požarni zid. Trojanski konj bi lahko na primer v računalnik namestil program za daljinsko upravljanje in zanj odprl luknjo v požarnem zidu usmerjevalnika, kar omogoča 24-urni dostop do interneta do računalnika. Če bi bil onemogočen UPnP, program ne bi mogel odpreti vrat - čeprav bi lahko požarni zid obšel na druge načine in poklical domov.

Je to problem? Da. Tega ni mogoče obiti - UPnP domneva, da so lokalni programi zaupanja vredni in jim omogoča, da posredujejo vrata. Če je zlonamerna programska oprema, ki ne more posredovati vrat, za vas pomembna, boste želeli onemogočiti UPnP.

FBI je ljudem rekel, naj onemogočijo UPnP

Konec leta 2001 je FBI-jev Nacionalni center za zaščito infrastrukture vsem uporabnikom svetoval, naj onemogočijo UPnP zaradi prelivanja medpomnilnika v sistemu Windows XP. To napako je odpravil varnostni popravek. NIPC je za ta nasvet dejansko izdal popravek pozneje, potem ko so ugotovili, da težava ni v samem UPnP. (Vir)

Je to problem? Ne. Čeprav se nekateri morda spomnijo nasvetov NIPC in imajo negativni pogled na UPnP, je bil ta nasvet takrat zgrešen in določeno težavo je pred več kot desetimi leti odpravil popravek za Windows XP.

Avtor slike: Carsten Lorentzen na Flickr

Napad Flash UPnP

UPnP od uporabnika ne zahteva nobenega preverjanja pristnosti. Vsaka aplikacija, ki se izvaja v vašem računalniku, lahko od usmerjevalnika zahteva, da posreduje vrata prek UPnP, zato lahko zlonamerna programska oprema zlorablja UPnP. Lahko domnevate, da ste na varnem, dokler se v nobeni lokalni napravi ne izvaja nobena zlonamerna programska oprema - vendar se verjetno motite.

Flash UPnP Attack je bil odkrit leta 2008. Posebej izdelan programček Flash, ki se izvaja na spletni strani v vašem spletnem brskalniku, lahko vašemu usmerjevalniku pošlje zahtevo UPnP in od njega zahteva, da posreduje vrata. Applet lahko na primer od usmerjevalnika zahteva, da vrata 1-65535 posreduje vašemu računalniku in ga tako učinkovito izpostavi celotnemu internetu. Po tem bi moral napadalec izkoristiti ranljivost v omrežni storitvi, ki se izvaja v vašem računalniku, vendar vas bo zaščita pomagala z uporabo požarnega zidu v računalniku.

Na žalost se poslabša - na nekaterih usmerjevalnikih lahko programček Flash spremeni primarni strežnik DNS z zahtevo UPnP. Posredovanje vrat bi vas najmanj skrbelo - zlonamerni strežnik DNS bi lahko preusmeril promet na druga spletna mesta. Facebook.com bi na primer lahko v celoti usmeril na drug naslov IP - v naslovni vrstici spletnega brskalnika bi pisalo Facebook.com, vendar bi uporabljali spletno mesto, ki ga je ustanovila zlonamerna organizacija.

Je to problem? Da. Ne najdem nobenih znakov, da je bilo to kdaj popravljeno. Tudi če bi bil odpravljen (to bi bilo težko, saj je to težava s samim protokolom UPnP), bi bili številni starejši usmerjevalniki, ki so še vedno v uporabi, ranljivi.

Slabe izvedbe UPnP na usmerjevalnikih

Spletno mesto UPnP Hacks vsebuje podroben seznam varnostnih težav na načine, kako različni usmerjevalniki izvajajo UPnP. To niso nujno težave s samim UPnP; pogosto imajo težave z izvedbami UPnP. Na primer, izvedbe UPnP številnih usmerjevalnikov ne preverjajo pravilno vnosa. Zlonamerna aplikacija lahko od usmerjevalnika zahteva, da preusmeri omrežni promet na oddaljene naslove IP v internetu (namesto na lokalne naslove IP) in usmerjevalnik bo to izpolnil. Na nekaterih usmerjevalnikih, ki temeljijo na Linuxu, je mogoče uporabiti UPnP za zagon ukazov na usmerjevalniku. (Vir) Spletno mesto našteva številne druge tovrstne težave.

Je to problem? Ja! Milijoni usmerjevalnikov v naravi so ranljivi. Številni proizvajalci usmerjevalnikov niso dobro opravili zaščite svojih izvedb UPnP.

Zasluga za sliko: Ben Mason na Flickr

Bi morali onemogočiti UPnP?

Ko sem začel pisati to objavo, sem pričakoval, da so napake UPnP-ja dokaj majhne, ​​kar je preprosta stvar, da se zaradi nekaj udobja zamenja malo varnosti. Žal se zdi, da ima UPnP veliko težav. Če ne uporabljate aplikacij, ki potrebujejo posredovanje vrat, kot so peer-to-peer aplikacije, igralni strežniki in številni VoIP programi, je morda bolje, če popolnoma onemogočite UPnP. Težji uporabniki teh aplikacij bodo želeli razmisliti, ali so se zaradi udobja pripravljeni odreči določeni varnosti. Vrata lahko še vedno posredujete brez UPnP; to je le malo več dela. Oglejte si naš vodnik za posredovanje vrat.

Po drugi strani pa se te napake usmerjevalnika v naravi ne uporabljajo aktivno, zato je dejanska verjetnost, da boste naleteli na zlonamerno programsko opremo, ki izkorišča napake pri izvajanju UPnP vašega usmerjevalnika, precej nizka. Nekatere zlonamerne programe uporabljajo UPnP za posredovanje vrat (na primer črv Conficker), vendar nisem naletel na primer kosa zlonamerne programske opreme, ki izkorišča te napake usmerjevalnika.

Kako to onemogočim? Če vaš usmerjevalnik podpira UPnP, boste v spletnem vmesniku našli možnost, da ga onemogočite. Za več informacij glejte priročnik usmerjevalnika.

Ali se ne strinjate glede varnosti UPnP? Pustite komentar!