25Jul
UPnP omogućen je zadano na mnogim novim usmjerivačima. U jednom trenutku, FBI i drugi sigurnosni stručnjaci preporučili su onemogućavanje UPnP-a iz sigurnosnih razloga. Ali koliko je danas siguran UPnP?Imamo li trgovinsku sigurnost radi praktičnosti kada koristite UPnP?
UPnP označava "Universal Plug and Play". Pomoću UPnP aplikacije mogu automatski prosljeđivati priključak na vašem usmjerivaču, čime se štedi vam gnjavaža prosljeđivanja portova ručno. Razmotrit ćemo razloge zašto ljudi preporučuju onemogućavanje UPnP-a kako bismo dobili jasnu sliku sigurnosnih rizika.
Kalkulator slike: comedy_nose on Flickr
Zlonamjerni softver na vašoj mreži može koristiti UPnP
Virus, trojanski konj, crv ili drugi zlonamjerni program koji uspije zaraziti računalo na vašoj lokalnoj mreži može koristiti UPnP, baš kao i legitimni programi. Dok usmjerivač obično blokira dolazne veze, sprečavajući neki zlonamjerni pristup, UPnP može dopustiti da zlonamjerni program potpuno zaobiđe vatrozid. Na primjer, trojanski konj mogao bi instalirati program daljinskog upravljača na vašem računalu i otvoriti rupu za njega u vatrozidu vašeg usmjerivača, dopuštajući 24/7 pristup vašem računalu s interneta. Ako su UPnP onemogućeni, program nije mogao otvoriti luku - iako bi mogao zaobići vatrozid na druge načine i telefonirati se kući.
Je li ovo problem? Da. Ne postoji ovo - UPnP pretpostavlja da su lokalni programi pouzdani i omogućuju im da prosljeđuju portove. Ako zlonamjerni softver nije u mogućnosti proslijediti priključke, važno vam je da onemogućite UPnP.
FBI je pustio ljude da onemogućuju UPnP
Krajem 2001. godine FBI-jev nacionalni centar za zaštitu infrastrukture savjetovao je svim korisnicima da onemogućuju UPnP zbog preljeva tampona u sustavu Windows XP.Ovaj je bug bio fiksiran sigurnosnom zakrpom. NIPC je kasnije donio ispravak za ovaj savjet, nakon što su shvatili da problem nije bio u UPnP-u.(Izvor)
Je li to problem? Br. Dok se neki ljudi sjećaju NIPC savjetovanja i imaju negativan pogled na UPnP, taj je savjet bio pogrešan i da je određeni problem popravio zakrpa za Windows XP prije više od deset godina.
Image Credit: Carsten Lorentzen na Flickr
Flash UPnP Attack
UPnP ne zahtijeva nikakvu vrstu provjere autentičnosti od korisnika. Svaka aplikacija koja se izvodi na vašem računalu može tražiti od usmjerivača da prosljeđuje port preko UPnP-a, zbog čega zlonamjerni softver iznad može zloupotrijebiti UPnP.Možete pretpostaviti da ste sigurni sve dok se na lokalnim uređajima ne pokreće zlonamjerni softver - ali vjerojatno ste pogriješili.
Flash UPnP Attack otkriven je 2008. Posebno izrađeni Flash applet, koji se pokreće na web stranici unutar Vašeg web preglednika, može poslati UPnP zahtjev svom ruteru i zamoliti ga da prosljeđuje priključke. Na primjer, aplet bi mogao zatražiti od usmjerivača da prosljeđuju luke 1-65535 na svoje računalo, učinkovito izlažući ga na cijeli Internet. Napadač bi morao iskoristiti ranjivost u mrežnoj usluzi koja se izvodi na vašem računalu nakon toga, iako - pomoću vatrozida na računalu pomoći će vam u zaštiti.
Nažalost, to se pogoršava - na nekim usmjerivačima, Flash applet mogao bi promijeniti primarni DNS poslužitelj s UPnP zahtjevom. Port prosljeđivanje bi bilo najmanje vaše brige - zlonamjerni DNS poslužitelj mogao preusmjeriti promet na druge web stranice. Na primjer, to bi moglo ukazivati na Facebook.com na drugoj IP adresi - adresnu traku vašeg web preglednika reći će Facebook.com, ali biste koristili web stranicu koju je postavila zlonamjerna organizacija.
Je li to problem? Da. Ne mogu naći nikakve naznake da je to ikada bilo fiksno.Čak i ako je riješen( to bi bilo teško, jer je to problem sa samim UPnP protokolom), mnogi stariji usmjerivači koji su još u upotrebi bili bi ranjivi.
Loš UPnP implementacije na usmjerivačima
Web stranica UPnP Hacks sadrži detaljan popis sigurnosnih problema na načinima na koji različiti usmjerivači implementiraju UPnP.To nisu nužno problemi s samim UPnP-om;oni su često problemi s UPnP implementacijama. Na primjer, mnoge UPnP implementacije usmjerivača ne provjeravaju ispravno ulaz. Zlonamjerna aplikacija mogla bi zatražiti usmjerivač da preusmjerava mrežu na udaljeno IP adrese na internetu( umjesto lokalnih IP adresa), a usmjerivač bi bio u skladu. Na nekim Linux usmjerivačima, moguće je iskoristiti UPnP za pokretanje naredbi na usmjerivaču.(Izvor) Web stranica sadrži mnoge druge takve probleme.
Je li to problem? Da! Milijuni usmjerivača u divljini su ranjivi. Mnogi proizvođači usmjerivača nisu učinili dobar posao osiguravanja njihovih UPnP implementacija.
Image Credit: Ben Mason na Flickr
Trebate li onemogućiti UPnP?
Kad sam započeo pisati ovaj post, očekivao sam zaključiti da su nedostaci UPnP-a bili prilično manji, jednostavna stvar trgovanja malo sigurnosti za neku praktičnost. Nažalost, čini se da UPnP ima puno problema. Ako ne koristite aplikacije koje zahtijevaju prosljeđivanje porta, kao što su aplikacije peer-to-peer, poslužitelji igara i mnogi VoIP programi, možda ćete biti u mogućnosti potpuno isključiti UPnP.Teški korisnici tih aplikacija htjet će razmotriti jesu li spremni odustati od neke sigurnosti radi lakšeg korištenja. Možete i dalje prosljeđivati priključke bez UPnP-a;to je samo malo više posla. Pogledajte naš vodič za prosljeđivanje luka.
S druge strane, ovi problemi s usmjerivačem se ne aktivno upotrebljavaju u divljini, tako da je stvarna šansa da ćete naići na zlonamjerni softver koji iskorištava nedostatke u UPnP implementaciji usmjerivača prilično je nizak. Neki zlonamjerni softver upotrebljava UPnP za prosljeđivanje portova( primjerice Conficker crv), ali nisam naišao na primjer zlonamjernog softvera koji iskorištava te pogreške u usmjerivačima.
Kako ga onemogućiti? Ako vaš usmjerivač podržava UPnP, naći ćete mogućnost onemogućiti ga na svom web sučelju. Više informacija potražite u priručniku rutera.
Jeste li se ne slažete o sigurnosti UPnP-a? Ostavite komentar!