25Jul
UPnP wordt standaard ingeschakeld op veel nieuwe routers. Op een gegeven moment adviseerden de FBI en andere beveiligingsdeskundigen UPnP om veiligheidsredenen uit te schakelen. Maar hoe veilig is UPnP vandaag? Ruilen we voor gemak gebruiksgemak bij het gebruik van UPnP?
UPnP staat voor "Universal Plug and Play." Met behulp van UPnP kan een toepassing automatisch een poort doorsturen naar uw router, waardoor u het gedoe met het handmatig doorsturen van poorten bespaart. We zullen kijken naar de redenen waarom mensen aanbevelen UPnP uit te schakelen, zodat we een duidelijk beeld krijgen van de beveiligingsrisico's.
Image Credit: comedy_nose op Flickr
Malware op uw netwerk kan UPnP gebruiken
Een virus, Trojaans paard, worm of ander kwaadaardig programma dat een computer op uw lokale netwerk kan infecteren, kan UPnP gebruiken, net zoals legitieme programma's dat kunnen. Hoewel een router normaal gesproken inkomende verbindingen blokkeert, waardoor sommige kwaadwillige toegang wordt voorkomen, kan UPnP een kwaadwillig programma in staat stellen de firewall volledig te omzeilen. Een Trojaans paard zou bijvoorbeeld een afstandsbedieningsprogramma op uw computer kunnen installeren en een gat kunnen openen in de firewall van uw router, waardoor u 24/7 toegang tot uw computer kunt krijgen via internet. Als UPnP was uitgeschakeld, kon het programma de poort niet openen - hoewel het de firewall op andere manieren kon omzeilen en naar huis kon bellen.
Is dit een probleem? Ja. Er is geen oplossing - UPnP gaat ervan uit dat lokale programma's betrouwbaar zijn en stelt hen in staat om poorten door te sturen. Als malware niet in staat is om poorten door te sturen is belangrijk voor u, dan wilt u UPnP uitschakelen.
De FBI vertelde dat mensen UPnP uitschakelen
Tegen het einde van 2001 adviseerde het nationale infrastructuurbeschermingscentrum van de FBI alle gebruikers om UPnP uit te schakelen vanwege een bufferoverloop in Windows XP.Deze fout is opgelost door een beveiligingspatch. De NIPC heeft dit advies later daadwerkelijk gecorrigeerd, nadat ze zich realiseerden dat het probleem niet in UPnP zelf zat.(Bron)
Is dit een probleem? Nr. Hoewel sommige mensen mogelijk het advies van de NIPC onthouden en een negatieve kijk op UPnP hebben, was dit advies op dat moment misleid en het specifieke probleem werd meer dan tien jaar geleden opgelost door een patch voor Windows XP.
Image Credit: Carsten Lorentzen op Flickr
De Flash UPnP-aanval
UPnP vereist geen enkele vorm van authenticatie van de gebruiker. Elke toepassing die op uw computer wordt uitgevoerd, kan de router vragen om een poort via UPnP door te sturen, wat de reden is dat bovenstaande malware UPnP kan misbruiken. Je zou kunnen aannemen dat je veilig bent zolang er geen malware op lokale apparaten draait - maar je hebt waarschijnlijk ongelijk.
De Flash UPnP-aanval is in 2008 ontdekt. Een speciaal vervaardigde Flash-applet die op een webpagina in uw webbrowser wordt uitgevoerd, kan een UPnP-aanvraag naar uw router verzenden en hem vragen om poorten door te sturen. De applet kan de router bijvoorbeeld vragen om poorten 1-65535 door te sturen naar uw computer, waardoor deze effectief wordt blootgesteld aan het hele internet. De aanvaller zou een kwetsbaarheid in een netwerkservice die op uw computer draait, moeten misbruiken, door een firewall op uw computer te gebruiken om u te beschermen.
Helaas wordt het erger - op sommige routers kan een Flash-applet de primaire DNS-server wijzigen met een UPnP-aanvraag. Port forwarding is de minste van uw zorgen - een kwaadwillende DNS-server kan verkeer naar andere websites omleiden. Het kan bijvoorbeeld Facebook.com op een ander IP-adres wijzen - de adresbalk van uw webbrowser zou Facebook.com zeggen, maar u zou een website gebruiken die was opgezet door een kwaadwillende organisatie.
Is dit een probleem? Ja. Ik kan geen enkele aanwijzing vinden dat dit ooit is opgelost. Zelfs als het was opgelost( dit zou moeilijk zijn, omdat dit een probleem is met het UPnP-protocol zelf), zouden veel oudere routers die nog in gebruik zijn, kwetsbaar zijn.
Slechte UPnP-implementaties op routers
De website UPnP-hacks bevat een gedetailleerde lijst van beveiligingsproblemen in de manier waarop verschillende routers UPnP implementeren. Dit zijn niet noodzakelijk problemen met UPnP zelf;het zijn vaak problemen met UPnP-implementaties. De UPnP-implementaties van veel routers controleren de invoer bijvoorbeeld niet goed. Een kwaadwillende toepassing kan een router vragen om het netwerk om te leiden naar externe IP-adressen op het internet( in plaats van lokale IP-adressen) en de router zou hieraan voldoen. Op sommige Linux-gebaseerde routers is het mogelijk om UPnP te gebruiken om opdrachten op de router uit te voeren.(Bron) Op de website staan nog veel meer van dergelijke problemen.
Is dit een probleem? Ja! Miljoenen routers in het wild zijn kwetsbaar. Veel routerfabrikanten hebben hun UPnP-implementaties niet goed gedaan.
Image Credit: Ben Mason op Flickr
Moet u UPnP uitschakelen?
Toen ik begon met het schrijven van dit bericht, verwachtte ik te concluderen dat de fouten van UPnP vrij klein waren, een eenvoudige kwestie van een beetje beveiliging voor wat gemak. Helaas lijkt het erop dat UPnP veel problemen heeft. Als u geen toepassingen gebruikt die port forwarding nodig hebben, zoals peer-to-peer-applicaties, gameservers en veel VoIP-programma's, is het misschien beter om UPnP volledig uit te schakelen. Zware gebruikers van deze applicaties zullen willen overwegen of ze bereid zijn om wat veiligheid op te geven voor het gemak. U kunt poorten nog altijd doorsturen zonder UPnP;het is gewoon een beetje meer werk. Bekijk onze handleiding voor poortdoorschakeling.
Aan de andere kant worden deze routerfouten niet actief in het wild gebruikt, dus de kans dat je kwaadwillende software tegenkomt die gebreken in de UPnP-implementatie van je router uitbuit, is redelijk laag. Sommige malware gebruikt UPnP om poorten door te sturen( bijvoorbeeld de Conficker-worm), maar ik heb nog geen voorbeeld gezien van een stukje malware dat deze routerfouten misbruikt.
Hoe kan ik dit uitschakelen? Als uw router UPnP ondersteunt, vindt u een optie om deze uit te schakelen in zijn webinterface. Raadpleeg de handleiding van uw router voor meer informatie.
Bent u het niet eens met de beveiliging van UPnP?Laat een reactie achter!