25Jul
Funkcja UPnP jest domyślnie włączona na wielu nowych routerach. W pewnym momencie FBI i inni eksperci bezpieczeństwa zalecili wyłączenie UPnP ze względów bezpieczeństwa. Ale jak bezpieczne jest dzisiaj UPnP?Czy handlujemy bezpieczeństwem dla wygody przy korzystaniu z UPnP?
UPnP to skrót od "Universal Plug and Play". Za pomocą UPnP, aplikacja może automatycznie przesyłać do portu port routera, oszczędzając ręcznie portów przesyłających. Będziemy przyglądać się powodom, dla których ludzie zalecają wyłączenie UPnP, abyśmy mogli uzyskać jasny obraz zagrożeń bezpieczeństwa.
Image Credit: comedy_nose w serwisie Flickr
Malware w Twojej sieci może używać UPnP
Wirus, koń trojański, robak lub inny złośliwy program, którym udaje się zainfekować komputer w sieci lokalnej, może korzystać z UPnP, podobnie jak uprawnione programy. Podczas gdy router normalnie blokuje połączenia przychodzące, zapobiegając szkodliwemu dostępowi, UPnP może pozwolić złośliwemu programowi całkowicie ominąć zaporę.Na przykład koń trojański mógłby zainstalować na komputerze program do zdalnego sterowania i otworzyć dla niego otwór w zaporze firewall routera, umożliwiając 24/7 dostęp do komputera z Internetu. Jeśli UPnP były wyłączone, program nie mógł otworzyć portu - chociaż mógł ominąć zaporę na inne sposoby i zadzwonić do domu.
jest to problem? Tak. Nie da się tego obejść - UPnP zakłada, że programy lokalne są godne zaufania i pozwala im przekazywać porty. Jeśli złośliwe oprogramowanie, które nie może przekazywać portów, jest dla Ciebie ważne, musisz wyłączyć UPnP.
FBI powiedział ludziom, aby wyłączyć UPnP
Pod koniec 2001 roku FBI poinformowało, że wszyscy użytkownicy wyłączyli UPnP z powodu przepełnienia bufora w systemie Windows XP.Ten błąd został naprawiony przez poprawkę bezpieczeństwa. NIPC faktycznie wydało korektę dla tej porady później, po tym jak uświadomili sobie, że problem nie dotyczył samego UPnP.(Źródło)
Czy to jest problem? Nr Podczas gdy niektórzy ludzie mogą pamiętać poradę NIPC i mają negatywny pogląd na UPnP, ta rada była błędna, a konkretny problem został rozwiązany przez łatę dla systemu Windows XP ponad dziesięć lat temu.
Image Credit: Carsten Lorentzen na Flickr
Flash UPnP Attack
UPnP nie wymaga żadnego uwierzytelniania od użytkownika. Każda aplikacja uruchomiona na twoim komputerze może poprosić router o przekazanie portu przez UPnP, dlatego powyższy złośliwy program może nadużywać UPnP.Możesz założyć, że jesteś bezpieczny, o ile na żadnych urządzeniach lokalnych nie działa żadne złośliwe oprogramowanie - ale prawdopodobnie masz rację.
Atak UPnP Flash został odkryty w 2008 roku. Specjalnie spreparowany aplet Flash, uruchomiony na stronie internetowej w przeglądarce, może wysłać żądanie UPnP do routera i poprosić o przesłanie portów. Na przykład aplet może poprosić router o przesłanie portów 1-65535 do komputera, skutecznie odsłaniając go w całym Internecie. Po wykonaniu tej czynności osoba atakująca będzie musiała wykorzystać lukę w usłudze sieciowej uruchomionej na komputerze - użycie zapory na komputerze pomoże chronić użytkownika.
Niestety, sytuacja się pogarsza - w przypadku niektórych routerów aplet Flash mógł zmienić główny serwer DNS za pomocą żądania UPnP.Przekazywanie portów byłoby najmniej waszym zmartwieniem - złośliwy serwer DNS mógłby przekierować ruch do innych stron internetowych. Na przykład może to wskazywać Facebook.com na zupełnie inny adres IP - na pasku adresu przeglądarki pojawi się Facebook.com, ale będziesz używać witryny skonfigurowanej przez szkodliwą organizację.
to jest problem? Tak. Nie mogę znaleźć żadnego wskazania, że zostało to kiedykolwiek naprawione. Nawet jeśli zostałby naprawiony( byłoby to trudne, ponieważ jest to problem z samym protokołem UPnP), wiele starszych routerów, które wciąż są w użyciu, byłby podatny na ataki.
Złe implementacje UPnP na routerach
Strona UPnP Hacks zawiera szczegółową listę problemów związanych z zabezpieczeniami w sposobie implementacji UPnP przez różne routery. Niekoniecznie są to problemy z samym UPnP;często są to problemy z implementacjami UPnP.Na przykład implementacje UPnP wielu routerów nie sprawdzają poprawnie wejścia. Złośliwa aplikacja może poprosić router o przekierowanie sieci do zdalnych adresów IP w Internecie( zamiast lokalnych adresów IP), a router będzie zgodny. W przypadku niektórych routerów opartych na systemie Linux możliwe jest wykorzystanie UPnP do uruchamiania poleceń na routerze.(Źródło) Strona podaje wiele innych podobnych problemów.
jest to problem? Tak! Miliony ruterów na wolności są podatne na ataki. Wielu producentów routerów nie wykonało dobrej pracy zabezpieczając ich implementacje UPnP.
Image Credit: Ben Mason na Flickr
Czy należy wyłączyć UPnP?
Kiedy zacząłem pisać ten post, spodziewałem się stwierdzić, że wady UPnP były dość drobne, prostą kwestią handlu trochę bezpieczeństwa dla pewnej wygody. Niestety wygląda na to, że UPnP ma wiele problemów. Jeśli nie używasz aplikacji, które wymagają przekierowania portów, takich jak aplikacje peer-to-peer, serwery gier i wiele programów VoIP, możesz lepiej wyłączyć całkowicie UPnP.Ciężcy użytkownicy tych aplikacji będą chcieli rozważyć, czy są gotowi zrezygnować z bezpieczeństwa dla wygody. Nadal można przesyłać porty bez UPnP;to tylko trochę więcej pracy. Sprawdź nasz przewodnik po przekierowaniu portów.
Z drugiej strony, te luki routera nie są aktywnie wykorzystywane w środowisku naturalnym, więc faktyczna szansa, że natkniesz się na złośliwe oprogramowanie, które wykorzystuje luki w implementacji UPnP twojego rutera, jest dość niska. Niektóre złośliwe oprogramowanie używa UPnP do przekazywania portów( na przykład robaka Conficker), ale nie spotkałem się z przykładem złośliwego oprogramowania wykorzystującego te luki w routerze.
Jak to wyłączyć? Jeśli twój router obsługuje UPnP, znajdziesz opcję wyłączenia go w swoim interfejsie internetowym. Aby uzyskać więcej informacji, zapoznaj się z instrukcją obsługi routera.
Czy nie zgadzasz się z bezpieczeństwem UPnP?Zostaw komentarz!