Je UPnP bezpečnostné riziko?

UPnP je v predvolenom nastavení povolený na mnohých nových routeroch. V jednom okamihu FBI a ďalší odborníci v oblasti bezpečnosti odporučili z bezpečnostných dôvodov zakázanie UPnP. Ale ako bezpečná je UPnP dnes? Zabezpečíme obchodovanie s bezpečnosťou kvôli pohodliu pri používaní UPnP?

UPnP znamená "Universal Plug and Play". Pomocou aplikácie UPnP môže aplikácia automaticky presmerovať port na vašom routeri, čo vám ušetrí rušivé problémy s portami preposielania. Budeme sa zaoberať dôvodmi, prečo ľudia odporúčajú vypnúť UPnP, takže môžeme získať jasný obraz bezpečnostných rizík.

Obrazový kredit: comedy_nose na Flickr

Malware na vašej sieti môže používať UPnP

Vírus, trójsky kôň, červ alebo iný škodlivý program, ktorý dokáže infikovať počítač v lokálnej sieti, môže používať UPnP rovnako ako legitímne programy. Zatiaľ čo smerovač zvyčajne blokuje prichádzajúce pripojenia, čím zabraňuje nejakému škodlivému prístupu, program UPnP by mohol umožniť škodlivému programu úplne vynechať bránu firewall. Napríklad trójsky kôň môže nainštalovať do vášho počítača program diaľkového ovládania a otvoriť ho v bráne firewall brány firewall, čo umožní 24 hodinový prístup k počítaču z Internetu. Ak bol program UPnP zakázaný, program nemohol otvoriť port - hoci by mohol obísť bránu firewall inými spôsobmi a doma z telefónu.

Je to problém? Áno. Neexistuje žiadny obeh tohto - UPnP predpokladá, že miestne programy sú dôveryhodné a dovoľuje im, aby presmerovali porty. Ak je pre vás dôležitý malware, ktorý nie je schopný presmerovať porty, budete chcieť vypnúť UPnP.

FBI povedal ľuďom zakázať UPnP

Koncom roka 2001 národné centrum pre ochranu infraštruktúry FBI odporúčalo všetkým používateľom zakázanie UPnP kvôli pretečeniu vyrovnávacej pamäte v systéme Windows XP. Táto chyba bola opravená opravou zabezpečenia. NIPC skutočne vydali opravu pre túto radu neskôr, keď si uvedomili, že problém nie je v UPnP samotnom. (Zdroj)

Je to problém? žiadny. Zatiaľ čo niektorí ľudia si môžu pamätať poradenstvo NIPC a mať negatívny názor na UPnP, táto rada bola zavádzaná v tej dobe a špecifický problém bol opravený opravou pre Windows XP pred desiatimi rokmi.

Obrázok kreditov: Carsten Lorentzen na Flickr

Flash Attack UPnP

UPnP nevyžaduje od užívateľa žiadnu autentifikáciu. Každá aplikácia spustená na vašom počítači môže požiadať router o preposielanie portu cez UPnP, čo je dôvod, prečo malware vyššie môže zneužiť UPnP. Môžete predpokladať, že ste bezpečný, ak na ľubovoľnom lokálnom zariadení nie je spustený žiadny škodlivý softvér, ale pravdepodobne ste zle.

Flash UPnP Attack bol objavený v roku 2008. Špeciálne vytvorený Flash applet, ktorý beží na webovej stránke vo vašom webovom prehliadači, môže poslať požiadavku UPnP na smerovač a požiadať ho, aby preposielal porty. Napríklad applet by mohol požiadať router, aby presmeroval porty 1-65535 do vášho počítača a efektívne ho vystavil celému internetu. Útočník by potom musel zneužiť zraniteľnosť v sieťovej službe bežiacej na vašom počítači potom, čo ste to urobili - pomocou brány firewall v počítači vám pomôže chrániť.

Nanešťastie sa to zhoršuje - na niektorých routeroch môže aplikácia Flash zmeniť primárny server DNS s požiadavkou UPnP. Posielanie portov by bolo najmenej z vašich starostí - škodlivý server DNS by mohol presmerovať návštevnosť na iné webové stránky. Napríklad by mohol smerovať Facebook.com úplne na inú IP adresu - adresný riadok vášho webového prehliadača by povedal Facebook.com, ale použili by ste webové stránky vytvorené škodlivou organizáciou.

Je to problém? Áno. Nenašiel som žiadny náznak toho, že to bolo niekedy opravené. Aj keby bola opravená (to by bolo ťažké, pretože to je problém s samotným protokolom UPnP), veľa starších smerovačov, ktoré sa stále používajú, by bolo zraniteľné.

Nesprávne implementácie UPnP na smerovačoch

Stránka UPnP Hacks obsahuje podrobný zoznam bezpečnostných otázok v spôsoboch, akými rôzne smerovače implementujú UPnP. To nie sú nevyhnutne problémy s UPnP samotným; sú často problémy s implementáciami UPnP. Napríklad viacero implementácií UPnP smerovačov nekontroluje správne vstupy. Škodlivá aplikácia môže požiadať router, aby presmeroval sieť na vzdialené adresy IP na internete (namiesto miestnych IP adries) a smerovač by vyhovoval. Na niektorých routeroch so systémom Linux je možné použiť UPnP na spustenie príkazov na smerovači. (Zdroj) Na webových stránkach je uvedených mnoho ďalších podobných problémov.

Je to problém? Áno! Milióny smerovačov vo voľnej prírode sú zraniteľné. Mnohí výrobcovia smerovačov neuskutočnili dobrú prácu pri zabezpečovaní svojich implementácií UPnP.

Image Credit: Ben Mason na Flickr

Ak by ste zakázali UPnP?

Keď som začal písať tento príspevok, očakával som, že dospel k záveru, že nedostatky UPnP sú pomerne malé, čo je jednoduchá záležitosť obchodovania s trochou bezpečnosti pre určité pohodlie. Bohužiaľ, zdá sa, že UPnP má veľa problémov. Ak nepoužívate aplikácie, ktoré vyžadujú presmerovanie portov, ako sú napríklad aplikácie peer-to-peer, herné servery a mnoho VoIP programov, je lepšie vypnúť úplne UPnP. Ťažké užívatelia týchto aplikácií budú chcieť zvážiť, či sú pripravení vzdať sa istoty pre pohodlie. Porty môžete ďalej posielať bez UPnP; je to len o niečo viac práce. Pozrite sa na našu príručku pre presmerovanie portov.

Na druhej strane tieto chyby smerovača sa aktívne nepoužívajú vo voľnej prírode, takže skutočná šanca, že narazíte na škodlivý softvér, ktorý zneužíva nedostatky vo vašej implementácii UPnP smerovača, je pomerne nízky. Niektorý škodlivý softvér používa UPnP na prenos portov (napr. Červa Conficker), ale nestretol som sa s príkladom škodlivého softvéru využívajúceho tieto chyby smerovača.

Ako ju zakážem? Ak váš smerovač podporuje UPnP, nájdete možnosť zakázať ho vo svojom webovom rozhraní. Viac informácií nájdete v príručke k smerovaču.

Nesúhlasíte s bezpečnosťou UPnP? Zanechať komentár!