Je li UPnP sigurnosni rizik?
UPnP dolazi po zadanoj postavci na mnogim novim usmjerivačima. U jednom trenutku FBI i drugi sigurnosni stručnjaci preporučili su onesposobljavanje UPnP-a iz sigurnosnih razloga. Ali koliko je danas UPnP siguran? Koristimo li sigurnost za praktičnost pri korištenju UPnP-a?
UPnP je kratica za "Universal Plug and Play". Pomoću UPnP-a, aplikacija može automatski proslijediti port na ruteru, štedeći vam ručno prosljeđivanje portova. Razmotrit ćemo razloge zbog kojih ljudi preporučuju onemogućavanje UPnP-a, kako bismo dobili jasnu sliku sigurnosnih rizika.
Kredit za slike: comedy_nose na usluzi Flickr
Malware na vašoj mreži može koristiti UPnP
Virus, trojanski konj, crv ili drugi zlonamjerni program koji uspijeva zaraziti računalo na vašoj lokalnoj mreži može koristiti UPnP, kao što to mogu i legitimni programi. Dok ruter obično blokira dolazne veze, sprječavajući neki zlonamjerni pristup, UPnP može dopustiti zlonamjernom programu da u potpunosti zaobiđe vatrozid. Na primjer, trojanski konj može instalirati program za daljinsko upravljanje na vaše računalo i otvoriti rupu za njega u vatrozidu vašeg usmjerivača, dopuštajući 24/7 pristup vašem računalu s Interneta. Ako je UPnP onemogućen, program ne može otvoriti priključak - iako bi mogao zaobići vatrozid na druge načine i telefonirati kući.
Je li to problem? Da. O tome se ne može zaobići - UPnP pretpostavlja da su lokalni programi pouzdani i dopuštaju im da prosljeđuju portove. Ako vam malware ne može proslijediti portove, bit će vam potrebno onemogućiti UPnP.
FBI je rekao ljudima da onemoguće UPnP
Krajem 2001. godine Nacionalni centar za zaštitu infrastrukture FBI-a savjetovao je sve korisnike da onemoguće UPnP zbog prelijevanja međuspremnika u sustavu Windows XP. Ovaj je bug ispravljen sigurnosnom zakrpom. NIPC je zapravo izdao ispravku za ovaj savjet kasnije, nakon što su shvatili da problem nije u samom UPnP-u. (Izvor)
Je li to problem? Ne. Iako se neki ljudi mogu sjetiti savjetovanja NIPC-a i imaju negativno stajalište prema UPnP-u, taj je savjet u to vrijeme bio pogrešno usmjeren i određeni problem je riješen zakrpom za Windows XP prije više od deset godina.
Zasluge za sliku: Carsten Lorentzen na Flickru
Flash UPnP napad
UPnP od korisnika ne zahtijeva nikakvu provjeru autentičnosti. Svaka aplikacija pokrenuta na vašem računalu može zatražiti od usmjerivača da proslijedi port preko UPnP-a, zbog čega gore navedeni zlonamjerni softver može zloupotrebljavati UPnP. Možete pretpostaviti da ste sigurni sve dok se na bilo kojem lokalnom uređaju ne izvodi zlonamjerni softver - ali vjerojatno ste u krivu.
Flash UPnP napad otkriven je 2008. Posebno izrađeni Flash applet, koji se izvodi na web stranici unutar vašeg web preglednika, može poslati UPnP zahtjev vašem usmjerivaču i zatražiti prosljeđivanje portova. Primjerice, aplet bi mogao zatražiti od usmjerivača da proslijedi portove 1-65535 vašem računalu, učinkovito ga izlažući cijelom internetu. Napadač će morati iskoristiti ranjivost u mrežnoj usluzi koja se izvodi na vašem računalu nakon toga, iako - korištenje vatrozida na računalu pomoći će vam da se zaštiti.
Nažalost, pogoršava se - na nekim usmjerivačima, Flash applet može promijeniti primarni DNS poslužitelj s UPnP zahtjevom. Port forwarding će biti najmanje od vaših briga - zlonamjerni DNS poslužitelj može preusmjeriti promet na druge web stranice. Na primjer, može usmjeriti Facebook.com na drugu IP adresu u cijelosti - adresna traka Vašeg web preglednika će reći Facebook.com, ali biste koristili web-lokaciju koju je postavila zlonamjerna organizacija.
Je li to problem? Da. Ne mogu naći nikakvu naznaku da je to ikada popravljeno. Čak i ako je fiksna (to bi bilo teško, jer je to problem s samim UPnP protokolom), mnogi stariji usmjerivači koji se još uvijek koriste bili bi ranjivi.
Loša UPnP implementacija na usmjerivačima
Web stranica UPnP Hacks sadrži detaljan popis sigurnosnih pitanja na način na koji različiti usmjerivači provode UPnP. To nisu nužno problemi s UPnP-om; često su problemi s UPnP implementacijama. Na primjer, mnoge UPnP implementacije usmjerivača ne provjeravaju ispravno ulaz. Zlonamjerna aplikacija može od usmjerivača zatražiti preusmjeravanje mreže na udaljene IP adrese na Internetu (umjesto lokalnih IP adresa), a usmjerivač bi se pridržavao. Na nekim usmjerivačima zasnovanim na Linuxu, moguće je iskoristiti UPnP za pokretanje naredbi na usmjerivaču. (Izvor) Web stranica navodi mnoge druge takve probleme.
Je li to problem? Da! Milijuni usmjerivača u divljini su ranjivi. Mnogi proizvođači usmjerivača nisu dobro obavili posao osiguravanja svojih UPnP implementacija.
Zasluge za sliku: Ben Mason na Flickru
Ako ste onemogućili UPnP?
Kada sam počeo pisati ovaj post, očekivao sam da zaključim da su mane UPnP-a bile prilično male, jednostavna stvar za malo sigurnosti za neku praktičnost. Nažalost, čini se da UPnP ima mnogo problema. Ako ne koristite aplikacije koje trebaju port forwarding, kao što su peer-to-peer aplikacije, igraći poslužitelji i mnogi VoIP programi, možda ćete u potpunosti biti onemogućeni UPnP. Teški korisnici ovih aplikacija žele razmotriti jesu li spremni odustati od sigurnosti za praktičnost. Možete i dalje prosljeđivati portove bez UPnP-a; to je samo malo više posla. Pogledajte naš vodič za prosljeđivanje luka.
S druge strane, ovi nedostaci rutera se ne koriste aktivno u divljini, tako da je stvarna vjerojatnost da ćete naići na zlonamjerni softver koji iskorištava propuste u UPnP implementaciji vašeg usmjerivača prilično niski. Neki zlonamjerni programi koriste UPnP za prosljeđivanje portova (na primjer, crv Conficker), ali nisam naišao na primjer malwarea koji iskorištava te propuste usmjerivača.
Kako ga onemogućiti? Ako vaš usmjerivač podržava UPnP, naći ćete opciju da ga onemogućite u svom web sučelju. Dodatne informacije potražite u priručniku za usmjerivač.
Slažete li se s sigurnošću UPnP-a? Ostavite komentar!
