UPnP se zalaže za "Universal Plug and Play". Pomoću UPnP aplikacije može automatski prosljeđivati priključak na vašem usmjerivaču, čime se štede ručno prosljeđivanje portova. Razmotrit ćemo razloge zašto ljudi preporučuju onemogućavanje UPnP-a kako bismo dobili jasnu sliku sigurnosnih rizika.
Slikovni kredit: comedy_nose na Flickr
Zlonamjerni softver na vašoj mreži može koristiti UPnP
Virus, trojanski konj, crv ili drugi zlonamjerni program koji uspije zaraziti računalo na lokalnoj mreži može koristiti UPnP, baš kao i legitimni programi. Dok usmjerivač obično blokira dolazne veze, sprečavajući neki zlonamjerni pristup, UPnP može dopustiti da zlonamjerni program potpuno zaobiđe vatrozid. Na primjer, trojanski konj mogao bi instalirati program daljinskog upravljača na vašem računalu i otvoriti rupu za njega u vatrozidu vašeg usmjerivača, dopuštajući 24/7 pristup vašem računalu s interneta. Ako su UPnP onemogućeni, program nije mogao otvoriti luku - iako bi mogao zaobići vatrozid na druge načine i telefonirati se kući.
Je li to problem? Da. Ne postoji ovo - UPnP pretpostavlja da su lokalni programi pouzdani i omogućuju prosljeđivanje portova. Ako zlonamjerni softver nije u mogućnosti proslijediti priključke, važno vam je da onemogućite UPnP.
FBI je rekao ljudima da onemogućuju UPnP
Krajem 2001. godine FBI-jev nacionalni centar za zaštitu infrastrukture savjetovao je da svi korisnici onemogućuju UPnP zbog preljeva međuspremnika u sustavu Windows XP. Ovaj je bug bio fiksiran sigurnosnom zakrpom. NIPC je kasnije donio ispravak za ovaj savjet, nakon što su shvatili da problem nije bio u UPnP-u. (Izvor)
Je li to problem? Ne. Dok se neki ljudi sjećaju savjetodavnih tijela NIPC-a i imaju negativan prikaz UPnP-a, taj je savjet u to vrijeme bio pogrešan, a određeni problem popravio je zakrpu za sustav Windows XP prije više od deset godina.
Flash UPnP napad
UPnP ne zahtijeva nikakvu vrstu provjere autentičnosti od korisnika. Svaka aplikacija koja se izvodi na vašem računalu može tražiti od usmjerivača da prosljeđuje port preko UPnP-a, zbog čega zlonamjerni softver iznad može zloupotrijebiti UPnP. Možete pretpostaviti da ste sigurni sve dok se na lokalnim uređajima ne pokreće zlonamjerni softver - ali vjerojatno ste pogriješili.
Flash 2008 UPnP Attack otkriven je 2008. Posebno izrađeni Flash aplet, koji se pokreće na web stranici unutar vašeg web preglednika, može poslati UPnP zahtjev svom ruteru i zamoliti ga da prosljeđuje priključke. Na primjer, aplet bi mogao zatražiti od usmjerivača da prosljeđuju luke 1-65535 na svoje računalo, učinkovito izlažući ga na cijeli Internet. Napadač bi morao iskoristiti ranjivost u mrežnoj usluzi koja se izvodi na vašem računalu nakon toga, iako - pomoću vatrozida na računalu pomoći će vam u zaštiti.
Nažalost, to se pogoršava - na nekim usmjerivačima, Flash aplet mogao bi promijeniti primarni DNS poslužitelj s UPnP zahtjevom. Port prosljeđivanje bi bilo najmanje vaše brige - zlonamjerni DNS poslužitelj mogao preusmjeriti promet na druge web stranice. Na primjer, to bi moglo ukazivati na Facebook.com na drugoj IP adresi - adresnu traku vašeg web preglednika reći će Facebook.com, ali biste koristili web stranicu koju je postavila zlonamjerna organizacija.
Je li to problem? Da. Ne mogu naći nikakve naznake da je to ikada bilo fiksno. Čak i ako je riješen (to bi bilo teško, jer je to problem sa samim UPnP protokolom), mnogi stariji usmjerivači koji su još u upotrebi bili bi ranjivi.
Loše UPnP implementacije na usmjerivačima
UPnP Hacks web stranica sadrži detaljan popis sigurnosnih problema u načinu na koji različiti usmjerivači implementiraju UPnP. To nisu nužno problemi s samim UPnP-om; oni su često problemi s UPnP implementacijama. Na primjer, mnoge UPnP implementacije usmjerivača ne provjeravaju ispravno ulaz. Zlonamjerna aplikacija mogla bi zatražiti usmjerivač da preusmjerava mrežu na udaljeno IP adrese na internetu (umjesto lokalnih IP adresa), a usmjerivač bi bio u skladu. Na nekim Linux usmjerivačima, moguće je iskoristiti UPnP za pokretanje naredbi na usmjerivaču. (Izvor) Web stranica sadrži mnoge druge takve probleme.
Je li to problem? Da! Milijuni usmjerivača u divljini su ranjivi. Mnogi proizvođači usmjerivača nisu učinili dobar posao osiguravanja njihovih UPnP implementacija.
Trebate li onemogućiti UPnP?
Kad sam započeo pisati ovaj post, očekivao sam zaključak da su nedostaci UPnP-a bili prilično manji, jednostavna stvar trgovanja malo sigurnosti za neku praktičnost. Nažalost, čini se da UPnP ima puno problema. Ako ne koristite aplikacije koje zahtijevaju prosljeđivanje porta, kao što su aplikacije peer-to-peer, poslužitelji igara i mnogi VoIP programi, možda ćete biti u mogućnosti potpuno isključiti UPnP. Teški korisnici tih aplikacija htjet će razmotriti jesu li spremni odustati od neke sigurnosti radi lakšeg korištenja. Možete i dalje prosljeđivati priključke bez UPnP-a; to je samo malo više posla. Pogledajte naš vodič za prosljeđivanje luka.
S druge strane, ovi problemi s usmjerivačem se ne aktivno upotrebljavaju u divljini, pa je stvarna šansa da ćete naići na zlonamjerni softver koji iskorištava nedostatke u UPnP implementaciji usmjerivača prilično je nizak. Neki zlonamjerni softver upotrebljava UPnP za prosljeđivanje portova (primjerice Conficker crv), ali nisam naišao na primjer zlonamjernog softvera koji iskorištava te pogreške u usmjerivačima.
Kako ga onemogućiti? Ako vaš usmjerivač podržava UPnP, naći ćete mogućnost onemogućiti ga na svom web sučelju. Više informacija potražite u priručniku rutera.
Jeste li se ne slažete o sigurnosti UPnP-a? Ostavite komentar!
