Je UPnP bezpečnostní riziko?
UPnP je ve výchozím nastavení povolen na mnoha nových směrovačích. V jednom okamžiku FBI a další bezpečnostní odborníci doporučili z bezpečnostních důvodů zakázat UPnP. Ale jak je dnes UPnP bezpečné? Zabezpečíme obchodování s cennými papíry kvůli pohodlí při používání UPnP?
UPnP znamená "Universal Plug and Play". Pomocí aplikace UPnP může aplikace automaticky předávat port na vašem routeru a ušetřit tak potíže s předáváním portů ručně. Budeme se zabývat důvody, proč lidé doporučují zakázání UPnP, abychom mohli získat jasný obraz bezpečnostních rizik.
Image Credit: comedy_nose na Flickru
Malware v síti může používat UPnP
Virus, trojský kůň, červ nebo jiný škodlivý program, který dokáže infikovat počítač v místní síti, může používat UPnP, stejně jako legitimní programy. Zatímco směrovač obvykle blokuje příchozí připojení a brání nějakému škodlivému přístupu, může UPnP povolit škodlivému programu, aby úplně obešel bránu firewall. Například, trojský kůň by mohl v počítači nainstalovat program dálkového ovládání a otevřít ho do brány firewall brány směrovače a umožňovat 24hodinový přístup k počítači z Internetu. Pokud byl protokol UPnP zakázán, program nemohl otevřít port - ačkoli by mohl obejít bránu firewall jinými způsoby a doma telefonovat.
Je to problém? Ano. Neexistuje žádný kolem tohoto - UPnP předpokládá, že místní programy jsou důvěryhodné a umožňuje jim předávat porty. Pokud je pro vás malware schopen předávat porty, je důležité vypnout UPnP.
FBI sdělil lidem, že mají zakázat UPnP
Koncem roku 2001 FBI oznámilo, že všichni uživatelé znepřístupňují UPnP kvůli přetečení vyrovnávací paměti v systému Windows XP. Tato chyba byla opravena opravou zabezpečení. NIPC skutečně vydala opravu pro tuto radu později poté, co si uvědomila, že problém není v UPnP samotném. (Zdroj)
Je to problém? Ne. Zatímco někteří lidé mohou pamatovat na poradenství NIPC a mít negativní pohled na UPnP, tato rada byla v té době špatně řešena a konkrétní problém byl opraven opravou pro systém Windows XP před více než deseti lety.
Image Credit: Carsten Lorentzen na Flickru
Flash Attack UPnP
UPnP nevyžaduje od uživatele žádnou autentizaci. Každá aplikace spuštěná v počítači může od routeru požádat o předání portu přes UPnP, což je důvod, proč výše uvedený malware může zneužívat UPnP. Možná předpokládáte, že jste bezpečný, pokud na libovolném místním zařízení neprobíhá žádný malware - ale pravděpodobně jste špatně.
Flash UPnP Attack byl objeven v roce 2008. Speciálně vytvořený Flash applet, který běží na webové stránce uvnitř vašeho webového prohlížeče, může odeslat požadavek na UPnP směrovače a požádat jej o předání portů. Aplet může například požádat směrovač, aby předal porty 1-65535 do vašeho počítače a efektivně ho vystavil celému Internetu. Útočník by však musel zneužít zranitelnost v síťové službě běžící na vašem počítači poté, co to provedete - pomocí firewallu v počítači vám pomůže chránit vás.
Bohužel se to zhoršuje - u některých směrovačů by apletu Flash mohl změnit primární server DNS požadavkem UPnP. Přesměrování portů by bylo nejmenším z vašich starostí - škodlivý server DNS by mohl přesměrovat provoz na jiné webové stránky. Například to by mohlo odkazovat na Facebook.com úplně na jinou adresu IP - adresní lišta vašeho webového prohlížeče by řekla Facebook.com, ale používáte webovou stránku vytvořenou škodlivou organizací.
Je to problém? Ano. Nelze najít žádnou indikaci, že to bylo někdy opraveno. I kdyby to bylo opraveno (to by bylo obtížné, protože to je problém s samotným protokolem UPnP), mnoho starších směrovačů, které se ještě používají, by bylo zranitelné.
Špatné implementace UPnP na směrovačích
Stránka UPnP Hacks obsahuje podrobný seznam bezpečnostních problémů způsobů, jakými různé směrovače implementují UPnP. Nejsou to nutně problémy s UPnP samotným; jsou často problémy s implementacemi UPnP. Například implementace UPnP mnoha směrovačů správně nekontrolují vstup. Škodlivá aplikace může požádat směrovač, aby přesměroval síť na vzdálené adresy IP na internetu (namísto místních adres IP) a směrovač by vyhověl. Na některých směrovačích se systémem Linux je možné využívat službu UPnP pro spouštění příkazů na směrovači. (Zdroj) Na webu jsou uvedeny mnohé další podobné problémy.
Je to problém? Ano! Milióny směrovačů ve volné přírodě jsou zranitelné. Mnoho výrobců směrovačů neudělalo dobrou práci při zajišťování svých implementací UPnP.
Image Credit: Ben Mason na Flickru
Pokud byste zakázali UPnP?
Když jsem začal psát tento příspěvek, očekával jsem, že dojde k závěru, že chyby UPnP jsou poměrně malé, což je jednoduchá záležitost obchodování trochu bezpečnosti pro jisté pohodlí. Bohužel se zdá, že UPnP má spoustu problémů. Pokud nepoužíváte aplikace, které potřebují přesměrování portů, jako jsou aplikace typu peer-to-peer, herní servery a mnoho VoIP programů, možná byste měli dokonale vypnout UPnP. Těžší uživatelé těchto aplikací si budou chtít zvážit, zda jsou připraveni vzdát se určitého zabezpečení. Porty můžete stále předávat bez UPnP; je to jen trochu víc práce. Podívejte se na náš průvodce pro předávání portů.
Na druhé straně tyto chyby směrovače nejsou aktivně využívány ve volné přírodě, takže skutečná šance, že narazíte na škodlivý software, který využívá nedostatků v implementaci UPnP směrovače, je poměrně nízký. Některý malware používá pro přenos portů UPnP (např. Červ Červíka), ale nepřišel jsem na příklad malwaru, který využívá tyto chyby směrovače.
Jak mohu vypnout to? Pokud váš směrovač podporuje službu UPnP, najdete možnost jeho zakázání ve webovém rozhraní. Další informace získáte v příručce k routeru.
Nesouhlasíte s jistotou UPnP? Zanechat komentář!