Vai UPnP ir drošības risks?

UPnP pēc noklusējuma ir iespējots daudziem jauniem maršrutētājiem. Vienā brīdī FBI un citi drošības eksperti ieteica atslēgt UPnP drošības apsvērumu dēļ. Bet cik droša ir UPnP šodien? Vai, izmantojot UPnP, mēs tirgojam drošību ērtībai?

UPnP apzīmē “Universal Plug and Play”. Izmantojot UPnP, lietojumprogramma var automātiski pārsūtīt jūsu maršrutētāja portu, ietaupot problēmu par portu pārsūtīšanu manuāli. Mēs apskatīsim iemeslus, kādēļ cilvēki iesaka atspējot UPnP, lai mēs varētu iegūt skaidru priekšstatu par drošības riskiem.

Attēla kredīts: comedy_nose uz Flickr

Tīklā ļaunprātīga programmatūra var izmantot UPnP

Vīruss, Trojas zirgs, tārps vai cita ļaunprātīga programma, kas spēj inficēt datoru jūsu vietējā tīklā, var izmantot UPnP, tāpat kā likumīgās programmas. Lai gan maršrutētājs parasti bloķē ienākošos savienojumus, novēršot kādu ļaunprātīgu piekļuvi, UPnP varētu ļaut ļaunprātīgai programmai pilnībā apiet ugunsmūri. Piemēram, Trojas zirgs var instalēt tālvadības programmu datorā un atveriet to caurumu maršrutētāja ugunsmūrī, ļaujot 24/7 piekļūt datoram no interneta. Ja UPnP tika atspējots, programma nevarēja atvērt portu - lai gan tā varēja apiet ugunsmūri citos veidos un telefona mājās.

Vai tā ir problēma? Jā. Šim nolūkam nav apkārt - UPnP pieņem, ka vietējās programmas ir uzticamas un ļauj tām pārsūtīt ostas. Ja ļaunprātīgas programmatūras nav iespējams pārsūtīt ostas, jums ir svarīgi atslēgt UPnP.

FBI norādīja cilvēkiem, lai atspējotu UPnP

2001. gada beigās FBI Nacionālais infrastruktūras aizsardzības centrs ieteica visiem lietotājiem atspējot UPnP Windows XP bufera pārpildes dēļ. Šo kļūdu fiksēja drošības ielāps. NIPC faktiski izdeva šo ieteikumu labojumu vēlāk, kad viņi saprata, ka problēma nav pati UPnP. (Avots)

Vai tā ir problēma? Nē. Lai gan daži cilvēki var atcerēties NIPC ieteikumus un negatīvi vērtē UPnP, šis padoms tajā laikā bija nepareizi, un konkrētā problēma tika novērsta jau pirms vairāk nekā desmit gadiem Windows XP..

Attēla kredīts: Carsten Lorentzen par Flickr

Flash UPnP uzbrukums

UPnP neprasa nekādu autentifikāciju no lietotāja. Jebkura lietojumprogramma, kas darbojas jūsu datorā, var lūgt maršrutētāju pārsūtīt portu pār UPnP, tāpēc iepriekš minētā ļaunprātīgā programmatūra var ļaunprātīgi izmantot UPnP. Varētu pieņemt, ka esat drošs, kamēr nevienā vietējā ierīcē netiek izmantota ļaunprātīga programmatūra, bet jūs, iespējams, esat nepareizi.

Flash UPnP uzbrukums tika atklāts 2008. gadā. Īpaši izstrādāta Flash sīklietotne, kas darbojas tīmekļa lapā jūsu tīmekļa pārlūkprogrammas iekšpusē, var nosūtīt UPnP pieprasījumu maršrutētājam un lūgt to pārsūtīt ostas. Piemēram, sīklietotne var lūgt maršrutētāju pārsūtīt 1-65535 porcijas uz jūsu datoru, faktiski pakļaujot to visam internetam. Uzbrucējam būtu jāizmanto tīkla pakalpojuma neaizsargātība, kas darbojas jūsu datorā pēc tam, kad tas noticis, lai gan - ugunsmūra izmantošana datorā palīdzēs jums aizsargāt.

Diemžēl tas pasliktinās - dažiem maršrutētājiem Flash sīklietotne var mainīt primāro DNS serveri ar UPnP pieprasījumu. Portu pāradresācija būtu vismazākā no jūsu bažām - ļaunprātīgs DNS serveris varētu novirzīt trafiku uz citām vietnēm. Piemēram, tā var pilnībā norādīt Facebook.com citā IP adresē - jūsu tīmekļa pārlūkprogrammas adreses joslā būtu teikts Facebook.com, bet jūs varētu izmantot tīmekļa vietni, ko izveidojusi ļaunprātīga organizācija.

Vai tā ir problēma? Jā. Es nevaru atrast nekādas norādes, ka tas jebkad ir fiksēts. Pat ja tas būtu fiksēts (tas būtu grūti, jo tā ir problēma ar pašu UPnP protokolu), daudzi vecāki maršrutētāji, kas joprojām tiek izmantoti, būtu neaizsargāti..

Slikti UPnP realizācijas maršrutētāji

UPnP Hacks tīmekļa vietnē ir detalizēts drošības jautājumu saraksts, kā dažādi maršrutētāji īsteno UPnP. Tās ne vienmēr ir saistītas ar UPnP; viņi bieži vien saskaras ar UPnP ieviešanu. Piemēram, daudzi maršrutētāju UPnP implementācijas nepārbauda ievadi pareizi. Ļaunprātīga lietojumprogramma var pieprasīt maršrutētājam novirzīt tīklu uz attālinātām IP adresēm internetā (vietējo IP adresi vietā) un maršrutētājs atbilstu. Dažos Linux maršrutos ir iespējams izmantot UPnP, lai vadītu maršrutētāju komandas. (Avots) Tīmekļa vietnē ir uzskaitītas daudzas citas šādas problēmas.

Vai tā ir problēma? Jā! Miljoniem savvaļas maršrutētāju ir neaizsargāti. Daudzi maršrutētāju ražotāji nav darījuši labu darbu, lai nodrošinātu savu UPnP ieviešanu.

Image Credit: Ben Mason par Flickr

Ja jūs atspējojat UPnP?

Kad es sāku rakstīt šo amatu, es gaidīju, ka secināšu, ka UPnP trūkumi bija diezgan mazi, un tas ir vienkāršs jautājums par mazliet drošas tirdzniecības veikšanu. Diemžēl šķiet, ka UPnP ir daudz problēmu. Ja jūs neizmantojat lietojumprogrammas, kurām nepieciešama portu pāradresācija, piemēram, vienādranga lietojumprogrammas, spēļu serveri un daudzas VoIP programmas, jums var būt labāk izslēgt UPnP. Šo lietojumprogrammu smagie lietotāji vēlēsies apsvērt, vai viņi ir gatavi atteikties no drošības. Jūs joprojām varat pārsūtīt ostas bez UPnP; tas ir tikai nedaudz vairāk. Pārbaudiet mūsu ceļvedi ostas pāradresēšanai.

No otras puses, šie maršrutētāju trūkumi netiek aktīvi izmantoti savvaļā, tāpēc faktiskā iespēja, ka jūs saskaraties ar ļaunprātīgu programmatūru, kas izmanto trūkumus jūsu maršrutētāja UPnP ieviešanā, ir diezgan zema. Dažas ļaunprātīgas programmatūras izmanto UPnP, lai pārsūtītu ostas (piemēram, Conficker tārps), bet es neesmu saskārusies ar kādu ļaunprātīgu programmatūru, kas izmanto šos maršrutētāju trūkumus.

Kā to atspējot? Ja jūsu maršrutētājs atbalsta UPnP, jūs atradīsiet iespēju to atspējot savā tīmekļa saskarnē. Plašāku informāciju skatiet maršrutētāja rokasgrāmatā.

Vai jūs nepiekrītat UPnP drošībai? Atstājiet savu komentāru!