Je UPnP sociálny risk? Nastavenie router a switch.
UPnP je predvolene povolený na mnohých nových smerovačoch – routeroch. V jednom okamihu FBI a ďalší bezpečnostní experti odporúčali deaktivovať UPnP z bezpečnostných dôvodov. Nakoľko je však dnes UPnP bezpečný? Obchodujeme so zabezpečením pre pohodlie pri používaní UPnP?
UPnP je skratka pre „Universal Plug and Play“. Pomocou UPnP môže aplikácia automaticky presmerovať port na vašom smerovači, čo vám ušetrí starosti s presmerovaním portov manuálne. Pozrime sa na dôvody, pre ktoré ľudia odporúčajú deaktivovať UPnP, aby sme získali jasný obraz o bezpečnostných rizikách.
Malvér vo vašej sieti môže používať UPnP
Vírus, trójsky kôň, červ alebo iný škodlivý program, ktorý dokáže infikovať počítač v miestnej sieti, môže používať UPnP rovnako ako legitímne programy. Zatiaľ čo smerovač zvyčajne blokuje prichádzajúce spojenia a bráni tak škodlivému prístupu, program UPnP môže škodlivému programu umožniť úplné obídenie brány firewall. Napríklad trójsky kôň by mohol do vášho počítača nainštalovať program diaľkového ovládania a otvoriť mu otvor v bráne firewall smerovača, čo umožní nepretržitý prístup k vášmu počítaču z Internetu. Ak by bola zakázaná funkcia UPnP, program nemohol otvoriť port – hoci by mohol bránu firewall obísť inými spôsobmi a zavolať domov.
Je to problém? Áno. Tento program sa už nedá obísť – UPnP predpokladá, že miestne programy sú dôveryhodné a umožňuje im presmerovať porty. Ak je pre vás malware, ktorý nedokáže presmerovať porty, dôležitý, mali by ste deaktivovať UPnP.
FBI odporúča ľuďom, aby UPnP prestali používať
Koncom roka 2001 odporúčalo Národné centrum ochrany infraštruktúry FBI všetkým používateľom deaktiváciu UPnP z dôvodu pretečenia vyrovnávacej pamäte v systéme Windows XP. Túto chybu opravila bezpečnostná oprava. NIPC skutočne vydal opravu tejto rady neskôr, keď si uvedomili, že problém nebol v samotnom UPnP.
Je to problém? Nie. Aj keď si niektorí ľudia môžu pamätať rady NIPC a majú negatívny názor na UPnP, boli tieto rady v tom čase zavádzajúce a konkrétny problém bol vyriešený opravou pre Windows XP pred viac ako desiatimi rokmi.
Bleskový UPnP útok
UPnP nevyžaduje od používateľa žiadny druh autentifikácie. Akákoľvek aplikácia spustená na vašom počítači môže požiadať smerovač o preposlanie portu cez UPnP, čo je dôvod, prečo vyššie uvedený malware môže UPnP zneužiť. Môžete predpokladať, že ste zabezpečení, pokiaľ na žiadnom lokálnom zariadení nie je spustený žiadny malware – ale pravdepodobne sa mýlite.
Flash UPnP Attack bol objavený v roku 2008. Špeciálne vytvorený applet Flash, ktorý beží na webovej stránke vo vašom webovom prehliadači, môže poslať požiadavku UPnP na váš smerovač a požiadať ho o preposielanie portov. Napríklad applet môže požiadať smerovač o preposlanie portov 1-65535 do vášho počítača, čím ho efektívne vystaví celému internetu. Útočník by po tom však musel zneužiť chybu zabezpečenia v sieťovej službe spustenej na vašom počítači – použitie brány firewall v počítači vás ochráni.
Bohužiaľ sa to zhoršuje – na niektorých smerovačoch môže applet Flash zmeniť primárny server DNS s požiadavkou UPnP. Najmenej z vašich starostí by bolo presmerovanie portov – škodlivý server DNS by mohol presmerovať prenos na iné webové stránky. Napríklad by to mohlo smerovať Facebook.com úplne na inú IP adresu – panel s adresou vášho webového prehliadača by povedal Facebook.com, ale vy by ste používali web nastavený škodlivou organizáciou.
Je to problém? Áno. Nemôžem nájsť nijaký náznak toho, že by to bolo niekedy opravené. Aj keby to bolo opravené (to by bolo ťažké, pretože to je problém samotného protokolu UPnP), mnoho stále používaných smerovačov by bolo zraniteľných.
Zlé implementácie UPnP na smerovačoch
Web UPnP Hacks obsahuje podrobný zoznam bezpečnostných problémov v spôsoboch implementácie UPnP rôznymi smerovačmi. Nie sú to nevyhnutne problémy so samotným UPnP; s implementáciou UPnP majú často problémy. Napríklad mnoho implementácií UPnP smerovačov nekontroluje vstup správne. Škodlivá aplikácia môže požiadať smerovač, aby presmeroval sieťový prenos na vzdialené adresy IP na internete (namiesto miestnych adries IP), a smerovač by vyhovel. Na niektorých smerovačoch založených na systéme Linux je možné využiť UPnP na vykonávanie príkazov na smerovači. (Zdroj) Web obsahuje mnoho ďalších podobných problémov.
Je to problém? Áno! Milióny smerovačov vo voľnej prírode sú zraniteľné. Mnoho výrobcov smerovačov neurobilo dobrú prácu so zabezpečením svojich implementácií UPnP.
Mali by ste UPnP vypnúť?
Keď som začal písať tento príspevok, očakával som, že prídem k záveru, že chyby UPnP boli pomerne malé, jednoduchá záležitosť, kvôli ľahkej obchodovateľnosti, s trochou zabezpečenia. Bohužiaľ sa zdá, že UPnP má veľa problémov. Ak nepoužívate aplikácie, ktoré potrebujú presmerovanie portov, ako sú aplikácie typu peer-to-peer, herné servery a mnoho programov VoIP, môže byť lepšie úplnú deaktiváciu UPnP. Nároční používatelia týchto aplikácií budú chcieť zvážiť, či sú pripravení vzdať sa istého zabezpečenia. Stále môžete posielať porty ďalej bez UPnP; je to len o niečo viac práce. Prečítajte si nášho sprievodcu presmerovaním portov.
Na druhej strane sa tieto chyby smerovača aktívne nepoužívajú vo voľnej prírode, takže skutočná šanca, že narazíte na škodlivý softvér, ktorý využíva medzery v implementácii UPnP vášho smerovača, je pomerne nízka. Niektorý škodlivý softvér používa UPnP na presmerovanie portov (napríklad červ Conficker), ale nestretol som sa s príkladom škodlivého softvéru, ktorý by využíval tieto chyby smerovača.
Ako to vypnem? Ak váš smerovač podporuje UPnP, v jeho webovom rozhraní nájdete možnosť, ako ho deaktivovať. Ďalšie informácie nájdete v príručke k smerovaču.