Je UPnP bezpečnostným rizikom?

UPnP je predvolene povolený na mnohých nových smerovačoch. V jednom okamihu FBI a ďalší bezpečnostní experti odporúčali deaktivovať UPnP z bezpečnostných dôvodov. Nakoľko je však dnes UPnP bezpečný? Obchodujeme so zabezpečením pre pohodlie pri používaní UPnP?

UPnP je skratka pre „Universal Plug and Play“. Pomocou UPnP môže aplikácia automaticky presmerovať port na vašom smerovači, čo vám ušetrí starosti s presmerovaním portov manuálne. Pozrime sa na dôvody, ktoré ľudia odporúčajú deaktivovať UPnP, aby sme mohli získať jasný obraz o bezpečnostných rizikách.

Uznanie obrázka: comedy_nose na Flickri

Malvér vo vašej sieti môže používať UPnP

Vírus, trójsky kôň, červ alebo iný škodlivý program, ktorý dokáže infikovať počítač v miestnej sieti, môže používať UPnP rovnako ako legitímne programy. Zatiaľ čo smerovač zvyčajne blokuje prichádzajúce spojenia a bráni tak škodlivému prístupu, program UPnP môže škodlivému programu umožniť úplné obídenie brány firewall. Napríklad trójsky kôň by mohol do vášho počítača nainštalovať program diaľkového ovládania a otvoriť mu otvor v bráne firewall smerovača, čo umožní nepretržitý prístup k vášmu počítaču z Internetu. Ak by bola funkcia UPnP deaktivovaná, program nemohol otvoriť port - aj keď by mohol bránu firewall obísť inými spôsobmi a zavolať domov.

Je to problém? Áno. Tento program sa už nedá obísť - UPnP predpokladá, že miestne programy sú dôveryhodné a umožňuje im presmerovať porty. Ak je pre vás malware, ktorý nedokáže presmerovať porty, dôležitý, mali by ste deaktivovať UPnP.

FBI povedala ľuďom, aby zakázali UPnP

Koncom roka 2001 odporúčalo Národné centrum ochrany infraštruktúry FBI všetkým používateľom deaktiváciu UPnP z dôvodu pretečenia vyrovnávacej pamäte v systéme Windows XP. Túto chybu opravila bezpečnostná oprava. NIPC skutočne vydal opravu tejto rady neskôr, keď si uvedomili, že problém nebol v samotnom UPnP. (Zdroj)

Je to problém? Nie. Aj keď si niektorí ľudia môžu pamätať rady organizácie NIPC a majú negatívny názor na UPnP, táto rada bola v tom čase scestná a konkrétny problém bol vyriešený opravou pre Windows XP pred viac ako desiatimi rokmi.

Image Credit: Carsten Lorentzen na Flickri

Flash UPnP útok

UPnP nevyžaduje od používateľa žiadny druh autentifikácie. Akákoľvek aplikácia spustená na vašom počítači môže požiadať smerovač o preposlanie portu cez UPnP, čo je dôvod, prečo vyššie uvedený malware môže UPnP zneužiť. Môžete predpokladať, že ste v bezpečí, pokiaľ sa na žiadnom lokálnom zariadení nespustí žiadny malware - ale pravdepodobne sa mýlite.

Flash UPnP Attack bol objavený v roku 2008. Špeciálne vytvorený applet Flash, ktorý beží na webovej stránke vo vašom webovom prehliadači, môže poslať požiadavku UPnP na váš smerovač a požiadať ho o preposielanie portov. Napríklad applet môže požiadať smerovač o preposlanie portov 1 - 65535 do vášho počítača, čím ho efektívne vystaví celému internetu. Útočník by po tom však musel zneužiť chybu zabezpečenia v sieťovej službe spustenej na vašom počítači - použitie brány firewall v počítači vás ochráni.

Bohužiaľ sa to zhoršuje - na niektorých smerovačoch môže applet Flash zmeniť primárny server DNS s požiadavkou UPnP. Najmenej z vašich starostí by bolo presmerovanie portov - škodlivý server DNS by mohol presmerovať prenos na iné webové stránky. Napríklad by to mohlo smerovať Facebook.com na inú IP adresu úplne - panel s adresou vášho webového prehliadača by povedal Facebook.com, ale vy by ste používali web nastavený škodlivou organizáciou.

Je to problém? Áno. Nemôžem nájsť nijaký náznak toho, že sa to niekedy opravilo. Aj keby to bolo opravené (to by bolo ťažké, pretože to je problém samotného protokolu UPnP), mnoho stále používaných smerovačov by bolo zraniteľných.

Zlé implementácie UPnP na smerovačoch

Web UPnP Hacks obsahuje podrobný zoznam bezpečnostných problémov v spôsoboch implementácie UPnP rôznymi smerovačmi. Nie sú to nevyhnutne problémy so samotným UPnP; často majú problémy s implementáciou UPnP. Napríklad implementácia UPnP mnohých smerovačov nekontroluje vstup správne. Škodlivá aplikácia môže požiadať smerovač, aby presmeroval sieťový prenos na vzdialené adresy IP na internete (namiesto miestnych adries IP), a smerovač by vyhovel. Na niektorých smerovačoch založených na systéme Linux je možné využiť UPnP na vykonávanie príkazov na smerovači. (Zdroj) Web obsahuje mnoho ďalších podobných problémov.

Je to problém? Áno! Milióny smerovačov vo voľnej prírode sú zraniteľné. Mnoho výrobcov smerovačov neurobilo dobrú prácu so zabezpečením svojich implementácií UPnP.

Image Credit: Ben Mason na Flickri

Mali by ste zakázať UPnP?

Keď som začal písať tento príspevok, očakával som, že prídem k záveru, že chyby UPnP boli pomerne malé, jednoduchá záležitosť, kvôli ľahkej obchodovateľnosti, s trochou zabezpečenia. Bohužiaľ sa zdá, že UPnP má veľa problémov. Ak nepoužívate aplikácie, ktoré potrebujú presmerovanie portov, ako sú aplikácie typu peer-to-peer, herné servery a mnoho programov VoIP, môže byť lepšie úplnú deaktiváciu UPnP. Nároční používatelia týchto aplikácií budú chcieť zvážiť, či sú pripravení vzdať sa zabezpečenia kvôli pohodliu. Stále môžete posielať porty ďalej bez UPnP; je to len o niečo viac práce. Prečítajte si nášho sprievodcu presmerovaním portov.

Na druhej strane, tieto chyby smerovača sa aktívne nepoužívajú vo voľnej prírode, takže skutočná šanca, že narazíte na škodlivý softvér, ktorý využíva nedostatky v implementácii UPnP vášho smerovača, je pomerne nízka. Niektorý malware síce používa UPnP na presmerovanie portov (napríklad červ Conficker), ale nestretol som sa s príkladom škodlivého softvéru, ktorý by využíval tieto chyby smerovača.

Ako to vypnem? Ak váš smerovač podporuje UPnP, vo svojom webovom rozhraní nájdete možnosť jeho deaktivácie. Ďalšie informácie nájdete v príručke k smerovaču.

Nesúhlasíte s bezpečnosťou UPnP? Zanechať komentár!