UPnP je ve výchozím nastavení povoleno na mnoha nových směrovačích. V jednom okamžiku FBI a další bezpečnostní odborníci doporučili z bezpečnostních důvodů zakázat UPnP. Ale jak bezpečná je UPnP dnes? Zabezpečujeme obchodování s bezpečností pro použití UPnP?
UPnP znamená "Universal Plug and Play". Pomocí aplikace UPnP může aplikace automaticky předávat port na směrovači a ušetřit tak potíže s porty přesměrování ručně. Budeme se zabývat důvody, proč lidé doporučují zakázání UPnP, takže můžeme získat jasný obraz o bezpečnostních rizicích.
Image Credit: comedy_nose na Flickr
Trojský kůň, červ nebo jiný škodlivý program, který dokáže infikovat počítač v místní síti, může používat UPnP stejně jako oprávněné programy. Zatímco směrovač obvykle zablokuje příchozí připojení a brání nějakému škodlivému přístupu, UPnP by mohl umožnit škodlivému programu zcela vynechat firewall. Například trójský kůň může na svém počítači nainstalovat program vzdáleného řízení a otevřít díru v bráně brány firewallu tak, aby umožnil přístup k vašemu počítači 24 hodin denně z internetu. Pokud byl program UPnP zakázán, program nemohl otevřít port - ačkoli by mohl obejít bránu firewall jinými způsoby a telefonovat domů
Je to problém? Ano. UPnP předpokládá, že místní programy jsou důvěryhodné a umožňují jim předávat porty. Pokud je malware, který není schopen přesměrovat porty, je pro vás důležitý, budete chtít vypnout UPnP.
V blízkosti konce roku 2001 FBI národní ochrana infrastruktury chránila všechny uživatele zakázat UPnP kvůli přetečení vyrovnávací paměti v systému Windows XP. Tato chyba byla opravena opravou zabezpečení. NIPC skutečně vydala opravu pro tuto radu později poté, co si uvědomila, že problém není v UPnP samotném. (Zdroj)
Je to problém? Č. Zatímco někteří lidé mohou pamatovat na poradenství NIPC a mít negativní pohled na UPnP, tato rada byla v té době špatně řešena a konkrétní problém byl vyřešen patch pro Windows XP před více než deseti lety
Image Credit: Carsten Lorentzen na Flickr
UPnP nevyžaduje od uživatele žádné ověřování. Každá aplikace spuštěná v počítači může požádat směrovač, aby předal port přes UPnP, a proto výše uvedený malware může zneužívat UPnP. Předpokládejme, že jste v bezpečí, pokud na libovolném místním zařízení neprobíhá žádný malware - ale pravděpodobně se mýlíte.
Flash UPnP Attack byl objeven v roce 2008. Speciálně vytvořený applet Flash běžící na webové stránce ve vašem webovém prohlížeči, můžete odeslat požadavek na UPnP směrovači a požádat jej o předání portů. Aplet může například požádat směrovač, aby předal porty 1-65535 do vašeho počítače a efektivně ho vystavil celému Internetu. Útočník by však musel zneužít zranitelnost v síťové službě běžící na vašem počítači poté, co se to stane - pomocí firewallu v počítači vám pomůže chránit vás.
Bohužel se to zhoršuje - u některých směrovačů může být použita aplikace Flash změňte primární server DNS požadavkem UPnP. Přesměrování portů by bylo nejmenším z vašich starostí - škodlivý server DNS by mohl přesměrovat provoz na jiné webové stránky. Například to by mohlo odkazovat na Facebook.com úplně na jinou adresu IP - adresní lišta vašeho webového prohlížeče by řekla Facebook.com, ale používáte webovou stránku vytvořenou škodlivou organizací
Je to problém? Ano. Nenašel jsem žádnou známku toho, že to bylo někdy opraveno. I kdyby to bylo opraveno (to by bylo obtížné, protože to je problém s samotným protokolem UPnP), mnoho starších směrovačů, které jsou stále v provozu, by bylo zranitelné.
Webová stránka UPnP Hacks obsahuje podrobný seznam bezpečnostních problémů způsobů, jakými různé směrovače implementují UPnP. Nejsou to nutně problémy s UPnP samotným; jsou často problémy s implementacemi UPnP. Například implementace UPnP mnoha směrovačů správně nekontrolují vstup. Škodlivá aplikace může požádat směrovač, aby přesměroval síť na vzdálené adresy IP na internetu (místo místních adres IP) a směrovač by vyhověl. Na některých směrovačích se systémem Linux je možné využívat službu UPnP pro spouštění příkazů na směrovači. (Zdroj) Na webu jsou uvedeny mnohé další podobné problémy.
Je to problém? Ano! Milióny směrovačů ve volné přírodě jsou zranitelné. Mnoho výrobců směrovačů neudělalo dobrou práci při zajišťování svých implementací UPnP
Image Credit: Ben Mason na Flickr
Když jsem začal psát tento příspěvek, očekával jsem, že dojde k závěru, chyby byly poměrně malé, jednoduchá záležitost obchodování trochu bezpečnosti pro jisté pohodlí. Bohužel se zdá, že UPnP má spoustu problémů. Pokud nepoužíváte aplikace, které potřebují přesměrování portů, například aplikace typu peer-to-peer, herní servery a mnoho VoIP programů, možná byste radši zcela zakázali UPnP. Těžší uživatelé těchto aplikací si přeje zvážit, zda jsou připraveni vzdát se určitého zabezpečení. Porty můžete stále předávat bez UPnP; je to jen trochu víc práce. Podívejte se na naši příručku pro přesměrování portů
Na druhé straně tyto chyby směrovače nejsou aktivně používány ve volné přírodě, takže skutečná šance, že narazíte na škodlivý software, který využívá nedostatků v implementaci UPnP směrovače, je spravedlivě nízký. Některé škodlivé programy používají protokol UPnP k předávání portů (například červa Conficker), ale nepřišel jsem k příkladu malwaru, který by tyto chyby směrovače využíval.
Jak jej zakážu? směrovač podporuje službu UPnP, najdete možnost jeho zakázání ve webovém rozhraní. Podrobnější informace najdete v příručce směrovače. Nesouhlasíte s jistotou UPnP? Zanechat komentář!
Jak importovat články mezi Pocket a Instapaperem
Pokud uvažujete o tom, že opustíte svou čtenářskou aplikaci pro zelené pastviny, nemusíte začít od začátku. Zde je návod, jak přesunout vše od Pocket to Instapaper nebo naopak bez ztráty. SOUVISEJÍCÍ: Jak poslat články do vašeho Kindle pro pozdější čtení pomocí Tinderizer, Instapaper nebo Pocket Proč se pohybovat?
Jak zabít program "Nereaguje" Pokud Správce úloh selže
Systém Windows informuje, že program přestal reagovat, rozhodli jste se ukončit program a nic se neděje, zkuste jej ukončit Správce úloh a nic se nestane, a tam jste, uvízl v neúspěšném, ale nevratném programu. Co můžeš udělat? Čtěte dále, když pomáháme čtenáři HTG zabít svého draka. Vážený Geek, Existuje aplikace, kterou musím použít pro práci, která je, myslím, extrémně nestabilní.