Er UPnP en sikkerhedsrisiko?
UPnP aktiveres som standard på mange nye routere. På et tidspunkt anbefalede FBI og andre sikkerhedseksperter at deaktivere UPnP af sikkerhedsmæssige årsager. Men hvor sikker er UPnP i dag? Er vi handelsmæssige sikkerhed for nemheds skyld, når vi bruger UPnP?
UPnP står for "Universal Plug and Play." Ved hjælp af UPnP, kan en applikation automatisk videresende en port på din router, hvilket sparer besværet med videresendelsesporte manuelt. Vi vil se på de grunde, som folk anbefaler at deaktivere UPnP, så vi kan få et klart billede af sikkerhedsrisikoen.
Billedkredit: Comedy_nose på Flickr
Malware på dit netværk kan bruge UPnP
En virus, trojansk hest, orm eller andet ondsindet program, der formår at inficere en computer på dit lokale netværk, kan bruge UPnP, ligesom legitime programmer kan. Mens en router normalt blokerer indgående forbindelser og forhindrer en eller anden ondsindet adgang, kan UPnP tillade et ondsindet program fuldstændigt at omgå firewallet. For eksempel kan en trojansk hest installere et fjernbetjeningsprogram på din computer og åbne et hul for det i din routerens firewall, hvilket giver 24/7 adgang til din computer fra internettet. Hvis UPnP blev deaktiveret, kunne programmet ikke åbne porten - selvom det kunne omgå firewallen på andre måder og ringe hjem.
Er dette et problem? Ja. Der er ingen at komme rundt om denne - UPnP forudsætter at lokale programmer er troværdige og giver dem mulighed for at videresende havne. Hvis malware ikke er i stand til at sende porte, er det vigtigt for dig, vil du gerne deaktivere UPnP.
FBI fortalt folk at deaktivere UPnP
I slutningen af 2001 anbefalede FBI's National Infrastructure Protection Center alle brugere at deaktivere UPnP på grund af et bufferoverløb i Windows XP. Denne fejl blev rettet af en sikkerhedsrettelse. NIPC udstedte faktisk en rettelse til dette råd senere, efter at de indså, at problemet ikke var i UPnP selv. (Kilde)
Er dette et problem? Ingen. Mens nogle mennesker kan huske NIPCs rådgivende og få negativ opfattelse af UPnP, var dette råd misforstået på det tidspunkt, og det specifikke problem blev fastsat af en patch til Windows XP for over ti år siden.
Billedkredit: Carsten Lorentzen på Flickr
Flash UPnP Attack
UPnP kræver ikke nogen form for godkendelse fra brugeren. Enhver applikation, der kører på din computer, kan bede routeren om at videresende en port over UPnP, hvorfor malware ovenfor kan misbruge UPnP. Du kan antage, at du er sikker, så længe der ikke kører nogen malware på lokale enheder - men det er sikkert du er forkert.
Flash UPnP Attack blev opdaget i 2008. En specielt udformet Flash-applet, der kører på en webside inde i din webbrowser, kan sende en UPnP-anmodning til din router og bede den om at videresende porte. For eksempel kan appleten bede routeren om at sende porte 1-65535 til din computer, hvilket effektivt udsætter det for hele internettet. Angregeren skal udnytte en sårbarhed i en netværkstjeneste, der kører på din computer, efter at have gjort det - men ved hjælp af en firewall på din computer vil du beskytte dig.
Desværre bliver det værre - på nogle routere kan en Flash-applet ændre den primære DNS-server med en UPnP-anmodning. Port forwarding ville være mindst af dine bekymringer - en ondsindet DNS-server kunne omdirigere trafik til andre hjemmesider. For eksempel kan det pege Facebook.com på en anden IP-adresse helt - din webbrowsers adresselinje ville sige Facebook.com, men du ville bruge et websted oprettet af en ondsindet organisation.
Er dette et problem? Ja. Jeg kan ikke finde nogen form for indikation på, at dette nogensinde blev rettet. Selv om det blev løst (det ville være svært, da dette er et problem med UPnP-protokollen selv), ville mange ældre routere, der stadig var i brug, være sårbare.
Dårlige UPnP implementeringer på routere
UPnP Hacks hjemmeside indeholder en detaljeret liste over sikkerhedsproblemer på de måder, hvorpå forskellige routere implementerer UPnP. Dette er ikke nødvendigvis problemer med UPnP selv; de er ofte problemer med UPnP implementeringer. For eksempel kontrollerer mange routers UPnP-implementeringer ikke indtastningen korrekt. En ondsindet applikation kan muligvis spørge en router om at omdirigere netværk til eksterne IP-adresser på internettet (i stedet for lokale IP-adresser), og routeren overholder. På nogle Linux-baserede routere er det muligt at udnytte UPnP til at køre kommandoer på routeren. (Kilde) Webstedet indeholder mange andre sådanne problemer.
Er dette et problem? Ja! Millioner af routere i naturen er sårbare. Mange routerfabrikanter har ikke gjort et godt stykke arbejde med at sikre deres UPnP-implementeringer.
Billedkredit: Ben Mason på Flickr
Skal du deaktivere UPnP?
Da jeg begyndte at skrive dette indlæg, forventede jeg at konkludere, at UPnP's fejl var temmelig små, et simpelt spørgsmål om at handle lidt sikkerhed for en vis bekvemmelighed. Desværre ser det ud til, at UPnP har mange problemer. Hvis du ikke bruger applikationer, der kræver portvideresendelse, f.eks. Peer-to-peer-applikationer, spilservers og mange VoIP-programmer, kan du være bedre at deaktivere UPnP helt. Tung brugere af disse applikationer vil gerne overveje, om de er villige til at opgive en vis sikkerhed for at gøre det lettere. Du kan stadig videresende porte uden UPnP; det er bare lidt mere arbejde. Se vores guide til port videresendelse.
På den anden side er disse routerfejl ikke aktivt brugt i naturen, så den reelle chance for at du kommer på tværs af ondsindet software, der udnytter fejl i din routerens UPnP-implementering, er ret lav. Nogle malware bruger UPnP til at sende porte (for eksempel Conficker-ormen), men jeg har ikke fundet et eksempel på et stykke malware, der udnytter disse routerfejl.
Hvordan deaktiverer jeg det? Hvis din router understøtter UPnP, finder du en mulighed for at deaktivere den i sin web-interface. Kontakt din router manual for yderligere information.
Er du uenig i UPnPs sikkerhed? Efterlad en kommentar!