Je UPnP bezpečnostní riziko?

UPnP je ve výchozím nastavení povolen na mnoha nových směrovačích. V jednom okamžiku FBI a další bezpečnostní experti doporučili deaktivovat UPnP z bezpečnostních důvodů. Jak bezpečný je však dnes UPnP? Obchodujeme se zabezpečením pro pohodlí při používání UPnP?

UPnP znamená „Universal Plug and Play“. Pomocí UPnP může aplikace automaticky předávat port na vašem routeru, což vám ušetří potíže s předáváním portů ručně. Podíváme se na důvody, proč lidé doporučují deaktivovat UPnP, abychom získali jasný obraz o bezpečnostních rizicích.

Uznání obrázku: comedy_nose na Flickru

Malware ve vaší síti může používat UPnP

Virus, trojský kůň, červ nebo jiný škodlivý program, který dokáže infikovat počítač v místní síti, může používat UPnP, stejně jako legitimní programy. Zatímco směrovač obvykle blokuje příchozí připojení a brání tak škodlivému přístupu, UPnP může umožnit škodlivému programu úplně obejít bránu firewall. Například trojský kůň by mohl do vašeho počítače nainstalovat program dálkového ovládání a otevřít pro něj díru ve firewallu routeru, což by umožňovalo 24/7 přístup k vašemu počítači z Internetu. Pokud byl UPnP deaktivován, program nemohl otevřít port - i když by mohl obejít bránu firewall jinými způsoby a telefonovat domů.

Je to problém? Ano. Tento problém nelze obejít - UPnP předpokládá, že místní programy jsou důvěryhodné a umožní jim předávat porty. Pokud je pro vás malware, který nedokáže předávat porty, důležitý, budete chtít deaktivovat UPnP.

FBI řekla lidem, aby zakázali UPnP

Ke konci roku 2001 doporučilo Národní centrum ochrany infrastruktury FBI všem uživatelům zakázat UPnP kvůli přetečení vyrovnávací paměti v systému Windows XP. Tato chyba byla opravena bezpečnostní opravou. NIPC ve skutečnosti vydal opravu této rady později, poté, co si uvědomili, že problém nebyl v samotné UPnP. (Zdroj)

Je to problém? Ne. I když si někteří lidé mohou pamatovat doporučení NIPC a mají negativní názor na UPnP, tato rada byla v té době zavádějící a konkrétní problém byl vyřešen opravou pro Windows XP před více než deseti lety.

Uznání: Carsten Lorentzen na Flickr

Flash UPnP útok

UPnP nevyžaduje od uživatele žádný druh autentizace. Jakákoli aplikace spuštěná ve vašem počítači může požádat směrovač o předání portu přes UPnP, což je důvod, proč výše uvedený malware může zneužít UPnP. Můžete předpokládat, že jste v bezpečí, pokud na žádném místním zařízení neběží žádný malware - ale pravděpodobně se mýlíte.

Flash UPnP Attack byl objeven v roce 2008. Speciálně vytvořený applet Flash, který běží na webové stránce ve webovém prohlížeči, může odeslat požadavek UPnP na váš směrovač a požádat jej o předání portů. Například applet může požádat směrovač, aby předal porty 1-65535 do vašeho počítače a účinně jej vystavil celému internetu. Poté by však útočník musel zneužít chybu zabezpečení v síťové službě běžící na vašem počítači - použití brány firewall v počítači vás ochrání.

Bohužel se to zhoršuje - na některých směrovačích může applet Flash změnit primární server DNS s požadavkem UPnP. Přesměrování portů by vás znepokojovalo nejméně - škodlivý server DNS by mohl přesměrovat provoz na jiné webové stránky. Mohlo by to například nasměrovat Facebook.com úplně na jinou IP adresu - adresní řádek vašeho webového prohlížeče by řekl Facebook.com, ale používali byste web nastavený škodlivou organizací.

Je to problém? Ano. Nemohu najít žádný náznak toho, že by to bylo někdy opraveno. I kdyby to bylo opraveno (to by bylo obtížné, protože to je problém samotného protokolu UPnP), mnoho starších routerů, které se stále používají, by bylo zranitelných.

Špatné implementace UPnP na směrovačích

Web UPnP Hacks obsahuje podrobný seznam bezpečnostních problémů ve způsobech, jak různé směrovače implementují UPnP. Nejsou to nutně problémy se samotným UPnP; jsou často problémy s implementacemi UPnP. Například implementace UPnP mnoha směrovačů nekontrolují vstup správně. Škodlivá aplikace může požadovat, aby směrovač přesměroval síťový provoz na vzdálené adresy IP v Internetu (namísto místních adres IP) a směrovač by vyhověl. Na některých směrovačích založených na Linuxu je možné využít UPnP ke spouštění příkazů na routeru. (Zdroj) Web uvádí mnoho dalších podobných problémů.

Je to problém? Ano! Miliony routerů ve volné přírodě jsou zranitelné. Mnoho výrobců routerů neodvedlo dobrou práci se zabezpečením svých implementací UPnP.

Uznání obrázku: Ben Mason na Flickr

Měli byste deaktivovat UPnP?

Když jsem začal psát tento příspěvek, očekával jsem, že dojde k závěru, že chyby UPnP byly poměrně malé, což je jednoduchá záležitost obchodování s trochou bezpečnosti pro větší pohodlí. Bohužel se zdá, že UPnP má spoustu problémů. Pokud nepoužíváte aplikace, které potřebují přesměrování portů, například aplikace typu peer-to-peer, herní servery a mnoho programů VoIP, může být lepší úplně deaktivovat UPnP. Těžcí uživatelé těchto aplikací budou chtít zvážit, zda jsou připraveni vzdát se jistého zabezpečení. Stále můžete přeposílat porty bez UPnP; je to jen trochu víc práce. Podívejte se na našeho průvodce přesměrováním portů.

Na druhou stranu se tyto chyby routeru aktivně nepoužívají ve volné přírodě, takže skutečná šance, že narazíte na škodlivý software, který využívá chyby v implementaci UPnP vašeho routeru, je poměrně nízká. Některý malware používá UPnP k předávání portů (například červ Conficker), ale nenarazil jsem na příklad malwaru využívajícího těchto chyb routeru.

Jak to deaktivuji? Pokud váš směrovač podporuje UPnP, najdete možnost deaktivovat jej ve webovém rozhraní. Další informace najdete v příručce k routeru.

Nesouhlasíte s bezpečností UPnP? Zanechat komentář!