האם UPnP מהווה סיכון ביטחוני?

UPnP מופעל כברירת מחדל בנתבים חדשים רבים. בשלב מסוים המליצו ה- FBI ומומחי אבטחה אחרים להשבית את UPnP מטעמי אבטחה. אבל עד כמה UPnP מאובטח כיום? האם אנו סוחרים אבטחה מטעמי נוחות בעת שימוש ב- UPnP?

UPnP מייצג "Plug and Play אוניברסלי". באמצעות UPnP, יישום יכול להעביר אוטומטית יציאה בנתב שלך, ולחסוך לך את הטרחה של העברת יציאות באופן ידני. נבדוק את הסיבות שאנשים ממליצים להשבית את UPnP, כדי שנוכל לקבל תמונה ברורה של סיכוני האבטחה.

קרדיט תמונה: comedy_nose על פליקר

תוכנות זדוניות ברשת שלך יכולות להשתמש ב- UPnP

וירוס, סוס טרויאני, תולעת או תוכנית זדונית אחרת שמצליחה להדביק מחשב ברשת המקומית שלך יכולים להשתמש ב- UPnP, בדיוק כמו שתוכניות לגיטימיות יכולות. בעוד שבדרך כלל נתב חוסם חיבורים נכנסים, ומונע גישה זדונית כלשהי, UPnP יכול לאפשר לתוכנית זדונית לעקוף את חומת האש לחלוטין. לדוגמה, סוס טרויאני יכול להתקין תוכנית שליטה מרחוק במחשב שלך ולפתוח לה חור בחומת האש של הנתב שלך, ומאפשר גישה 24/7 למחשב שלך מהאינטרנט. אם UPnP היו מושבתים, התוכנית לא הצליחה לפתוח את היציאה - אם כי היא עלולה לעקוף את חומת האש בדרכים אחרות ולהעביר את הטלפון לבית.

האם זוהי בעיה? כן. אין אפשרות לעקוף את זה - UPnP מניחה שתוכניות מקומיות אמינות ומאפשרות להעביר יציאות. אם חשוב לך תוכנה זדונית שאינה יכולה להעביר יציאות, תרצה להשבית את UPnP.

ה- FBI אמר לאנשים להשבית את UPnP

סמוך לסוף שנת 2001, המרכז להגנת התשתיות הלאומי של ה- FBI יעץ לכל המשתמשים להשבית את UPnP בגלל הצפת מאגר ב- Windows XP. באג זה תוקן על ידי תיקון אבטחה. ה- NIPC למעשה הוציא תיקון לייעוץ זה מאוחר יותר, לאחר שהבינו שהבעיה אינה ב UPnP עצמה. (מָקוֹר)

האם זוהי בעיה? לא. למרות שאנשים מסוימים אולי זוכרים את הייעוץ של NIPC ויש להם השקפה שלילית על UPnP, עצה זו הוטעתה באותה תקופה והבעיה הספציפית תוקנה על ידי תיקון עבור Windows XP לפני למעלה מעשר שנים.

קרדיט תמונה: קרסטן לורנץ בפליקר

התקפת Flash UPnP

UPnP אינו דורש שום סוג של אימות מהמשתמש. כל יישום הפועל במחשב שלך יכול לבקש מהנתב להעביר יציאה מעל UPnP, ולכן התוכנה הזדונית לעיל יכולה להתעלל ב- UPnP. אתה יכול להניח שאתה מאובטח כל עוד לא פועלת תוכנה זדונית במכשירים מקומיים כלשהם - אך אתה כנראה טועה.

התקפת ה- Flash UPnP התגלתה בשנת 2008. יישומון פלאש בעל מבנה מיוחד, הפועל בדף אינטרנט בתוך דפדפן האינטרנט שלך, יכול לשלוח בקשת UPnP לנתב שלך ולבקש ממנו להעביר יציאות. לדוגמה, היישומון יכול לבקש מהנתב להעביר את יציאות 1-65535 למחשב שלך, ולחשוף אותו למעשה לאינטרנט כולו. התוקף יצטרך לנצל פגיעות בשירות רשת הפועל במחשב שלך לאחר ביצוע פעולה זו, אולם - שימוש בחומת אש במחשב שלך יסייע בהגנה עליך.

למרבה הצער, זה מחמיר - בחלק מהנתבים יישומון פלאש יכול לשנות את שרת ה- DNS הראשי באמצעות בקשת UPnP. העברת נמל תהיה הדאגה המעטה ביותר שלך - שרת DNS זדוני יכול להפנות תנועה לאתרים אחרים. לדוגמה, הוא יכול לכוון את Facebook.com לכתובת IP אחרת לחלוטין - בשורת הכתובת של דפדפן האינטרנט שלך נאמר Facebook.com, אך אתה משתמש באתר שהוקם על ידי ארגון זדוני.

האם זוהי בעיה? כן. אני לא יכול למצוא שום סוג של אינדיקציה לכך שזה אי פעם תוקן. גם אם הוא תוקן (זה יהיה קשה, מכיוון שזו בעיה בפרוטוקול UPnP עצמו), נתבים ישנים רבים שעדיין נמצאים בשימוש יהיו פגיעים.

יישומי UPnP רעים על נתבים

אתר UPnP Hacks מכיל רשימה מפורטת של בעיות אבטחה בדרכים שבהן נתבים שונים מיישמים את UPnP. אלה לא בהכרח בעיות עם UPnP עצמו; לעתים קרובות הם בעיות ביישומי UPnP. לדוגמה, יישומי UPnP של נתבים רבים אינם בודקים קלט כהלכה. יישום זדוני עלול לבקש מנתב להפנות תעבורת רשת לכתובות IP מרוחקות באינטרנט (במקום כתובות IP מקומיות), והנתב יעמוד בכך. בחלק מהנתבים מבוססי לינוקס ניתן לנצל את UPnP כדי להפעיל פקודות בנתב. (מקור) האתר מפרט בעיות רבות אחרות כאלה.

האם זוהי בעיה? כן! מיליוני נתבים בטבע הם פגיעים. יצרני נתבים רבים לא עשו עבודה טובה באבטחת יישומי UPnP שלהם.

קרדיט תמונה: בן מייסון בפליקר

האם עליך להשבית את UPnP?

כשהתחלתי לכתוב את הפוסט הזה, ציפיתי להגיע למסקנה שהפגמים של UPnP היו די קלים, עניין פשוט של סחר באבטחה קטנה לנוחיות מסוימת. למרבה הצער, נראה של- UPnP יש הרבה בעיות. אם אינך משתמש ביישומים הזקוקים להעברת פורט, כגון יישומי עמית לעמית, שרתי משחקים ותוכניות VoIP רבות, ייתכן שעדיף שתשבית את UPnP לחלוטין. משתמשים כבדים ביישומים אלה ירצו לשקול אם הם מוכנים לוותר על אבטחה כלשהי לנוחיותכם. אתה עדיין יכול להעביר יציאות ללא UPnP; זה פשוט קצת יותר עבודה. עיין במדריך שלנו להעברת נמל.

מצד שני, לא משתמשים באופן פעיל בפגמים בנתב בטבע, כך שהסיכוי האמיתי שתיתקל בתוכנות זדוניות שמנצלות פגמים ביישום ה- UPnP של הנתב שלך הוא נמוך למדי. תוכנות זדוניות מסוימות אמנם משתמשות ב- UPnP כדי להעביר יציאות (למשל תולעת Conficker), אך לא נתקלתי בדוגמה של פיסת תוכנה זדונית המנצלת את פגמי הנתב הללו.

כיצד אוכל להשבית אותו? אם הנתב שלך תומך ב- UPnP, תמצא אפשרות להשבית אותו בממשק האינטרנט שלו. עיין במדריך הנתב שלך למידע נוסף.

האם אינך מסכים לגבי אבטחת UPnP? השאר תגובה!