[Owasp-turkey] Ev ve Ofislerde Varsayılan Olarak Gelen Sinsi Tehlike: UPnP ile Kullanılabilirlik-Güvenlik Dengesi

Gökhan Muharremoglu gokmuh at hotmail.com
Fri Jun 8 17:43:30 UTC 2012


Merhaba,

Neredeyse hepimizi yakından ilgilendiren ve fazla göz önünde bulunmayan bir
güvenlik tehdidinden bahsetmek istiyorum: Varsayılan olarak açık gelen UPnP
servisleri.

Konu ile ilgili bir makale hazırladım, aşağıda bulabilirsiniz.

İyi çalışmalar,
Gökhan Muharremoğlu

Ev ve Ofislerde Varsayılan Olarak Gelen Sinsi Tehlike: UPnP ile
Kullanılabilirlik-Güvenlik Dengesi

Bilgi güvenliği temel kavramları ve felsefesine hakim olmak, sistemlerde
ortaya çıkabilecek açıkların daha hızlı bir şekilde keşfedilmesine yardımcı
olmaktadır. Bilgi güvenliğinin temel kavramları arasında yer alan konulardan
biri kullanılabilirlik-güvenlik dengesidir. Bu denge terazinin iki kefesine
konmuş ağırlıklara veya matematikteki ters orantıya benzetilebilir.
Kullanılabilirliğin arttığı her senaryoda güvenliğin bir tehdit altında
bulunması durumu ortaya çıkabilir.

Kullanılabilirlik ve güvenlik dengesinin anlaşılması için örnekle konuyu
somutlaştırmak yerinde olacaktır: 

Günümüzde İnternet'ten bankacılık işlemleri gerçekleştirilirken oturum açmak
için birçok doğrulama adımından geçmek gerekmektedir. Bu doğrulama
adımlarından birçoğu çok faktörlü doğrulama (Multi Factor Authentication)
ile  (kullanıcının bildiği bir şeye, kendisine ve/veya sahip olduğu bir
faktöre dayandırılması ile) gerçekleştirilirken, birçoğu da sadece
kullanıcının bildiği (PIN, parola, gizli soru cevabı, vs.) faktörlere
dayanmaktadır. Sadece bir kullanıcı adı ve parola kullanılarak giriş
yapılabilen bir İnternet bankacılığı uygulaması günümüzde bulunmamaktadır.
En az 2 adet parolanın ve/veya cep telefonuna gelen bir de PIN kodunun
sorulduğu uygulamalar ağırlıktadır. Bu durum, İnternet bankacılığına giriş
yapabilmek için sarf edilen çabayı arttırmakta, oturum açma işini zahmetli
bir hale getirmektedir ancak zahmetli hale gelerek kullanılabilirliği düşen
sistem daha güvenli hale gelmiş olmaktadır.

Kullanılabilirliği arttırmak adına tasarlanan sistemlerden biri de Evrensel
Tak ve Çalıştır, UPnP (Universal Plug & Play) teknolojisidir. Bu teknoloji
ağa dahil olan cihazların kullanıcı müdahalesine gerek kalmadan ihtiyaç
duyduğu ayarları diğer aygıtlarla konuşarak kendi kendilerini
yapılandırmalarına olanak tanır. Örnekle somutlaştırmak gerekirse, ağa dahil
olan bir aygıt, Router ile konuşarak kendine bir Port açabilir ve dış ağa
yayın yapmaya başlayabilir. Çoğu zaman yayın yapılan dış ağ ise İnternet
olmaktadır.

Güvenlik felsefesinden ve temel bilgilerinden yola çıkılmak gerekirse, bu
kullanılabilirliği arttıran teknolojinin güvenlik tarafındaki dengeyi
bozmamasını beklemek çok pozitif bir yaklaşım olur. UPnP ile kendine bir
Port açan uygulamaların veya cihazların açtıkları bu Port'lar genellikle
Router/Modem arayüzlerinde listelenmezler.  Birçok ADSL Modem üzerinde UPnP
açık olarak gelmektedir. Hatta açık olarak UPnP servisi Firewall kuralları
üzerinde de değişiklik yapma hakkına sahiptir.

Bu teknolojinin güvenlik tarafında getirdiği tehditlere göz atıldığında
ortaya çok fazla farkında olunmayan ve çoğunlukla ev kullanıcıları ile
KOBİ'lere yönelik önlem alınması gereken durumlar ortaya çıkmaktadır.

Günümüzde genelde birçok KOBİ ve ev kullanıcısı İnternet'e erişmek için
varsayılan olarak UPnP'nin açık geldiği Modem'leri kullanmaktadır. Hatta bu
Modem'lerin zaman zaman kurumsal ağlarda dahi kullanıldığı görülmektedir.
Modem üzerindeki Firewall ve Port yönlendirme işlemlerini başarıyla
gerçekleştirdiğini düşünen ve artık dışarıya açık bir kapı bırakmadığını
düşünen kullanıcı, açık bıraktığı UPnP servisi ile sahte bir güven duygusuna
kapılmaktadır. UPnP servisini kullanarak SSDP Protokolü ile ağ içinde yayın
yapıp, Router ve Firewall üzerinde kendine Port açabilen bir casus yazılım
veya kullanıcı, ters bağlantıya dahi gerek kalmaksızın aktif olarak bütün
bağlantıları iç ağa dahil edebilir.

Günümüzde UPnP ile kendine bir Port açarak yayın yapan uygulamaların başında
P2P temelli Torrent yazılımları gelmektedir. Aşağıdaki ekran görüntülerinde
kendisi için Modem üzerinde SSDP protokolü kullanarak 16379 numaralı Port'u
açan bir Torrent yazılımının Modem ile konuşmasından örnekler bulunmaktadır.




UPnP tasarımı gereğince kullanılan veri transfer tekniği SOAP/XML altyapısı
üzerindedir. Rahatlıkla manipüle edilebilir veya üretilebilir.



 



 







Ev ve ofislerde kullanılan birçok Modem üzerinde UPnP servisi varsayılan
olarak açık gelmektedir. Bu özellik kapatılmadığı takdirde her kullanıcı
ciddi bir tehdit ile karşı karşıya kalabilir. İç ağa sızan bir zararlı
yazılım, ters bağlantı yapmaya dahi gerek kalmadan kendine ait bir Port'u
dışarıya açarak aktif bağlantı kabul edebilir. Daha zarar veren bir senaryo
gereksinimi doğarsa, çok bilindik bir Port'u  (21, 22, 23, 80, 3389)
dışarıya parola korumasız açan bir saldırgan, bir KOBİ'ye ait verilerin
İnternet'te tarama yapan birçok kötü niyetli kişinin eline geçmesini
sağlayabilir, kendine yeni suç ortakları bulabilir.

Hali hazırda iç ağda bulunan kötü niyetli bir kullanıcı İnternet'e çıkış
yapmak veya İnternet'ten bağlantı kabul edebilmek için bu özelliği
kullanabilir. Bu ve bunun gibi durumlarla karşı karşıya kalmamak için
atılması gereken adımlar yine bilgi güvenliğinin temel ilkelerinin birinde
gizlidir. Bu ilke "kullanılmayan servislerin kapatılması" ilkesidir. UPnP
servisi kullanılmıyorsa kapatılmalı, kullanılıyor ise uygun güvenlik
ihtiyaçlarına göre konfigüre edilmelidir. 


 

-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120608/5d38e737/attachment-0001.html>
-------------- sonraki b?l?m --------------
A non-text attachment was scrubbed...
Name: image003.png
Type: image/png
Size: 199843 bytes
Desc: kullan?lam?yor
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120608/5d38e737/attachment-0001.png>
-------------- sonraki b?l?m --------------
A non-text attachment was scrubbed...
Name: image012.jpg
Type: image/jpeg
Size: 26255 bytes
Desc: kullan?lam?yor
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120608/5d38e737/attachment-0005.jpg>
-------------- sonraki b?l?m --------------
A non-text attachment was scrubbed...
Name: image013.jpg
Type: image/jpeg
Size: 34619 bytes
Desc: kullan?lam?yor
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120608/5d38e737/attachment-0006.jpg>
-------------- sonraki b?l?m --------------
A non-text attachment was scrubbed...
Name: image014.jpg
Type: image/jpeg
Size: 41900 bytes
Desc: kullan?lam?yor
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120608/5d38e737/attachment-0007.jpg>
-------------- sonraki b?l?m --------------
A non-text attachment was scrubbed...
Name: image015.jpg
Type: image/jpeg
Size: 26155 bytes
Desc: kullan?lam?yor
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120608/5d38e737/attachment-0008.jpg>
-------------- sonraki b?l?m --------------
A non-text attachment was scrubbed...
Name: image016.jpg
Type: image/jpeg
Size: 28983 bytes
Desc: kullan?lam?yor
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120608/5d38e737/attachment-0009.jpg>


More information about the Owasp-turkey mailing list