[Owasp-turkey] Ev ve Ofislerde Varsayılan Olarak Gelen Sinsi Tehlike: UPnP ile Kullanılabilirlik-Güvenlik Dengesi

Onur Yilmaz contact at onuryilmaz.info
Mon Jun 11 09:10:17 UTC 2012


Selamlar,

Hocam öncelikle elinize sağlık. Lakin bu tarz uzun makaleleri mail
listesine direkt olarak göndermek, güzel bilgilerin okunmamasına ve haliyle
değerlendirilmemesine neden olmakta.

Dilerseniz bu tarz makalelerinizi kendi blog'unuza ekledikten sonra kısa
bir açıklama ve link olarak mail atabilir ya da
http://www.webguvenligi.org/belgeler adresindeki formatlarda hazılarsanız
sizin adınıza WGT Blog üzerinde yayınlayabiliriz.

İyi çalışmalar.

8 Haziran 2012 20:43 tarihinde Gökhan Muharremoglu <gokmuh at hotmail.com>yazdı:

> Merhaba,****
>
> Neredeyse hepimizi yakından ilgilendiren ve fazla göz önünde bulunmayan
> bir güvenlik tehdidinden bahsetmek istiyorum: Varsayılan olarak açık gelen
> UPnP servisleri.****
>
> Konu ile ilgili bir makale hazırladım, aşağıda bulabilirsiniz.****
>
> İyi çalışmalar,
> Gökhan Muharremoğlu****
>
> *Ev ve Ofislerde Varsayılan Olarak Gelen Sinsi Tehlike: UPnP ile
> Kullanılabilirlik-Güvenlik Dengesi*
>
> Bilgi güvenliği temel kavramları ve felsefesine hakim olmak, sistemlerde
> ortaya çıkabilecek açıkların daha hızlı bir şekilde keşfedilmesine yardımcı
> olmaktadır. Bilgi güvenliğinin temel kavramları arasında yer alan
> konulardan biri kullanılabilirlik-güvenlik dengesidir. Bu denge terazinin
> iki kefesine konmuş ağırlıklara veya matematikteki ters orantıya
> benzetilebilir. Kullanılabilirliğin arttığı her senaryoda güvenliğin bir
> tehdit altında bulunması durumu ortaya çıkabilir.****
>
> Kullanılabilirlik ve güvenlik dengesinin anlaşılması için örnekle konuyu
> somutlaştırmak yerinde olacaktır: ****
>
> Günümüzde İnternet'ten bankacılık işlemleri gerçekleştirilirken oturum
> açmak için birçok doğrulama adımından geçmek gerekmektedir. Bu doğrulama
> adımlarından birçoğu çok faktörlü doğrulama (Multi Factor Authentication)
> ile  (kullanıcının bildiği bir şeye, kendisine ve/veya sahip olduğu bir
> faktöre dayandırılması ile) gerçekleştirilirken, birçoğu da sadece
> kullanıcının bildiği (PIN, parola, gizli soru cevabı, vs.) faktörlere
> dayanmaktadır. Sadece bir kullanıcı adı ve parola kullanılarak giriş
> yapılabilen bir İnternet bankacılığı uygulaması günümüzde bulunmamaktadır.
> En az 2 adet parolanın ve/veya cep telefonuna gelen bir de PIN kodunun
> sorulduğu uygulamalar ağırlıktadır. Bu durum, İnternet bankacılığına giriş
> yapabilmek için sarf edilen çabayı arttırmakta, oturum açma işini zahmetli
> bir hale getirmektedir ancak zahmetli hale gelerek kullanılabilirliği düşen
> sistem daha güvenli hale gelmiş olmaktadır.****
>
> Kullanılabilirliği arttırmak adına tasarlanan sistemlerden biri de
> Evrensel Tak ve Çalıştır, UPnP (Universal Plug & Play) teknolojisidir. Bu
> teknoloji ağa dahil olan cihazların kullanıcı müdahalesine gerek kalmadan
> ihtiyaç duyduğu ayarları diğer aygıtlarla konuşarak kendi kendilerini
> yapılandırmalarına olanak tanır. Örnekle somutlaştırmak gerekirse, ağa
> dahil olan bir aygıt, Router ile konuşarak kendine bir Port açabilir ve dış
> ağa yayın yapmaya başlayabilir. Çoğu zaman yayın yapılan dış ağ ise
> İnternet olmaktadır.****
>
> Güvenlik felsefesinden ve temel bilgilerinden yola çıkılmak gerekirse, bu
> kullanılabilirliği arttıran teknolojinin güvenlik tarafındaki dengeyi
> bozmamasını beklemek çok pozitif bir yaklaşım olur. UPnP ile kendine bir
> Port açan uygulamaların veya cihazların açtıkları bu Port'lar genellikle
> Router/Modem arayüzlerinde listelenmezler.  Birçok ADSL Modem üzerinde UPnP
> açık olarak gelmektedir. Hatta açık olarak UPnP servisi Firewall kuralları
> üzerinde de değişiklik yapma hakkına sahiptir.****
>
> Bu teknolojinin güvenlik tarafında getirdiği tehditlere göz atıldığında
> ortaya çok fazla farkında olunmayan ve çoğunlukla ev kullanıcıları ile
> KOBİ'lere yönelik önlem alınması gereken durumlar ortaya çıkmaktadır.****
>
> Günümüzde genelde birçok KOBİ ve ev kullanıcısı İnternet'e erişmek için
> varsayılan olarak UPnP'nin açık geldiği Modem'leri kullanmaktadır. Hatta bu
> Modem'lerin zaman zaman kurumsal ağlarda dahi kullanıldığı görülmektedir.
> Modem üzerindeki Firewall ve Port yönlendirme işlemlerini başarıyla
> gerçekleştirdiğini düşünen ve artık dışarıya açık bir kapı bırakmadığını
> düşünen kullanıcı, açık bıraktığı UPnP servisi ile sahte bir güven
> duygusuna kapılmaktadır. UPnP servisini kullanarak SSDP Protokolü ile ağ
> içinde yayın yapıp, Router ve Firewall üzerinde kendine Port açabilen bir
> casus yazılım veya kullanıcı, ters bağlantıya dahi gerek kalmaksızın aktif
> olarak bütün bağlantıları iç ağa dahil edebilir.****
>
> Günümüzde UPnP ile kendine bir Port açarak yayın yapan uygulamaların
> başında P2P temelli Torrent yazılımları gelmektedir. Aşağıdaki ekran
> görüntülerinde kendisi için Modem üzerinde SSDP protokolü kullanarak 16379
> numaralı Port'u açan bir Torrent yazılımının Modem ile konuşmasından
> örnekler bulunmaktadır. ****
>
> ****
>
> UPnP tasarımı gereğince kullanılan veri transfer tekniği SOAP/XML
> altyapısı üzerindedir. Rahatlıkla manipüle edilebilir veya üretilebilir.**
> **
>
> ****
>
> ** **
>
> ****
>
> ** **
>
> ****
>
> ****
>
> ****
>
> Ev ve ofislerde kullanılan birçok Modem üzerinde UPnP servisi varsayılan
> olarak açık gelmektedir. Bu özellik kapatılmadığı takdirde her kullanıcı
> ciddi bir tehdit ile karşı karşıya kalabilir. İç ağa sızan bir zararlı
> yazılım, ters bağlantı yapmaya dahi gerek kalmadan kendine ait bir Port'u
> dışarıya açarak aktif bağlantı kabul edebilir. Daha zarar veren bir senaryo
> gereksinimi doğarsa, çok bilindik bir Port'u  (21, 22, 23, 80, 3389)
> dışarıya parola korumasız açan bir saldırgan, bir KOBİ'ye ait verilerin
> İnternet'te tarama yapan birçok kötü niyetli kişinin eline geçmesini
> sağlayabilir, kendine yeni suç ortakları bulabilir.****
>
> Hali hazırda iç ağda bulunan kötü niyetli bir kullanıcı İnternet'e çıkış
> yapmak veya İnternet'ten bağlantı kabul edebilmek için bu özelliği
> kullanabilir. Bu ve bunun gibi durumlarla karşı karşıya kalmamak için
> atılması gereken adımlar yine bilgi güvenliğinin temel ilkelerinin birinde
> gizlidir. Bu ilke "kullanılmayan servislerin kapatılması" ilkesidir. UPnP
> servisi kullanılmıyorsa kapatılmalı, kullanılıyor ise uygun güvenlik
> ihtiyaçlarına göre konfigüre edilmelidir.
> ****
>
> ** **
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120611/004478fa/attachment.html>


More information about the Owasp-turkey mailing list