[Owasp-turkey] Ev ve Ofislerde Varsayılan Olarak Gelen Sinsi Tehlike: UPnP ile Kullanılabilirlik-Güvenlik Dengesi

Gökhan Muharremoglu gokmuh at hotmail.com
Mon Jun 11 11:44:51 UTC 2012


Selam,

Tesekkurler. Aynı makale bilgiguvenligi.gov.tr'de yayınlanacak. 

Yayindan once bu sekilde goz gezdirilmis olunuyor. 

Yayindan sonra bir tur da linkini paylasabilirim.  

Gökhan Muharremoğlu


On 11 Haz 2012, at 12:11, "Onur Yilmaz" <contact at onuryilmaz.info> wrote:

> Selamlar,
> 
> Hocam öncelikle elinize sağlık. Lakin bu tarz uzun makaleleri mail listesine direkt olarak göndermek, güzel bilgilerin okunmamasına ve haliyle değerlendirilmemesine neden olmakta.
> 
> Dilerseniz bu tarz makalelerinizi kendi blog'unuza ekledikten sonra kısa bir açıklama ve link olarak mail atabilir ya da http://www.webguvenligi.org/belgeler adresindeki formatlarda hazılarsanız sizin adınıza WGT Blog üzerinde yayınlayabiliriz.
> 
> İyi çalışmalar.
> 
> 8 Haziran 2012 20:43 tarihinde Gökhan Muharremoglu <gokmuh at hotmail.com> yazdı:
> Merhaba,
> 
> Neredeyse hepimizi yakından ilgilendiren ve fazla göz önünde bulunmayan bir güvenlik tehdidinden bahsetmek istiyorum: Varsayılan olarak açık gelen UPnP servisleri.
> 
> Konu ile ilgili bir makale hazırladım, aşağıda bulabilirsiniz.
> 
> İyi çalışmalar,
> Gökhan Muharremoğlu
> 
> Ev ve Ofislerde Varsayılan Olarak Gelen Sinsi Tehlike: UPnP ile Kullanılabilirlik-Güvenlik Dengesi
> 
> Bilgi güvenliği temel kavramları ve felsefesine hakim olmak, sistemlerde ortaya çıkabilecek açıkların daha hızlı bir şekilde keşfedilmesine yardımcı olmaktadır. Bilgi güvenliğinin temel kavramları arasında yer alan konulardan biri kullanılabilirlik-güvenlik dengesidir. Bu denge terazinin iki kefesine konmuş ağırlıklara veya matematikteki ters orantıya benzetilebilir. Kullanılabilirliğin arttığı her senaryoda güvenliğin bir tehdit altında bulunması durumu ortaya çıkabilir.
> 
> Kullanılabilirlik ve güvenlik dengesinin anlaşılması için örnekle konuyu somutlaştırmak yerinde olacaktır:
> 
> Günümüzde İnternet’ten bankacılık işlemleri gerçekleştirilirken oturum açmak için birçok doğrulama adımından geçmek gerekmektedir. Bu doğrulama adımlarından birçoğu çok faktörlü doğrulama (Multi Factor Authentication) ile  (kullanıcının bildiği bir şeye, kendisine ve/veya sahip olduğu bir faktöre dayandırılması ile) gerçekleştirilirken, birçoğu da sadece kullanıcının bildiği (PIN, parola, gizli soru cevabı, vs.) faktörlere dayanmaktadır. Sadece bir kullanıcı adı ve parola kullanılarak giriş yapılabilen bir İnternet bankacılığı uygulaması günümüzde bulunmamaktadır. En az 2 adet parolanın ve/veya cep telefonuna gelen bir de PIN kodunun sorulduğu uygulamalar ağırlıktadır. Bu durum, İnternet bankacılığına giriş yapabilmek için sarf edilen çabayı arttırmakta, oturum açma işini zahmetli bir hale getirmektedir ancak zahmetli hale gelerek kullanılabilirliği düşen sistem daha güvenli hale gelmiş olmaktadır.
> 
> Kullanılabilirliği arttırmak adına tasarlanan sistemlerden biri de Evrensel Tak ve Çalıştır, UPnP (Universal Plug & Play) teknolojisidir. Bu teknoloji ağa dahil olan cihazların kullanıcı müdahalesine gerek kalmadan ihtiyaç duyduğu ayarları diğer aygıtlarla konuşarak kendi kendilerini yapılandırmalarına olanak tanır. Örnekle somutlaştırmak gerekirse, ağa dahil olan bir aygıt, Router ile konuşarak kendine bir Port açabilir ve dış ağa yayın yapmaya başlayabilir. Çoğu zaman yayın yapılan dış ağ ise İnternet olmaktadır.
> 
> Güvenlik felsefesinden ve temel bilgilerinden yola çıkılmak gerekirse, bu kullanılabilirliği arttıran teknolojinin güvenlik tarafındaki dengeyi bozmamasını beklemek çok pozitif bir yaklaşım olur. UPnP ile kendine bir Port açan uygulamaların veya cihazların açtıkları bu Port’lar genellikle Router/Modem arayüzlerinde listelenmezler.  Birçok ADSL Modem üzerinde UPnP açık olarak gelmektedir. Hatta açık olarak UPnP servisi Firewall kuralları üzerinde de değişiklik yapma hakkına sahiptir.
> 
> Bu teknolojinin güvenlik tarafında getirdiği tehditlere göz atıldığında ortaya çok fazla farkında olunmayan ve çoğunlukla ev kullanıcıları ile KOBİ’lere yönelik önlem alınması gereken durumlar ortaya çıkmaktadır.
> 
> Günümüzde genelde birçok KOBİ ve ev kullanıcısı İnternet’e erişmek için varsayılan olarak UPnP’nin açık geldiği Modem’leri kullanmaktadır. Hatta bu Modem’lerin zaman zaman kurumsal ağlarda dahi kullanıldığı görülmektedir. Modem üzerindeki Firewall ve Port yönlendirme işlemlerini başarıyla gerçekleştirdiğini düşünen ve artık dışarıya açık bir kapı bırakmadığını düşünen kullanıcı, açık bıraktığı UPnP servisi ile sahte bir güven duygusuna kapılmaktadır. UPnP servisini kullanarak SSDP Protokolü ile ağ içinde yayın yapıp, Router ve Firewall üzerinde kendine Port açabilen bir casus yazılım veya kullanıcı, ters bağlantıya dahi gerek kalmaksızın aktif olarak bütün bağlantıları iç ağa dahil edebilir.
> 
> Günümüzde UPnP ile kendine bir Port açarak yayın yapan uygulamaların başında P2P temelli Torrent yazılımları gelmektedir. Aşağıdaki ekran görüntülerinde kendisi için Modem üzerinde SSDP protokolü kullanarak 16379 numaralı Port’u açan bir Torrent yazılımının Modem ile konuşmasından örnekler bulunmaktadır.
> 
> 
> 
> UPnP tasarımı gereğince kullanılan veri transfer tekniği SOAP/XML altyapısı üzerindedir. Rahatlıkla manipüle edilebilir veya üretilebilir.
> 
> 
> 
>  
> 
> 
> 
>  
> 
> 
> 
> 
> 
> 
> 
> Ev ve ofislerde kullanılan birçok Modem üzerinde UPnP servisi varsayılan olarak açık gelmektedir. Bu özellik kapatılmadığı takdirde her kullanıcı ciddi bir tehdit ile karşı karşıya kalabilir. İç ağa sızan bir zararlı yazılım, ters bağlantı yapmaya dahi gerek kalmadan kendine ait bir Port’u dışarıya açarak aktif bağlantı kabul edebilir. Daha zarar veren bir senaryo gereksinimi doğarsa, çok bilindik bir Port’u  (21, 22, 23, 80, 3389) dışarıya parola korumasız açan bir saldırgan, bir KOBİ’ye ait verilerin İnternet’te tarama yapan birçok kötü niyetli kişinin eline geçmesini sağlayabilir, kendine yeni suç ortakları bulabilir.
> 
> Hali hazırda iç ağda bulunan kötü niyetli bir kullanıcı İnternet’e çıkış yapmak veya İnternet’ten bağlantı kabul edebilmek için bu özelliği kullanabilir. Bu ve bunun gibi durumlarla karşı karşıya kalmamak için atılması gereken adımlar yine bilgi güvenliğinin temel ilkelerinin birinde gizlidir. Bu ilke “kullanılmayan servislerin kapatılması” ilkesidir. UPnP servisi kullanılmıyorsa kapatılmalı, kullanılıyor ise uygun güvenlik ihtiyaçlarına göre konfigüre edilmelidir. 
> 
>  
> 
> 
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> 
> 
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey

-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120611/a2f915bf/attachment.html>


More information about the Owasp-turkey mailing list