UPnP Security Check

Jeder, der noch ISA-Schnittstellenkarten für COM- und LPT-Anschlüsse eingebaut hat, auf denen man die IRQs manuell jumpern konnte, weiss, das Plug & Play nichts taugt … ich mach natürlich nur Spaß, aber Universal Plug and Play (UPnP) gab einem immer das mulmige Gefühl, dass, wenn Anwendungen dem Router sagen können, wie er sich zu konfigurieren hat, der Anwender bei solchen Konfigurationsänderungen erst gar nicht mehr gefragt wird, ergo nichts mitkriegt.

Der langen Rede kurzer Sinn: Am 29.1.2013 veröffentliche Rapid7 einen Blogbeitrag, in dem es unter anderem auf ein Whitepaper verwies, dass sich mit Sicherheitslücken in UPnP (vor allem in einer häufigen Bibliothek) beschäftigt. Normale Paranoiker haben ja sowieso jede UPnP-Funktion Ihres DSL-Routers deaktiviert, aber wer das nicht hat und wissen will, ob er nach Meinung von Rapid7 gefährdet ist, probiert einfach den Schnelltest:

Ist Ihr Gerät also sicher? Nein, denn er könnte ja noch andere Probleme haben. Er hat aber diesen Test bestanden. Ist ja auch was.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

6 Antworten

  1. Eckhard sagt:

    Man sollte vielleicht noch ergänzen, dass für den Test Scripte erlaubt sein müssen, sonst funktioniert er nicht.
    Gruß Eckhard

  2. Jörg sagt:

    Das ist das Problem, was ich immer mit diesen Tests habe. Nicht nur, dass man einer fremden Software vertrauen muss (dass sie auch wirklich nur testet und keine Löcher aufmacht): man muss auch noch die Sicherheit soweit reduzieren, dass die Software (sofern sie denn auch wirklich mindestens das macht was sie machen soll) laufen kann.
    Und bisher war es meistens der Fall, dass die Sicherheit so hoch war, dass die Software nicht lief. Lief sie, war es keine verlässliche Aussage über mein System, denn eigentlich würde (unter normalen Umständen) noch nicht einmal die Testsoftware das Recht zur Ausführung haben …

  3. Eckhard sagt:

    Müssen eigentlich für derartige Testsoftware Scripte verwendet werden? Gibt es keine andere Möglichkeit, ein System auf “Dichtheit” zu testen?
    Eckhard

    • Andreas sagt:

      Schön zu lesen, dass zwei Anwender da draussen Scripte abschalten. Ich fand neulich einen Rechner vor, den ich einst mit Flashblock und Scriptblock und so Zeug ausgestattet hatte, aber weil der User nicht verstand, dass er die zwei, drei Dienste, wo es unabdingbar ist, whitelisten soll, hat er das alles wieder entfernt. Das hat er geschafft, problemlos. Auch Java war wieder drauf, samt Ask.com-AdWare…

  4. Jörg sagt:

    Ja, ist ein wenig paradox. Früher gab ich Kurse und habe den Leuten, Erstellen, verschieben, umbenennen, kopieren, … im Windows-Explorer beigebracht.
    Das Alles war teilweise scheinbar nur sehr schwer zu verstehen. Es gab nur eine Aktion, die ALLE Teilnehmer JEDESMAL SOFORT ohne Rückfrage verstanden: löschen (kein Witz).
    Destruktivität scheint angeboren zu sein …