Bezpečnostní díra v uTorrent

Zde získáte informace o programu µTorrent (vydané verze, nové funkce, zjištěné problémy).
Zde také informace a volná diskuze k různým tématům (např. počasí, yr.no a filmové novinky).

Moderátor: emc

Anakunda
Příspěvky: 47
Registrován: 01.duben 2010, 19:58

Bezpečnostní díra v uTorrent

Příspěvek od Anakunda »

Dnes vyšlo na trackeru oznámení že je od včerejška znám backdoor přes web UI ve všech verzích uTorrentu, a že se doporučuje přejít na jiného klienta dokud se to "neopraví". Info zde
https://bugs.chromium.org/p/project-zer ... il?id=1524
Tak mě zajímalo jestli se chystá nějaká neoficiální záplata do uTorrentu 2.2.1 protože je jasné že regulérní aktualizace u těchhle starých verzi už nepřipadá v úvahu. Zatím to vypadá že budu nucen přejít na něco jiného a do toho se mi vůbec nechce.
Pety
Pokročilý
Příspěvky: 155
Registrován: 02.červenec 2011, 21:33

Příspěvek od Pety »

Pro nás, kdo WebUI nepoužíváme, to asi nehraje roli, ne?
Anakunda
Příspěvky: 47
Registrován: 01.duben 2010, 19:58

Příspěvek od Anakunda »

Tak už to bude možná ošetřeno, stačí vypnout network discovery v nastavení (a restartovat klienta)
Používání WebUI na to nemá vliv, port je otevřený nezávisle na tom.
Zranitelnost jde ověřit otevřením adresy http://localhost:10000/ v prohlížeči.
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

Včera jsem to objevil na TorrentFreak a v rychlosti jen retweetnul na https://twitter.com/utorrentcz.
µTorrent naslouchá na portu 10000 od verze 2.0 build 17920 (neuvažovány verze beta a RC).

Obrázek
Pety
Pokročilý
Příspěvky: 155
Registrován: 02.červenec 2011, 21:33

Příspěvek od Pety »

Ve firewallu si instalace microtorrentu otevírá všechny příchozí porty - tak to asi stačí omezit na ten jeden konkrétní, který se používá, ne? Nebo tam dát 10001-65535.
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

µTorrent si otevře ve Windows Firewall všechny porty, máš-li to povoleno v možnostech nastavení µTorrent. Vždy můžeš rozsah průchozích portů omezit. Pokud používáš firewall třetích stran, uTorrent si sám neotevře nic.

Většina z nás je navíc za NAT svého routeru, kde se musí nastavit port forward. Ručně si povolíš, co chceš. UPnP otevírá pouze port pro naslouchání. Port 10000 (pokud není nastaven jako naslouchací) si neotevírá. Nepředpokládám, že by někdo, jako za dob Windows 98 až XP bez SP2 jel na LAN celého sídliště a riskoval tak bez jakéhokoli firewallu, že se ti soused bude vrtat v počítači...

Takže ano, v uTorrent classic (v našem případě uTorrent 2.2.1) je oproti nastavenému portu naslouchání otevřen ještě port 10000 (v uTorrent web je to port 19575) přes který lze přistupovat k WebUI a možná i k dalším nezdokumentovaným funkcím programu uTorrent. Ale při základním zabezpečení domácí sítě je riziko případného zneužití nulové...

Riziko případného zneužití lze vyřešit změnou rozšířeného nastavení - přepnutím "net.discoverable" na "false" a restartováním klienta uTorrent. Pokud nepoužíváte WebUI, tak ho v možnostech nastavení deaktivovujte.

Odkazy:
https://torrentfreak.com/bittorrent-cli ... ty-180220/
https://bugs.chromium.org/p/project-zer ... il?id=1524
honzass
Příspěvky: 14
Registrován: 22.srpen 2015, 21:09

Příspěvek od honzass »

Hm, věřím Ti, tak jsem to teda přepnul a děj se vůle boží.... :shock: :wink:
Anakunda
Příspěvky: 47
Registrován: 01.duben 2010, 19:58

Příspěvek od Anakunda »

Hlavně je to začátek konce µTorrentu, privátní trackery, co dbají na bezpečnost, se chystají kvůli té bezpečnostní díře µTorrent zabanovat.

Co by jste doporučili jako nejlepší náhradu? Nabízí se qBittorrent a Transmission.
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

Moc se to hrotí... Četl jsi můj předchozí post?
Nejlepším klientem je stále µTorrent (a jeho fork BitTorrent). Bezpečnostní problém se netýká kumunikace
s trackery, proto nevidím důvod, proč by to měly trackery řešit. Případné riziko jde jen za uživatelem...

Dalšími rozšířenými klienty jsou: Rozšířenými, ale problematickými klienty jsou:
LUF
Příspěvky: 8
Registrován: 11.listopad 2017, 00:42

Příspěvek od LUF »

Uvádí se, že: uTorrent opravuje chybu, která mohla uživatele vystavit nebezpečí:

https://technet.idnes.cz/kratke-zpravy. ... zpravy_vse

Nebylo by přeci jen lepší přejít na novější verzi 3.5.3? Děkuji za názor
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

Přechod na verzi 3.5.3 není nezbytně nutný při dodržení standardních bezpečnostních zásad.
Chybu lze záplatovat úpravou rozšířených nastavení, viz výše.

Právě jsem vydal českou instalačku uTorrent 3.5.3.44358 s nastavením Ad-free.
CSIRT.CZ dne 22.únor 2018, 11:15 píše:Oprava zranitelnosti v uTorrent klientovi
V aplikaci uTorrent Web byla nalezena závažná chyba, kterou může útočník zneužít nalákáním uživatele na škodlivé webové stránky, díky kterým ovládne aplikaci a například stáhne škodlivý kód. Mírněji je zasažena i známější verze uTorrent Classic, ve které se může útočník dostat k seznamu stažených souborů a z počítače je získat (pokud jsou ještě na disku). Společnost BitTorrent Inc., která za oběma aplikacemi stojí, již vydala opravy na obě verze - v0.12.0.502 pro uTorrent Web a v3.5.3 pro uTorrent Classic (zatím v Beta, v nejbližších by se měla objevit i ve Stable verzi).
Obrázek
Uživatelský avatar
Remy
Dárce
Příspěvky: 126
Registrován: 12.březen 2010, 14:34
Bydliště: Internacionál

Příspěvek od Remy »

emc píše:Moc se to hrotí... Četl jsi můj předchozí post?
Nejlepším klientem je stále µTorrent (a jeho fork BitTorrent). Bezpečnostní problém se netýká kumunikace
s trackery, proto nevidím důvod, proč by to měly trackery řešit. Případné riziko jde jen za uživatelem...
Můj tracker je minoritní a nemá v podstatě žádnou relevanci.

Jen bych rád napsal, že plánujeme zakázat (zřejmě ještě letos) všechny bittorrent klienty s s proprietární kódem. Rizika programů s neveřejným kódem jsou odjakživa neuvěřitelně obrovská. Navzdoty tomu, že jsem na fóru uTorrentu, musím napsat, že slušnou (a hnusnou) náhradou je qbittorrent, na kterém již jedu více než rok. A vím, proč to píšu. Klikněte si ze srandy na link http://qbittorrent.cz

... anebo se můžeme mrknout do registrů NIC.CZ a pochválit EMC, že neustrnul ve vývoji.

Předem děkuji moc a těším se (včetně podpory Linuxu), na kterém jsem již asi závislý....

uTorrent má více děr, ale nemám čas to zpracovat. Jsem hodně zaměstnaný. Ale nedávno jsem si stáhl reverzní zdroják, zkontroloval MD5 podle své verze uT221, a sedělo to. Ve volných chvílích si to čtu a začínám se stydět, že jsem jej podporoval. Na druhou stranu ovšem musím do nebe vychválit mnoho vychytávek, které uTorrent na bittorrentovou scénu přinesl.

Pro mne je ale již změna nutná. Žádný program s uzavřeným kódem již v počítačích nesnesu. uTorrent byl fajn. Změna je život. Stabilita je smrt (nebo EU). :-)
Uživatelský avatar
Remy
Dárce
Příspěvky: 126
Registrován: 12.březen 2010, 14:34
Bydliště: Internacionál

Příspěvek od Remy »

Anakunda píše:Hlavně je to začátek konce µTorrentu, privátní trackery, co dbají na bezpečnost, se chystají kvůli té bezpečnostní díře µTorrent zabanovat.

Co by jste doporučili jako nejlepší náhradu? Nabízí se qBittorrent a Transmission.
Transmission je v pohodě. Qbittorrent je v pohodě. Oba mají otevřené kódy. To znamená co? Pokud jsem kurva a vyhodím na net program s backdoory, nemohu zveřejnit kód toho programu. Odborníci by si na tom smlsli a nahonili ega. Transmission je primární klient na Linux. Tzn. Je jak na Ubuntu, tak na Debianu = nejbezpečnější klient ze všech. Komfortabilitou se ale zdaleka nevyrovná libovolnému jinému klientovi. Horší už je snad je RKtorrent a klient firmy Qnap.

Rozumějme si prosím. Ten klient svou práci odvede perfektně a bez rizik. On jen nemá uživatelsky přívětivé funkce. Transmission je tedy vhodnější pro servery (případně webseed (což je totéž)).

Klient Qbittorrent o sobě hlásá (machruje), že chce být nástupcem uTorrentu, vhodným pro všechny operační systémy. Nutno podotknout, že je fakt dobrý a autoři přidávají (průměrně) každý měsíc novou funkci. Já jedu na něm, i když vím, že zdaleka není dokonalý. Bezpečný ale je a co je pro mne nejdůležitější, že jej doporučuje linuxová komunita. Linuxáci jsou ujetí na bezpečnost a to je dobře.... a to je něco i pro mne. Já mám raději svá hesla v bezpečí v klíčence Linuxu, než na Google, jako většina. Nikdy jsem nebyl většina. Vždy jsem si vše ve svém životě rozmyslel jen a výhradně za sebe.

Abych tedy dal definitivní odpověď na Váš dotaz:

"Pokud se nic nezmění!!!!!!!!! , za dva roky bude nejlepším klientem Qbittorrent."

Je to můj pohled na věc.

EDIT: Přidávám ještě poznámku, že Qbittorrent obsahuje microtorrent protokol. Není to sice planetární zázrak, je však jasné, že díky tomu se rychleji spojuje s uTorrenty a Qbittorrenty. Dále to může v některých případech znamenat vyšší rychlost stahování, zejména u těch "státních" linek. Je to obvykle ADSL 50 km od ústředny. Tento protokol umožňuje vyšší důvěru klienta / klienta. Kontroly dat probíhají standardně, ale klient s důvěrou přijme více dat, než vám zabanuje protějšek. Proto i s imbecilním připojením dokážete stahovat rychleji. Většina dat totiž chodí v pořádku a s tím právě počítá základní princip microtorrent protokolu.
Pety
Pokročilý
Příspěvky: 155
Registrován: 02.červenec 2011, 21:33

Příspěvek od Pety »

Qbittorrent jsem zkoušel asi tři měsíce. Prakticky dokáže utorrent nahradit, v praxi jsem narazil na nedodělanou práci s .torrent soubory. Normálně si je nechávám ukládat do zvláštní složky a mazat zároveň s torrentem. To u qbittorrentu prostě nefunguje. Sice se uloží, ale smazat se neumí. Leda to čistit ručně. Takže jsem to nakonec vypnul.

Proč to dělám? Protože když musím z nějakého důvodu něco dělat se systémem, po nové instalaci, resetu, nápravě havárie utorrentu mi stačí ty soubory někam přesunout, poklepat na ně a dát zkontrolovat data. Všechno jede vesele dál, kde to přestalo.

Nakonec jsem na to s qbittorrentem dojel - protože mi nešel upgrade na poslední verzi desítek a musel jsem reinstalovat. Musel jsem pátrat, které torrenty mám rozjeté a kde jsem je stáhl, a stahovat je znova. Takže jsem se vrátil k utorrentu.
Uživatelský avatar
emc
Administrátor
Příspěvky: 4999
Registrován: 27.únor 2006, 20:22

Příspěvek od emc »

Remy píše:Přidávám ještě poznámku, že Qbittorrent obsahuje microtorrent protokol.
qBittorrent - tedy ne Qbittorrent, miluješ ho, ale ani ho neumíš správně pojmenovat Obrázek
µTP, uTP = Micro Transport Protocol - tedy nikoli microtorrent protokol
Odpovědět