Home > Technologie > BitTorrent >
Hoewel het leuk is om een fles goede wijn te delen tijdens een smakelijke maaltijd met een geliefde, kun je sommige dingen beter niet delen. Neem bijvoorbeeld de webinterfaces van torrent-clients. Ze kunnen handig zijn en zien er in sommige gevallen erg mooi uit, maar zonder beveiliging heeft elke download een wereldwijd publiek, inclusief nieuwe torrent-overdrachten die zijn toegevoegd door passerende vreemden.
Het woord 'open' in een verbonden wereld kan iets positiefs zijn. Open source bijvoorbeeld, of open library. Bij andere gelegenheden kan het tegenovergestelde waar zijn; onnodige opengelaten poorten op een router komen voor de geest.
Voor miljoenen mensen die apparaten gebruiken die zichzelf lijken te configureren, doet het er niet toe of iets open of gesloten is. Als een apparaat meteen werkt zoals beloofd, is dat vaak goed genoeg. Het probleem met sommige apparaten die op het internet zijn aangesloten, is dat beveiliging plaatsmaakt voor gebruiksgemak om onmiddellijk te werken in de handen van een beginner, en dat kan op een ramp uitlopen.
Torrent-client WebUI
Veel van de hedendaagse torrent-clients kunnen worden bediend via een webinterface, beter bekend als een WebUI. Een typische WebUI is toegankelijk via een webbrowser, waarbij het IP-adres van de klant en een opgegeven poortnummer toegang op afstand bieden.
In een LAN-omgeving (het deel van een netwerk achter de router, zoals een huis) bedient de webinterface van de torrent-client lokale gebruikers, dwz degenen met directe toegang tot het lokale netwerk, meestal via Wifi. De problemen beginnen wanneer de WebUI van een torrent-client wordt blootgesteld aan het bredere internet. In algemene termen, in plaats van dat de client beperkt is tot IP-adressen die zijn gereserveerd voor lokaal gebruik (vanaf 192.168.0.0 of 10.0.0.0), heeft iedereen met een webbrowser waar ook ter wereld toegang tot de gebruikersinterface.
In veel gevallen kan een WebUI worden beveiligd met een wachtwoord of op een andere manier, maar wanneer gebruikers dat zelf mogen doen, doen velen dat ondanks de waarschuwingen nooit. Dat kan op een ramp uitlopen als de verkeerde persoon besluit om van de andere kant van de wereld los te laten.
Gespecialiseerde zoekmachines
Met internet verbonden apparaten zijn gemakkelijk te vinden met behulp van services zoals Shodan, Censys, slap en Onyphe.io en degenen die slecht geconfigureerd zijn, zijn er in overvloed.
De afbeelding hierboven toont een WebUI voor de Tixati torrent-client. Zonder enige beveiliging wordt alles volledig weergegeven, net zoals het is voor de persoon die de klant bedient, wie dat ook mag zijn. Dit betekent dat door alle downloads en uploads kan worden gebladerd, inclusief gegevens met betrekking tot die overdrachten, zoals hieronder te zien is.
Het kan slechts een paar minuten duren om honderden open klanten te vinden. Een algemene WebUI die in het wild wordt gezien, behoort tot qBittorrent, maar de overgrote meerderheid is vergrendeld, precies zoals het hoort.
Dat is niet ideaal
Om redenen die niet helemaal duidelijk zijn, is de Android torrent-client 'tTorrent' is behoorlijk populair in Rusland.
Het is mogelijk dat mensen tTorrent installeren op altijd ingeschakelde settopboxen, zodat de nieuwste films klaar zijn voor gebruik zodra ze thuiskomen van hun werk of de plaatselijke kroeg. Het probleem hier is dat mensen met een volledig zichtbare WebUI kunnen achterhalen wat Russen downloaden.
De gemiddelde Russische burger zal het waarschijnlijk niet erg vinden als buitenstaanders hun Mortal Kombat-gewoonte ontdekken; ze hebben de beslissing genomen om het te downloaden, dus dat is dat.
Maar wat als vreemden die 's nachts langskomen invloed hadden op de lokaal geconsumeerde inhoud? Wat als die vreemden zouden besluiten hun controle over een open WebUI te gebruiken om nieuws van de andere kant van de wereld te delen, rechtstreeks gedownload naar het Android-apparaat van hun nieuwe vriend?
Als ze dat zouden doen, zou het er ongeveer zo uit kunnen zien….
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://torrentfreak.com/a-bittorrent-client-webui-shouldnt-be-shared-with-the-entire-internet-230527/