Zephyrnet-logo

Een BitTorrent-client WebUI mag niet worden gedeeld met het hele internet

Datum:

Home > Technologie > BitTorrent >


Hoewel het leuk is om een ​​fles goede wijn te delen tijdens een smakelijke maaltijd met een geliefde, kun je sommige dingen beter niet delen. Neem bijvoorbeeld de webinterfaces van torrent-clients. Ze kunnen handig zijn en zien er in sommige gevallen erg mooi uit, maar zonder beveiliging heeft elke download een wereldwijd publiek, inclusief nieuwe torrent-overdrachten die zijn toegevoegd door passerende vreemden.

piraten tvHet woord 'open' in een verbonden wereld kan iets positiefs zijn. Open source bijvoorbeeld, of open library. Bij andere gelegenheden kan het tegenovergestelde waar zijn; onnodige opengelaten poorten op een router komen voor de geest.

Voor miljoenen mensen die apparaten gebruiken die zichzelf lijken te configureren, doet het er niet toe of iets open of gesloten is. Als een apparaat meteen werkt zoals beloofd, is dat vaak goed genoeg. Het probleem met sommige apparaten die op het internet zijn aangesloten, is dat beveiliging plaatsmaakt voor gebruiksgemak om onmiddellijk te werken in de handen van een beginner, en dat kan op een ramp uitlopen.

Torrent-client WebUI

Veel van de hedendaagse torrent-clients kunnen worden bediend via een webinterface, beter bekend als een WebUI. Een typische WebUI is toegankelijk via een webbrowser, waarbij het IP-adres van de klant en een opgegeven poortnummer toegang op afstand bieden.

In een LAN-omgeving (het deel van een netwerk achter de router, zoals een huis) bedient de webinterface van de torrent-client lokale gebruikers, dwz degenen met directe toegang tot het lokale netwerk, meestal via Wifi. De problemen beginnen wanneer de WebUI van een torrent-client wordt blootgesteld aan het bredere internet. In algemene termen, in plaats van dat de client beperkt is tot IP-adressen die zijn gereserveerd voor lokaal gebruik (vanaf 192.168.0.0 of 10.0.0.0), heeft iedereen met een webbrowser waar ook ter wereld toegang tot de gebruikersinterface.

In veel gevallen kan een WebUI worden beveiligd met een wachtwoord of op een andere manier, maar wanneer gebruikers dat zelf mogen doen, doen velen dat ondanks de waarschuwingen nooit. Dat kan op een ramp uitlopen als de verkeerde persoon besluit om van de andere kant van de wereld los te laten.

Gespecialiseerde zoekmachines

Met internet verbonden apparaten zijn gemakkelijk te vinden met behulp van services zoals Shodan, Censys, slap en Onyphe.io en degenen die slecht geconfigureerd zijn, zijn er in overvloed.

tixati1

De afbeelding hierboven toont een WebUI voor de Tixati torrent-client. Zonder enige beveiliging wordt alles volledig weergegeven, net zoals het is voor de persoon die de klant bedient, wie dat ook mag zijn. Dit betekent dat door alle downloads en uploads kan worden gebladerd, inclusief gegevens met betrekking tot die overdrachten, zoals hieronder te zien is.

tixati2

Het kan slechts een paar minuten duren om honderden open klanten te vinden. Een algemene WebUI die in het wild wordt gezien, behoort tot qBittorrent, maar de overgrote meerderheid is vergrendeld, precies zoals het hoort.

Dat is niet ideaal

Om redenen die niet helemaal duidelijk zijn, is de Android torrent-client 'tTorrent' is behoorlijk populair in Rusland.

ttorrent-rus

Het is mogelijk dat mensen tTorrent installeren op altijd ingeschakelde settopboxen, zodat de nieuwste films klaar zijn voor gebruik zodra ze thuiskomen van hun werk of de plaatselijke kroeg. Het probleem hier is dat mensen met een volledig zichtbare WebUI kunnen achterhalen wat Russen downloaden.

ttorrent12

De gemiddelde Russische burger zal het waarschijnlijk niet erg vinden als buitenstaanders hun Mortal Kombat-gewoonte ontdekken; ze hebben de beslissing genomen om het te downloaden, dus dat is dat.

Maar wat als vreemden die 's nachts langskomen invloed hadden op de lokaal geconsumeerde inhoud? Wat als die vreemden zouden besluiten hun controle over een open WebUI te gebruiken om nieuws van de andere kant van de wereld te delen, rechtstreeks gedownload naar het Android-apparaat van hun nieuwe vriend?

Als ze dat zouden doen, zou het er ongeveer zo uit kunnen zien….

ttorrent13
ttorrent11

spot_img

Laatste intelligentie

spot_img