HLEDAT

Nebezpečí v podobě FTP klientů

Petr Kuhn, 5.6.2009 23:59 | Přečtěno: 6958x | Rubrika: Články | Kategorie:

V posledních měsících došlo k vysokému nárůstu krádeží přístupových údajů k FTP účtům, které se používají pro nahrávání souborů na webové servery. Veliké nebezpečí pro všechny uživatele internetu ještě více umocňují nepropracované programy pro práci s FTP účty jako je Total Commander.

Total Commander, FileZilla a mnoho, mnoho dalších klientů, kteří se ani nepokoušejí o nějaké šifrování vašich cenných údajů.

Ukrást FTP účty není pro virus žádný problém, vždyť ani tak známý program jako je Firefox nemá pořádné zabezpečení uložených hesel, to ani nemluvím o Internet Exploreru.

V tomto článku se nebudu rozepisovat jak je to možné, to snad každému dojde.. Zajímalo by mě ovšem jak je možné, že se této obrovské chyby vývojařů FTP klientů, začalo zneužívat ve velké míře až nyní. Na webu čekají miliardy webů na správnou příležitost k útoku na váš nezáplatovaný Flash, Adobe Reader, Windows Media Player, prohlížeč a další programy. A za to vše nesou částečnou vinu vývojaři FTP klientů.

Že by vás ani nenapadlo, že zrovna váš web může být infikovaný?

Víte, ono se to u vás nemusí nijak projevit. Scripty na nejen čínských exploit stránkách se aktivují jen v případě, že je k tomu důvod. Takže pokud máte aktuální software, na první pohled to při vstupu na stránku ani nepoznáte.

autocentrumchrudim.cz,
awebdesign.cz,
cerna.cz,
cestazdravi.cz,
cinske-horoskopy.cz,
coudelapelikan.cz,
golfhotel.cz,
… a bla bla bla… mohl bych pokračovat do nekonečna.

Jsou to z velké části zcela nenapadné stránky, ale všechny nám říkají jedno:
Webmaster je asi debil (tím se nechci nikoho dotkout, ale pokud jste webmaster a čtete tento článek, buďte tak hodný a okamžitě něco udělejte se svým zabezpečením … pro jistotu).

Ptáte se jak těžké je odhalit hesla k vašim FTP účtům?

Tak u FileZilly jsem nemusel hledat dlouho:
C:\Documents and Settings\-Uživatel-\Data aplikací\FileZilla\sitemanager.xml

Ještě to máme hezky v XML formátu, takže export je suprově jednoduchý!
To je naprosto hrozná úroveň….

To Total Commander se aspoň snažil lamsky zašifrovat soubor, ale vzhledem k tomu, že u všech instalací TC je použita stejná, neunikátní šifrovací technika, nebyl opět problém hesla najít.
Dokonce existuje utitlitka Total Commander Password Recovery, která veškerou podstatnou práci udělá za vás.

O ostatních programech se rozepisovat nebudu… nemá to cenu, stejně to má všude stejný výsledek.

Pokud máte nějaký FTP program, který stojí za používání a umí ochránit uživatelská data, dejte vědět v komentářích.


Podělte se s ostaními:


Podobné články:

Komentáře

komentar

Nivník

6.6.2009 11:29

Já používám normální Windowsoskej FTP klient jen jednou dám heslo a on už si to na furt pamatuje a je i náhodou rychlej což u toho TC to mě nejvíc štvalo to furt vyplnovat.

komentar

Martin Dráb

7.6.2009 17:21

> Já používám normální Windowsoskej FTP klient jen jednou dám heslo a on už si to na furt pamatuje a je i náhodou rychlej což u toho TC to mě nejvíc štvalo to furt vyplnovat.

Nejsem si jistý, jestli to heslo Windows Explorer uloží nějak šifrované. Řekl bych, že ho ukládá na stejné místo jako Internet Explorer, tedy nešifrované a celkem snadno zjistitelné…

Ano, FTP klienti to s hesly příliš neumějí. Ale například Total Commander upozorní, že ukládat hesla není dobrý nápad.

Problém tkví v tom, že většinou lidé přistupují na servery přes protokol FTP – nepoužívají žádný zabezpečený protokol typu SFTP. U protokolu FTP se heslo posílá v plaintextu, tedy je triviálně oechytitelné. Navíc to vynucuje uchovávat si hesla v takové podobě, aby je bylo možné převést do původního stavu. Kdyby se místo hesla posílal pouze jeho MDC hash, tak by vše bylo o něco lepší.

Napsat, že webmaster je ***** (ať už si to dotyčný webmaster zaslouží či ne) je naprosto zbytečné a urážlivé a vypovídá to něco o autorovi článku. Do odborně laděného textu to dle mne nepatří. A doporučuji autorovi, aby si své texty před zveřejněním nechával někým zkontrolovat, neb ta interpunkce není úplně v pořádku.

komentar

Petr

7.6.2009 20:39

Martine,
To jestli je vhodné používat slovo debil… nevím.. nevím….

K tomu druhému rejpnutí… Je mi líto, že mám chyby v interpunkci, ale bohužel… stane se. A když už tedy jsme u toho, nechceš mi říct, kdo mi ty texty bude kontrolovat? Mám si zaplatit korektora? Nezlob se… ale je mi vcelku jedno jestli támhle nebo tam chybí čárka či ne… :o)

komentar

Martin Dráb

8.6.2009 15:52

K používání toho slova:
Ruší to odborný ráz textu, je to vyjádření tvého náoru, velmi subjektivní a zbytečně urážlivé. Mně přijde mnohem lepší těm lidem napsat, že tam mají takovou a takovou chybu a ukázat jim cestu Světla než je takhle shazovat. Nevím, jestli jejich webmasteři čtou tento server.

Když na SECITu někdo z nás napíše článek (pravda, není to moc často), tak jej většinou někomu pošle na korekturu, nebo je korektura provedena těsně po uveřejnění (pravda, u posledního článku jsem ji ještě nedělal). Ale nevím, jaké množství lidí je za tímto serverem.

K vlivu interpunkce a pravopisu obecně:
Určitě znáš ten styl, jakým píše dost teenagerů. Míchají do jazyka písmena, která tam nepatří, vytváření podívná slova náhradou “š” za “sh”, mění velikost písmen atd. Když něco takového vidím, tak to ve mě zanechá určitý dojem…

komentar

bruno

10.6.2009 23:10

Autor WinSCP píše “It is not possible to securely encrypt passwords in a way that still allows for automatic use.”
http://winscp.net/eng/docs/security
Spomínaný Firefox túto slabinu rieši master heslom.

komentar

Petr

11.6.2009 14:35

Master heslo je asi nejvhodnější řešení… Ale zrovna FF je na tom bohužel také dost špatně…

komentar

Martin Dráb

13.6.2009 20:56

Nojo, ta úvaha s MDC hashem je hloupost. SSL by mohlo pomoci proti odposlechu sítové komunikace (podaří-li se autentizovaně předat některé informace).

Ale zatím mě lepší řešení pro tyto podmínky než Master heslo nenapadá… Pokud uživatel bude chtít, aby Master heslo bylo zadáváno automaticky, tak je to stále stejný problém.

komentar

Lamerak:-)

16.6.2009 20:16

Ja používam “Woorld FTP Client 1.2”…http://www.woorld.net/download.html… výborný FTP klient všetkým odporúčam, a zabezpečenie je výborné pretože heslo tam nejde uložiť…:-)

komentar

Petr

18.6.2009 13:06

No… v pohodě… tak to abych si začal postupně sepisovat těch par stovek hesel k FTP uctum ktere vlastnim… nekam do poznamkovyho bloku abych to pak mohl copy-paste :D … Nemyslim si ze neukladani hesel resi problem…

komentar

Poutnik

30.8.2009 10:27

no jo, jenže SFTP založené na SSH má s FTP společného jen to FTP v názvu.
Na webech, které mají jen starý, dobrý, prostý a důvěřivý FTP, nebude k ničemu, zrovna tak FTPSFTP přes SSL , pokud jej server nepodporuje.
Nekteré klienty jako WinSCP, FF rozšíření FireFTP podporují všechny 3 protokoly.
No a s těmi hesly – kdo nevěří klientům, existují PW managery, kde přenos ID a/nebo hesla je velmi elegantní, třeba PINS, Password Save, KeePass.

komentar

rayman

3.10.2010 13:13

Musim dat za pravdu ::poutnikovi:: a ::brunovi::
klient WinSCP zvlada vsechny tri protokoly vcetne obycejneho FTP. Navic veskera ulozena hesla chrani master psw. Nastaveni klienta se uklada bud do registru anebo do samostatneho .ini souboru, v nemz jsou hesla k FTP uctum zasifrovana.
Musel jsem odlozil FileZillu neb presne jak je zde uvedeno ulozi vse krasne do xml prehledne strukturovaneho souboru ktery neni az takovy problem ziskat z uzivaleskeho PC.
Spravujeme velke mnozstvi ftp uctu a vrele doporucuji..

komentar

iryfussp

16.4.2014 10:13

20

Jméno
Email nepovinné
Web nepovinné
Zpráva

Software, windows, hry.

Přejít na Security-Portal.cz