Nieuws

"FTP ongeschikt voor belangrijke zaken"

maandag 17 augustus 2009, 13:19 door Redactie, 20 reacties

Het stelen van FTP-wachtwoorden is een populaire manier voor aanvallers om toegang tot websites te krijgen en die vervolgens van exploitcode te voorzien, maar wie zijn website met FTP beheert is niet verstandig bezig, aldus een Brits beveiligingsbedrijf. Eén van de operaties die PrevX in de gaten houdt is een Trojaans paard dat al de inloggegevens van 90.000 websites heeft bemachtigd. Het doet dit door in Total commander, CuteFTP, FlashFXP en andere populaire FTP-clients ingevoerde gegevens op te slaan en naar een server van de criminelen te uploaden. Die gegevens worden vervolgens naar andere besmette machines gestuurd die met de gestolen data inloggen en exploits op de website plaatsen.

Volgens CTO Jacques Erasmus zijn er twee manieren om de werking van "FTP login stealers" tegen te gaan. "Gebruik FTP niet voor belangrijke zaken, gebruik versleutelde protocollen." Daarnaast adviseert hij om er niet op te vertrouwen dat programma's zoals Total Command, FlashFXP en CuteFTP het wachtwoord beschermen. "De gebruikte methoden om wachtwoorden op te slaan zijn gewoon te zwak."

Russische Mafia achter cyberaanvallen Georgië

Linux-lek treft ook hackertool BackTrack

Reacties (20)

17-08-2009, 13:22 door MrBil

Met FlashFXP zijn zelfs FTP-servers te rooten, dat is stukken erger dan een cPanel wachtwoord stelen.

17-08-2009, 13:34 door Anoniem

Hmm ik vind de titel nogal vaag. FTP zelf lijkt me na het lezen van dit stuk wel goed maar het opslaan van de ww in populaire clients kan veel beter. Dat is nogal een verschil.

17-08-2009, 13:49 door SirDice

Opgeslagen wachtwoorden zijn natuurlijk ook een probleem als je een beveiligd protocol gebruikt. Deze wachtwoorden kunnen net zo goed gepikt worden. Een versleuteld protocol alleen helpt dus niet.

Gebruik bij voorkeur ssh/sftp/scp met een public/private key. Beveilig die sleutel met een wachtwoord. Maar ook hier moet je oppassen dat je private key niet gestolen wordt.

17-08-2009, 14:13 door Anoniem

Laten we even terug naar de kern van het probleem gaan: je kan beter geen trojaanse paarden op je PC installeren. In die zin is dit een beetje een onzinartikel. Het is ook gebaseerd op de blogpost van een CTO die kennelijk zijn beveiliging niet serieus heeft genomen.

Het is een beetje onzin om nu te gaan zeggen dat FTP- of FTP-clientgebruik niet veilig is. Het is net zo onveilig als het opslaan van welk wachtwoord dan ook in welk programma dan ook. En zelfs al sla je het niet op, een goed geprogrammeerde trojan kan vast ook toetsaanslagen loggen en ingevulde formulieren herkennen/bewaren.

17-08-2009, 14:25 door [Account Verwijderd]

[Verwijderd]

17-08-2009, 14:27 door Anoniem

Of je gebruikt One Time Passwords ;)

17-08-2009, 14:28 door Anoniem

SFTP! gebruik het zelf al jaren. :)

17-08-2009, 14:29 door MrBil

Door #Lolbroek#:

Door MrBil: Met FlashFXP zijn zelfs FTP-servers te rooten, dat is stukken erger dan een cPanel wachtwoord stelen.

Dat is het zelfde :P als de website Cpanel heeft , Kun je zo op z'n Cpanel

cPanel heeft jammer genoeg geen root access, dus daar heb je een misvatting. Zodra je een server root, heb je toegang tot de gehele server. Een cPanel geeft je toegang tot een aangewezen deel, meestal een schijf die voor Webruimte/Webmail/Sql word gebruikt.

En dat HTTPS niet alle problemen oplost dat weten we nu wel, oud nieuws dus.

17-08-2009, 14:36 door [Account Verwijderd]

En als je je wachtwoord opslaat in WinSCP en de trojan kan die stelen, gaat security.nl dan plots SSH niet meer geschikt verklaren voor serieuze zaken? Lijkt me een zomertijd komkommertijd artikel dit.

17-08-2009, 15:09 door SirDice

Door deej: En als je je wachtwoord opslaat in WinSCP en de trojan kan die stelen, gaat security.nl dan plots SSH niet meer geschikt verklaren voor serieuze zaken?

Security.nl niet, maar die Jacques Erasmus wel.

17-08-2009, 15:50 door Taco Kipkorn

Zeker een onderzoek van Bureau de Open Deur.

17-08-2009, 17:10 door Ziekheid

Door deej: En als je je wachtwoord opslaat in WinSCP en de trojan kan die stelen, gaat security.nl dan plots SSH niet meer geschikt verklaren voor serieuze zaken? Lijkt me een zomertijd komkommertijd artikel dit.

Valt niets meer aan toe te voegen.

/thread

17-08-2009, 23:14 door Anoniem

Dit is geen discussie meer, dit is geen nieuws, dit is al meer dan 10 jaar een geaccepteerd feit in de wereld van beveiliging. FTP en andere protocollen met authenticatie in clear text gebruiken in een publiek netwerk is dom. Wachtwoorden opslaan in de vorm van slappe encryptie of hashing is dom. Maar mensen zijn hardleers. Al met al vind ik dit artikel geen niveau voor security.nl. Morgen lezen we een stukje dat je de deur van je huis op slot moet doen als je de laatste bent die weg gaat?

18-08-2009, 08:37 door Anoniem

De meeste loginstelende-trojans doen 't via 't verkeer te sniffen, stuk makkelijker dan specefiek op zoek te gaan naar opgeslagen wachtwoorden...
Alles wat een wachtwoord onversleuteld verstuurd is onveilig (ftp, telnet, pop3), dat we na al die jaren nog steeds deze protocollen gebruiken is eigenlijk zwaar achterlijk....

18-08-2009, 09:56 door Anoniem

Gelukkig lees ik dat iemand hier SFTP gebruikt.

Ik neem dat iedereen wel weet dat FTP de login gegevens zowel gebruikersnaam alswel het wachtwoord in clear text het net op stuurt? daarom is het onveilig.

18-08-2009, 11:00 door Anoniem

Huh?
Wat is er mis met de ftp functionaliteit van windows explorer ;)

Nu krijgen we het hoor.....

18-08-2009, 11:09 door Anoniem

PureFTPd ondersteund sinds enige tijd volledige TLS.
Tot die tijd was alleen de authenticatie beveiligt. Maar zijn ook de gegevens zelf encrypted.

18-08-2009, 19:38 door lievenme

Kan 1 van de geachte lezers ook kort zeggen hoe sftp werkt, met welke (gratis) client, en of dat ook werkt bij de doorsnee webhoster?
dank bij voorbaat.

18-08-2009, 22:19 door Anoniem

sftp is gewoon ftp over ssh, ssh is veilig genoeg, je hoster moet dus wel ssh toegang verlenen, als 'ie 't niet doet/kan, moet je echt een andere hoster zoeken

19-08-2009, 18:28 door lievenme

Door Anoniem: sftp is gewoon ftp over ssh, ssh is veilig genoeg, je hoster moet dus wel ssh toegang verlenen, als 'ie 't niet doet/kan, moet je echt een andere hoster zoeken

bedankt, anoniem.
wat de client betreft, lees ik dat o.a. coreftplite sftp ondersteunt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer