image

"FTP ongeschikt voor belangrijke zaken"

maandag 17 augustus 2009, 13:19 door Redactie, 20 reacties

Het stelen van FTP-wachtwoorden is een populaire manier voor aanvallers om toegang tot websites te krijgen en die vervolgens van exploitcode te voorzien, maar wie zijn website met FTP beheert is niet verstandig bezig, aldus een Brits beveiligingsbedrijf. Eén van de operaties die PrevX in de gaten houdt is een Trojaans paard dat al de inloggegevens van 90.000 websites heeft bemachtigd. Het doet dit door in Total commander, CuteFTP, FlashFXP en andere populaire FTP-clients ingevoerde gegevens op te slaan en naar een server van de criminelen te uploaden. Die gegevens worden vervolgens naar andere besmette machines gestuurd die met de gestolen data inloggen en exploits op de website plaatsen.

Volgens CTO Jacques Erasmus zijn er twee manieren om de werking van "FTP login stealers" tegen te gaan. "Gebruik FTP niet voor belangrijke zaken, gebruik versleutelde protocollen." Daarnaast adviseert hij om er niet op te vertrouwen dat programma's zoals Total Command, FlashFXP en CuteFTP het wachtwoord beschermen. "De gebruikte methoden om wachtwoorden op te slaan zijn gewoon te zwak."

Reacties (20)
17-08-2009, 13:22 door MrBil
Met FlashFXP zijn zelfs FTP-servers te rooten, dat is stukken erger dan een cPanel wachtwoord stelen.
17-08-2009, 13:34 door Anoniem
Hmm ik vind de titel nogal vaag. FTP zelf lijkt me na het lezen van dit stuk wel goed maar het opslaan van de ww in populaire clients kan veel beter. Dat is nogal een verschil.
17-08-2009, 13:49 door SirDice
Opgeslagen wachtwoorden zijn natuurlijk ook een probleem als je een beveiligd protocol gebruikt. Deze wachtwoorden kunnen net zo goed gepikt worden. Een versleuteld protocol alleen helpt dus niet.

Gebruik bij voorkeur ssh/sftp/scp met een public/private key. Beveilig die sleutel met een wachtwoord. Maar ook hier moet je oppassen dat je private key niet gestolen wordt.
17-08-2009, 14:13 door Anoniem
Laten we even terug naar de kern van het probleem gaan: je kan beter geen trojaanse paarden op je PC installeren. In die zin is dit een beetje een onzinartikel. Het is ook gebaseerd op de blogpost van een CTO die kennelijk zijn beveiliging niet serieus heeft genomen.

Het is een beetje onzin om nu te gaan zeggen dat FTP- of FTP-clientgebruik niet veilig is. Het is net zo onveilig als het opslaan van welk wachtwoord dan ook in welk programma dan ook. En zelfs al sla je het niet op, een goed geprogrammeerde trojan kan vast ook toetsaanslagen loggen en ingevulde formulieren herkennen/bewaren.
17-08-2009, 14:25 door [Account Verwijderd]
[Verwijderd]
17-08-2009, 14:27 door Anoniem
Of je gebruikt One Time Passwords ;)
17-08-2009, 14:28 door Anoniem
SFTP! gebruik het zelf al jaren. :)
17-08-2009, 14:29 door MrBil
Door #Lolbroek#:
Door MrBil: Met FlashFXP zijn zelfs FTP-servers te rooten, dat is stukken erger dan een cPanel wachtwoord stelen.
Dat is het zelfde :P als de website Cpanel heeft , Kun je zo op z'n Cpanel
cPanel heeft jammer genoeg geen root access, dus daar heb je een misvatting. Zodra je een server root, heb je toegang tot de gehele server. Een cPanel geeft je toegang tot een aangewezen deel, meestal een schijf die voor Webruimte/Webmail/Sql word gebruikt.

En dat HTTPS niet alle problemen oplost dat weten we nu wel, oud nieuws dus.
17-08-2009, 14:36 door [Account Verwijderd]
En als je je wachtwoord opslaat in WinSCP en de trojan kan die stelen, gaat security.nl dan plots SSH niet meer geschikt verklaren voor serieuze zaken? Lijkt me een zomertijd komkommertijd artikel dit.
17-08-2009, 15:09 door SirDice
Door deej: En als je je wachtwoord opslaat in WinSCP en de trojan kan die stelen, gaat security.nl dan plots SSH niet meer geschikt verklaren voor serieuze zaken?
Security.nl niet, maar die Jacques Erasmus wel.
17-08-2009, 15:50 door Taco Kipkorn
Zeker een onderzoek van Bureau de Open Deur.
17-08-2009, 17:10 door Ziekheid
Door deej: En als je je wachtwoord opslaat in WinSCP en de trojan kan die stelen, gaat security.nl dan plots SSH niet meer geschikt verklaren voor serieuze zaken? Lijkt me een zomertijd komkommertijd artikel dit.

Valt niets meer aan toe te voegen.

/thread
17-08-2009, 23:14 door Anoniem
Dit is geen discussie meer, dit is geen nieuws, dit is al meer dan 10 jaar een geaccepteerd feit in de wereld van beveiliging. FTP en andere protocollen met authenticatie in clear text gebruiken in een publiek netwerk is dom. Wachtwoorden opslaan in de vorm van slappe encryptie of hashing is dom. Maar mensen zijn hardleers. Al met al vind ik dit artikel geen niveau voor security.nl. Morgen lezen we een stukje dat je de deur van je huis op slot moet doen als je de laatste bent die weg gaat?
18-08-2009, 08:37 door Anoniem
De meeste loginstelende-trojans doen 't via 't verkeer te sniffen, stuk makkelijker dan specefiek op zoek te gaan naar opgeslagen wachtwoorden...
Alles wat een wachtwoord onversleuteld verstuurd is onveilig (ftp, telnet, pop3), dat we na al die jaren nog steeds deze protocollen gebruiken is eigenlijk zwaar achterlijk....
18-08-2009, 09:56 door Anoniem
Gelukkig lees ik dat iemand hier SFTP gebruikt.

Ik neem dat iedereen wel weet dat FTP de login gegevens zowel gebruikersnaam alswel het wachtwoord in clear text het net op stuurt? daarom is het onveilig.
18-08-2009, 11:00 door Anoniem
Huh?
Wat is er mis met de ftp functionaliteit van windows explorer ;)

Nu krijgen we het hoor.....
18-08-2009, 11:09 door Anoniem
PureFTPd ondersteund sinds enige tijd volledige TLS.
Tot die tijd was alleen de authenticatie beveiligt. Maar zijn ook de gegevens zelf encrypted.
18-08-2009, 19:38 door lievenme
Kan 1 van de geachte lezers ook kort zeggen hoe sftp werkt, met welke (gratis) client, en of dat ook werkt bij de doorsnee webhoster?
dank bij voorbaat.
18-08-2009, 22:19 door Anoniem
sftp is gewoon ftp over ssh, ssh is veilig genoeg, je hoster moet dus wel ssh toegang verlenen, als 'ie 't niet doet/kan, moet je echt een andere hoster zoeken
19-08-2009, 18:28 door lievenme
Door Anoniem: sftp is gewoon ftp over ssh, ssh is veilig genoeg, je hoster moet dus wel ssh toegang verlenen, als 'ie 't niet doet/kan, moet je echt een andere hoster zoeken
bedankt, anoniem.
wat de client betreft, lees ik dat o.a. coreftplite sftp ondersteunt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.