Nieuws
image

"Sla wachtwoord niet in FTP-programma op"

dinsdag 23 augustus 2011, 12:33 door Redactie, 11 reacties

Webmasters moeten wachtwoorden voor websites niet in hun FTP-programma opslaan, omdat ze daar een eenvoudige prooi voor malware zijn. Dat zegt beveiligingsonderzoeker Denis Sinegubko na weer een grootschalige aanval op tienduizenden websites. De websites worden aangepast nadat malware het opgeslagen FTP-wachtwoord uit het FTP-programma heeft gestolen.

Aanvallers injecteren een iframe op gehackte websites, die bezoekers met verouderde programma's automatisch infecteren. Op deze besmette computers wordt weer naar FTP-wachtwoorden gezocht en zo gaat de cyclus door. Inmiddels zouden 22.400 unieke domeinen en 536.000 pagina's zijn besmet.

Wachtwoord
Sinegubko adviseert webmasters om alle computers die toegang tot hun websites hebben op malware te scannen. Verder moet men alle wachtwoorden wijzigen en geen nieuwe wachtwoorden in FTP programma's opslaan. "Configureer ze zo dat ze elke keer om een wachtwoord vragen als je verbinding maakt."

Wie meerdere websites beheert en wachtwoorden niet kan of wil onthouden, zou volgens de onderzoeker een alternatief als KeePass kunnen gebruiken, dat wachtwoorden wel veilig opslaat. Verder moet men bij niet meer gebruikte FTP-programma's eerder opgeslagen wachtwoorden verwijderen.

Naast het uitlezen van opgeslagen wachtwoordbestanden, luistert sommige malware ook het FTP-verkeer af. Aangezien inloggegevens onversleuteld worden verstuurd, zijn die ook tijdens het opzetten van de verbinding een eenvoudige prooi. Sinegubko adviseert dan ook SFTP, waar de wachtwoorden niet tijdens het transport zijn af te luisteren.

Reacties (11)
23-08-2011, 12:41 door Anoniem
Betekend dit dat de login credentials bij een FTPES verbinding ook unencrypted over het netwerk gaan?
23-08-2011, 13:23 door [Account Verwijderd]
[Verwijderd]
23-08-2011, 14:40 door Anoniem
Ik heb mijn filezilla het sitemanager.xml bestand in een truecrypt volume gezet, wat ik dus eerst even moet ontgrendelen voor gebruik.

Probleem opgelost.
23-08-2011, 15:27 door Bert de Beveiliger
Door Anoniem: Ik heb mijn filezilla het sitemanager.xml bestand in een truecrypt volume gezet, wat ik dus eerst even moet ontgrendelen voor gebruik.

Probleem opgelost.

Nee, want alles is leesbaar zolang FileZilla draait.
23-08-2011, 16:04 door Anoniem
Of nog beter FTPS.
23-08-2011, 17:37 door Anoniem
Gebruik al tijden KeePass :)
23-08-2011, 22:55 door Anoniem
Ftpes en ftps worden geblokkeerd door mijn school + niet elke webhost ondersteund het.
24-08-2011, 09:54 door [Account Verwijderd]
Door Anoniem: Ik heb mijn filezilla het sitemanager.xml bestand in een truecrypt volume gezet, wat ik dus eerst even moet ontgrendelen voor gebruik.

Probleem opgelost.

Ik treed AlexK bij. Dit is een vals gevoel van veiligheid. De trojan zit in het geheugen en leest dus alles mee wat jij doet. Van zodra jij ontgrendelt heeft hij ook toegang. Oeps.
24-08-2011, 10:13 door JJ87
In feite slaat het hele bericht IMHO nergens op. Dus je mag je wachtwoorden niet opslaan, omdat je dan een prooi zou zijn voor malware. Volgens mij heeft de meeste malware keylogging functionaliteit, dus kunnen ze alsnog het wachtwoord 'stelen'. Beetje onzinnige uitspraak dus.

Het enige voordeel zou kunnen zijn dat je de malware eerder ontdekt dan dat je het FTP wachtwoord invoert, maar in hoeverre die kans reëel is?
24-08-2011, 10:30 door Anoniem
Door Anoniem: Betekend dit dat de login credentials bij een FTPES verbinding ook unencrypted over het netwerk gaan?

Dat gaat over de verbindingslaag, FTP ES of FTPS of zelf SFTP (SSH) is volkomen veilig.
Maar niet als het wachtwoord op 'jouw' computer gewoon leesbaar is.

Het zelfde geldt voor SSH, als je verbinding maakt via een sleutel bestand en dat bestand is niet beveiligd met een wachtwoord is het te kraken.
24-08-2011, 12:06 door SirDice
Door JJ87: In feite slaat het hele bericht IMHO nergens op. Dus je mag je wachtwoorden niet opslaan, omdat je dan een prooi zou zijn voor malware. Volgens mij heeft de meeste malware keylogging functionaliteit, dus kunnen ze alsnog het wachtwoord 'stelen'. Beetje onzinnige uitspraak dus.
Niet echt hoor. Om te beginnen is er niet zo veel malware die daadwerkelijk een keylogger in zich heeft. Bovendien is het makkelijker om, actief, in een keer een hele zwik account gegevens (met wachtwoorden) te jatten dan passief te gaan zitten wachten totdat iemand eens een keertje ergens inlogt. Daar komt nog bij dat als een wachtwoord is opgeslagen een gebruiker dus niets in hoeft te typen en een keylogger dan ook niets 'ziet'. En je hebt er geen admin rechten voor nodig (de gebruiker kan die password database immers lezen/schrijven) terwijl je dat wel nodig hebt om een keylogger te installeren. Zo'n password database leeg trekken is dus vele malen effectiever dan een keylogger, wat ook de reden is dat je die laatste ook niet meer zo vaak ziet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure