FileZilla Secure slaat ftp-wachtwoorden versleuteld op
Een gebruiker van het populaire ftp-programma FileZilla van wie allerlei websites werden gehackt heeft een eigen versie ontwikkeld die wachtwoorden wel versleuteld opslaat. FileZilla laat gebruikers op ftp-servers inloggen en wordt vaak voor het beheren van websites gebruikt.
De opensourcesoftware biedt gebruikers ook de mogelijkheid om wachtwoorden op te slaan. Dit gebeurt echter onbeveiligd, zo ontdekte een gebruiker die zichzelf "tzss" noemt. Zijn computer raakte via een browser-exploit besmet met malware. Deze malware wist de door FileZilla opgeslagen wachtwoorden te stelen en plaatste zichzelf vervolgens op alle websites van de gebruiker, zodat ook bezoekers van zijn websites door de malware werden aangevallen.
Daarop besloot deze gebruiker een aangepaste versie van FileZilla te ontwikkelen die wachtwoorden versleuteld opslaat en vervolgens via een hoofdwachtwoord laat benaderen. De ontwikkelaar van FileZilla Secure, zoals de aangepaste versie wordt genoemd, erkent dat ook zijn versie kwetsbaar is voor malware, zoals een keylogger. De keylogger kan namelijk het hoofdwachtwoord opslaan en de aanvaller kan hiermee de versleutelde wachtwoorden ontsleutelen.
Volgens de ontwikkelaar vereist een keylogger veel handwerk van een aanvaller die handmatig door alle opgeslagen toetsaanslagen zou moeten gaan. Dat klopt niet helemaal, aangezien er ook keyloggers zijn die bij bepaalde processen actief worden. Verder zou een aanvaller ook op andere manieren de aangepaste versie kunnen aanvallen, zo laat één van de FileZilla-beheerders op het officiële forum van FileZilla weten.
Daarnaast is FileZilla Secure op een verouderde versie van FileZilla gebaseerd, wat ook allerlei risico's met zich meebrengt. "We gebruiken een versie die een paar maanden oud is. Het was de nieuwste versie toen we dit project begonnen. We zullen de komende tijd naar nieuwere versies updaten. Maar je hebt gelijkt, het gebruik van onveilige software is niet verstandig. Een hacker zou je wachtwoorden kunnen krijgen! :p", zo laat gebruiker tzss op het forum weten.
Reacties (21)
Dat wachtwoorden in plaintext worden opgeslagen in Filezilla client was toch al lang bekend? Zo zijn er meer FTP-clients die dit doen.
Dit gebeurt echter onbeveiligd, zo ontdekte een gebruiker die zichzelf "tzss" noemt.
[/]
Dit is helemaal geen geheim ofzo, Standaard kunnen wachtwoorden niet worden opgeslagen in FZ en dit moet je expliciet inschakelen in de settings.
Jawel, maar ik sla geen wachtwoorden op in een ftp-client.
Je kunt nog wel keyloggen, maar wachtwoorden zomaar stelen uit de client is er niet meer bij.
Je kunt nog wel keyloggen, maar wachtwoorden zomaar stelen uit de client is er niet meer bij.
Door Anoniem:
Dit gebeurt echter onbeveiligd, zo ontdekte een gebruiker die zichzelf "tzss" noemt.
[/]
Dit is helemaal geen geheim ofzo, Standaard kunnen wachtwoorden niet worden opgeslagen in FZ en dit moet je expliciet inschakelen in de settings.
Maar dat is dus al lang niet meer van "deze" tijd. Wachtwoorden zouden altijd versleuteld opgeslagen moeten worden. En anders moet je de optie niet aanbieden in je programma. Maar dat is maar mijn gedachte :-)
Dit gebeurt echter onbeveiligd, zo ontdekte een gebruiker die zichzelf "tzss" noemt.
[/]
Dit is helemaal geen geheim ofzo, Standaard kunnen wachtwoorden niet worden opgeslagen in FZ en dit moet je expliciet inschakelen in de settings.
Maar dat is dus al lang niet meer van "deze" tijd. Wachtwoorden zouden altijd versleuteld opgeslagen moeten worden. En anders moet je de optie niet aanbieden in je programma. Maar dat is maar mijn gedachte :-)
Ik gebruik Filezilla zelden, maar zie dat hij het wachtwoord van de laatste sessie en recent sessie wel versleuteld opslaat.
<LastServer>
<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Waar de wachtwoorden plaintekst staan zie ik zo snel niet. (Hash en user aangepast in listing)<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Door Briolet: Ik gebruik Filezilla zelden, maar zie dat hij het wachtwoord van de laatste sessie wel versleuteld opslaat.
<LastServer>
<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Maar waarom wel voor de laatste sessie en voor andere sites niet? (Hash en user aangepast in listing)<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Encoding is wat anders dan encrypting. Haal jouw pass string maar eens door een 64 decoder
Door Briolet: Ik gebruik Filezilla zelden, maar zie dat hij het wachtwoord van de laatste sessie en recent sessie wel versleuteld opslaat.
<LastServer>
<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Waar de wachtwoorden plaintekst staan zie ik zo snel niet. (Hash en user aangepast in listing)<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Er is een verschil tussen "encoding" en "encryptie". Encoding verandert alleen de "taal" waarin het geschreven is. Het verbergt niets. Dat base64 is geen hash, maar je plaintekst wachtwoord. Het kan makkelijk weer omgezet worden naar voor jou leesbare tekst (zoek maar base64 decode op google).
Vfregen
Hopelijk gebruik je hier een ander wachtwoord.... base64 encoding is niet gelijk aan versleuteling...
Hopelijk gebruik je hier een ander wachtwoord.... base64 encoding is niet gelijk aan versleuteling...
Zijn computer raakte via een browser-exploit besmet met malware.
Misschien moet deze meneer eerst eens nadenken hoe hij zijn computer gebruikt.FileZilla nu, een cryptolocker of erger de volgende keer op de PC. En dan? Gaat hij dan een compleet besturingssysteem bouwen waarbij hij er dan geen last meer van heeft?
07-11-2016, 14:02 door
Briolet
Dat base64 is geen hash, maar je plaintekst wachtwoord.
Je hebt gelijk, dat had ik eigenlijk moeten weten. Dan is het natuurlijk de vraag waarom het überhaupt encoded opgeslagen wordt als het niets toevoegt.Door Briolet:<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
Vf?regen? Niet echt een veilig wachtwoord voor een FTP server als je het mij vraagt..
Ook daarom: gebruik geen ftp maar sftp met een private/public keypair - waarvan je de private key beschermt met een wachtwoord. Dan is je verkeer versleuteld en is het veel moeilijker voor een aanvaller om een dergelijke aanvalsvector te gebruiken.
Dit is te moeilijk voor de meeste gebruikers, wat betekent dat je dan niet in de meest kwetsbare groep zit. En dat is al weer een beveiliging op zich zelf, want massa = kassa = beloning voor werk = aantrekkelijk voor aanvallers. Zorg dat je beter beveiligd bent dan de buren, dan zit je redelijk goed. Een aanval specifiek op jou ga je hiermee niet volledig tegen houden, maar dat is voor de meeste mensen toch al niet het grootste risico.
Bonus van deze aanpak: je blijft weg bij de goedkope, crappy beveiligde hosting boeren want die ondersteunen toch alleen maar ftp.
Dit is te moeilijk voor de meeste gebruikers, wat betekent dat je dan niet in de meest kwetsbare groep zit. En dat is al weer een beveiliging op zich zelf, want massa = kassa = beloning voor werk = aantrekkelijk voor aanvallers. Zorg dat je beter beveiligd bent dan de buren, dan zit je redelijk goed. Een aanval specifiek op jou ga je hiermee niet volledig tegen houden, maar dat is voor de meeste mensen toch al niet het grootste risico.
Bonus van deze aanpak: je blijft weg bij de goedkope, crappy beveiligde hosting boeren want die ondersteunen toch alleen maar ftp.
07-11-2016, 14:28 door
Briolet
Door Anoniem:Niet echt een veilig wachtwoord voor een FTP server
Dat is de FTP server op mijn digitale video recorder, met zijn default wachtwoord. Het enige apparaat waar ik Filezilla voor gebruik, omdat Cyberduck altijd inlogproblemen geeft met dat apparaat.
Ik had niet in de gaten dat Filezilla überhaupt iets opsloeg. Daarvoor gebruik ik het te zelden. Een instelling om het opslaan van dit wachtwoord uit te zetten vind ik zo snel niet op de mac versie.
07-11-2016, 16:39 door
[Account Verwijderd]
-
Bijgewerkt: 07-11-2016, 16:41
[Verwijderd]
Door Briolet:
Het voegt wel degelijk wat toe, namelijk dat je op deze manier zonder problemen wachtwoorden met andere karaktersets (zoals Russiche, Chinees en basically alle niet-westerse karaktersets) opslaan in een tekstbestandje. Als je dat niet doet, loop je vroeger of later tegen encoding problemen aan waardoor het opgeslagen wachtwoord "niet meer werkt" omdat het niet goed opgeslagen is.Dat base64 is geen hash, maar je plaintekst wachtwoord.
Je hebt gelijk, dat had ik eigenlijk moeten weten. Dan is het natuurlijk de vraag waarom het überhaupt encoded opgeslagen wordt als het niets toevoegt.
07-11-2016, 19:44 door
karma4
Door Anoniem: Ook daarom: gebruik geen ftp maar sftp met een private/public keypair - waarvan je de private key beschermt met een wachtwoord. Dan is je verkeer versleuteld en is het veel moeilijker voor een aanvaller om een dergelijke aanvalsvector te gebruiken.
Dit is te moeilijk voor de meeste gebruikers, wat betekent dat je dan niet in de meest kwetsbare groep zit. En dat is al weer een beveiliging op zich zelf, want massa = kassa = beloning voor werk = aantrekkelijk voor aanvallers. Zorg dat je beter beveiligd bent dan de buren, dan zit je redelijk goed. Een aanval specifiek op jou ga je hiermee niet volledig tegen houden, maar dat is voor de meeste mensen toch al niet het grootste risico.
Bonus van deze aanpak: je blijft weg bij de goedkope, crappy beveiligde hosting boeren want die ondersteunen toch alleen maar ftp.
sftp is niet veel anders dan ftp op de dataencryptie over de lijn na. Hoe je met je keys omgaat blijft de zelfde uitdaging.Dit is te moeilijk voor de meeste gebruikers, wat betekent dat je dan niet in de meest kwetsbare groep zit. En dat is al weer een beveiliging op zich zelf, want massa = kassa = beloning voor werk = aantrekkelijk voor aanvallers. Zorg dat je beter beveiligd bent dan de buren, dan zit je redelijk goed. Een aanval specifiek op jou ga je hiermee niet volledig tegen houden, maar dat is voor de meeste mensen toch al niet het grootste risico.
Bonus van deze aanpak: je blijft weg bij de goedkope, crappy beveiligde hosting boeren want die ondersteunen toch alleen maar ftp.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Encoding ik zie het ook in de professionele wereld toegepast worden als wachtwoord niet leesbaar zelfs met base64. Wat niet weet wat niet deert totdat ...
Door karma4:
sftp is niet veel anders dan ftp op de dataencryptie over de lijn na. Hoe je met je keys omgaat blijft de zelfde uitdaging.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Mijn comment ging over dit specifieke geval, namelijk inloggegevens die opgeslagen staan in een programma (zonder een masterkey die gebruikt wordt voor versleuteling van deze wachtwoorden).sftp is niet veel anders dan ftp op de dataencryptie over de lijn na. Hoe je met je keys omgaat blijft de zelfde uitdaging.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Wat ik aangaf ik zeer zeker geen security by obscurity. Als jij vindt van wel, dan moet je dat eerst maar eens hard gaan maken. Want:
- Géén wachtwoorden (onversleuteld) opgeslagen in tegenstelling tot onderwerp artikel
- SFTP in plaats van FTP: voorkomt meelezen op de lijn om onversleutelde credentials te verkrijgen
- SFTP is proven technology
- SFTP met sleutelpaar is een best practice en geadviseerd boven het gebruik van een wachtwoord (onmogelijk te bruteforcen)
- Privésleutel beschermen met een wachtwoord is best practice om te voorkomen dat een gestolen privésleutel toegang geeft tot het account
- Dingen anders doen dan anderen komt mogelijk in de buurt van wat jij obscurity vindt, maar is in dit geval slechts één beveiligingslaag in een gelaagde beveiliging omdat automatische tooltjes niet meer werken
- Voor 99,9% van de mensheid (natte vingerwerk, maar you get the point) zou dit voldoende zijn om zich tegen de gelegenheidscrimineel te beschermen, zoals ik ook aangeef ("Een aanval specifiek op jou ga je hiermee niet volledig tegenhouden")
Graag hoor ik van jou waarom het tóch security by obscurity is.
Dit vind ik knap; FZ kunnen aanpassen naar versleuteld wachtwoord gebruik, maar geen keypair aan kunnen maken... Art thou kidding me? kan de versleuteling ook nooit veel voorstellen...
Door Anoniem:
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Ach, tenminste bewijs dat hij geen hol van het onderwerp begrijpt... iets wat ik al vaker heb geprobeerd uit te wijzen. Als-ie d'r nou eens wat mee deed, echter.
Door Anoniem:
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Wat ik aangaf ik zeer zeker geen security by obscurity. Als jij vindt van wel, dan moet je dat eerst maar eens hard gaan maken. Want:
- Géén wachtwoorden (onversleuteld) opgeslagen in tegenstelling tot onderwerp artikel
- SFTP in plaats van FTP: voorkomt meelezen op de lijn om onversleutelde credentials te verkrijgen
- SFTP is proven technology
- SFTP met sleutelpaar is een best practice en geadviseerd boven het gebruik van een wachtwoord (onmogelijk te bruteforcen)
- Privésleutel beschermen met een wachtwoord is best practice om te voorkomen dat een gestolen privésleutel toegang geeft tot het account
- Dingen anders doen dan anderen komt mogelijk in de buurt van wat jij obscurity vindt, maar is in dit geval slechts één beveiligingslaag in een gelaagde beveiliging omdat automatische tooltjes niet meer werken
- Voor 99,9% van de mensheid (natte vingerwerk, maar you get the point) zou dit voldoende zijn om zich tegen de gelegenheidscrimineel te beschermen, zoals ik ook aangeef ("Een aanval specifiek op jou ga je hiermee niet volledig tegenhouden")
Graag hoor ik van jou waarom het tóch security by obscurity is.
Door karma4:
sftp is niet veel anders dan ftp op de dataencryptie over de lijn na. Hoe je met je keys omgaat blijft de zelfde uitdaging.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Mijn comment ging over dit specifieke geval, namelijk inloggegevens die opgeslagen staan in een programma (zonder een masterkey die gebruikt wordt voor versleuteling van deze wachtwoorden).sftp is niet veel anders dan ftp op de dataencryptie over de lijn na. Hoe je met je keys omgaat blijft de zelfde uitdaging.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Wat ik aangaf ik zeer zeker geen security by obscurity. Als jij vindt van wel, dan moet je dat eerst maar eens hard gaan maken. Want:
- Géén wachtwoorden (onversleuteld) opgeslagen in tegenstelling tot onderwerp artikel
- SFTP in plaats van FTP: voorkomt meelezen op de lijn om onversleutelde credentials te verkrijgen
- SFTP is proven technology
- SFTP met sleutelpaar is een best practice en geadviseerd boven het gebruik van een wachtwoord (onmogelijk te bruteforcen)
- Privésleutel beschermen met een wachtwoord is best practice om te voorkomen dat een gestolen privésleutel toegang geeft tot het account
- Dingen anders doen dan anderen komt mogelijk in de buurt van wat jij obscurity vindt, maar is in dit geval slechts één beveiligingslaag in een gelaagde beveiliging omdat automatische tooltjes niet meer werken
- Voor 99,9% van de mensheid (natte vingerwerk, maar you get the point) zou dit voldoende zijn om zich tegen de gelegenheidscrimineel te beschermen, zoals ik ook aangeef ("Een aanval specifiek op jou ga je hiermee niet volledig tegenhouden")
Graag hoor ik van jou waarom het tóch security by obscurity is.
Als je toch je eigen linux bak host, kun je het beste hiervoor nog een extra beveiligingslaag toevoegen voordat men uberhaupt een hallo van de sftp service krijgt; firewall?
Klopt Anoniem 08:41 Firewall dmz netwerkzonering eb vervolgens met de Desktop naar het publieke Internet en standaard mail gebruik. Waar is die afscherming dan actief?
O ja omdat het zo handig is de data uitwisselen via Dropbox of andere cloud dienst. De ict richtlijnen zijn me toch vervelend het kan allemaal veel makkelijker .... (ehhhh).
Mijn criterium is of de toegang tot een andere machine makkelijk door anderen cut/paste te misbruiken is. Weet jij zeker of dat niet iemand gedaan heeft? Die sleutel bij jou is makkelijk kopieerbaar.
O ja omdat het zo handig is de data uitwisselen via Dropbox of andere cloud dienst. De ict richtlijnen zijn me toch vervelend het kan allemaal veel makkelijker .... (ehhhh).
Mijn criterium is of de toegang tot een andere machine makkelijk door anderen cut/paste te misbruiken is. Weet jij zeker of dat niet iemand gedaan heeft? Die sleutel bij jou is makkelijk kopieerbaar.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
