Anti-virusbedrijf wil FTP uitroeien
Onlangs ontdekte anti-virusbedrijf Trend Micro een virus dat op Windows-computers foto's steelt en via FTP naar een server van de aanvallers uploadt. Reden voor Chester Wisniewski van Sophos om de oorlog aan FTP te verklaren. De Pixsteal Trojan zoekt op de computers naar .JPG-, .JPEG- en .DMP-bestanden en verstuurt die via FTP naar een server in Irak. Wat het motief van de aanvallers is, is nog onduidelijk. Het zou om chantage of identiteitsdiefstal kunnen gaan.
Spionage
Op de server trof Wisniewski naast foto's ook een DMP-bestand van Google Talk aan. DMP-bestanden bevatten informatie over gecrashte programma's en kunnen volgens Wisniewski in dit geval ook informatie over Google Talk-gesprekken bevatten. Zelf gokt de analist dat de malware voor spionage wordt ingezet, maar zeker is hij niet.
Gebruikers die zich willen beschermen moeten beginnen met het blokkeren van FTP-toegang op hun firewall. "Dat lijkt misschien wat extreem, ik stel dat je FTP-toegang in de eerste plaats niet eens moet toelaten."
Hosting
Volgens Wisniewski had 'FTP al een lange tijd geleden moeten sterven' en kunnen gebruikers hierbij helpen. "Weiger het gewoon te gebruiken. Vereist je webhost FTP? Vind een nieuwe host? Je wachtwoord zou nooit in platte tekst moeten worden verstuurd, daarom zou je nooit FTP moeten gebruiken."
FTP inloggegevens en data worden in platte tekst verstuurd, zodat iedereen die het netwerkverkeer kan afluisteren, toegang tot de gegevens heeft. De analist stelt dat het soms lastig is om op een nieuwe werkwijze over te stappen, maar dat het verschijnen van de Pixstreal Trojan weer een reden is om de laatste spijker in de doodskist van FTP te slaan.
roei Email ook uit, want ook daar kan je bestanden mee versturen.
en als meneer toch bezig is, roei usenet ook meteen uit, daar kan je ook bestanden mee versturen.
oja, en meteen HTTP, genoeg webbased upload mogelijkheden.
nog iets vergeten ?
ja, Teamspeak 3 !
daar kan je ook bestanden mee versturen.
nog iets vergeten wat meneer kan uitroeien ???
ja.
internet zelf...
roei Email ook uit, want ook daar kan je bestanden mee versturen.
Na 40 jaar trouwe dienst is het dus inderdaad meer dan tijd om FTP op te ruimen.
Voor het downloaden van grotere bestanden is het imo nog steeds een must om dat via een FTP client te doen, dan gebruik je een protocol dat daarvoor is bedoeld met alle voordelen (zoals verdergaan waar je gebleven was bij een onderbroken download) van dien. Of via een P2P om de noodzaak voor centrale downloadservers te verminderen. Via usenet kan natuurlijk ook, maar dat is hier in eerste instantie niet voor ontworpen. Maar ik heb ook een abo bij een premium usenet provider om binaries te downloaden, dat geef ik eerlijk toe ;)
Zal ik Sophos eens wat adviseren?
Ach laat ook maar...
.dmp bestanden zijn trouwens ook export bestanden van bijvoorbeeld een Oracle database.
https://en.wikipedia.org/wiki/FTPS
TheYOSH
Bij email kan dat door (bij voorkeur) SMTP+STARTTLS te gebruiken (SMTPS is de andere optie). Met FTP kan dat ook, namelijk door FTP server software te kiezen die FTPS ondersteund. Ofwel, FTP+STARTTLS. SFTP kan idd ook een oplossing zijn, is iets anders dan FTP: SFTP is een subsystem van SSH. Voor de meeste gebruikers maakt het weinig uit of SFTP of FTPS wordt gebruikt.
Als iemand een goede reden heeft om FTP te gebruiken, dan moet dat m.i. gewoon kunnen: waarom zou het bij een simpele anonymous download van een willekeurige MP3 (om maar iets controversieels te noemen) geen optie zijn?.
Is het in alle gevallen handig? Nee, zeker niet. Maar ik weet niet of ik me die keuze wil laten ontnemen.
FTP inloggegevens en data worden in platte tekst verstuurd, zodat iedereen die het netwerkverkeer kan afluisteren, toegang tot de gegevens heeft.
Ik kan hem alleen maar aanraden om eens meer buiten te komen.
http://tools.ietf.org/html/rfc4217
En deze wordt echt wel toegepast =)
Net als pop3 al lang naar pop3s had gemoeten, en imap naar imaps...
Ach, het gaat nog op zoveel punten mis op het internet.... er zijn zelfs nog mensen die telnet gebruiken ;)
Niet dat je niet beter iets met een laag versleuteling moet gebruiken. Had graag meer webhosters die rsync-over-ssh ondersteunden, of ftps of sftp, noem er eens drie. Maar de redenering, daar mag de beste man een teiltje bij aanleveren.
FTP blijft nog altijd de makkelijkste manier om je bestanden te uploaden, vind ik zelf. Webbased oplossingen zijn vaak veel langzamer dan nodig is omdat HTTP gewoon slecht is met uploaden vanwege multipart messages.
Ik geef wel toe, dat er op z'n minst SFTP of iets dergelijks gebruikt mag worden.
Weet die vent eigenlijk waar FTP voor bedoeld is en waar FTP het meest voor wordt gebruikt? WTF!
Sophos kan desnoods ook gewoon een RFC'tje proberen te pushen zonder al die tam-tam...
roei Email ook uit, want ook daar kan je bestanden mee versturen.
Na 40 jaar trouwe dienst is het dus inderdaad meer dan tijd om FTP op te ruimen.
En net zoals die mailprotocollen via bijvoorbeeld TLS beveiligd kunnen worden, kan dat bij FTP ook.
Verder slaat de connectie tussen de aanleiding voor deze uitspraak en de uitspraak zelf ook nergens op. Omdat een trojan toevallig via FTP naar huis belt, moet iedereen FTP maar uitzetten.
Als die trojan via HTTP(S) naar huis had gebeld, hadden we dan allemaal poort 80 en 443 maar dicht moeten mikken?
Maar goed, het is dan ook vooral de toonzetting van het artikel hier op security.nl dat er die draai aan geeft. Het originele artikel noemt het dichtzetten van FTP gewoon als oplossing voor de gevolgen van deze specifieke trojan en merkt en passant op dat FTP sowieso niet meer gebruikt zou moeten worden omdat het een onveilig protocol is. En daarmee heeft Chester Wisniewski natuurlijk best wel een punt.
Kan hij dan niet beter de oorlog verklaren aan het virus?
Maw, ik maak mij geen zorgen.
Ze kunnen data uploaden en/of downloaden. Data die hier overheen gaat is opzich al versleuteld of incompleet, want er zit bv aan de serverkant een softwarepakket die het decodeerd of het pas completer op zich maakt... DUsss. Maar het feit dat de account gegevens als platte tekst over het internet gaat, ben ik het mee eens om daar iets mee te doen. bv gebruik te maken van Sftp of ftpS.
Ik zou van een expert als 'Wistniksnie' toch iets meer intelligentie verwachten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.