image

"Sla FTP wachtwoorden niet op"

donderdag 24 september 2009, 10:20 door Redactie, 9 reacties

Veel websites worden gehackt omdat aanvallers FTP inloggegevens via besmette computers weten te stelen, met name gebruikers van bepaalde programma's lopen risico. Zoals bijvoorbeeld in het geval van FileZilla, dat FTP wachtwoorden als platte tekst opslaat. FileZilla is echter niet het enige FTP programma waar de Daurso Trojan het op voorzien heeft. Ook wordt er standaard gezocht naar de inloggegevens van CoffeeCup Direct FTP, TransSoft FTP Control 4, Core FTP, GlobalScape CuteFTP, Far Manager (met FTP plugin), FlashFXP, SmartFTP, FTP Navigator en Total Commander. "Ik adviseer dat je wachtwoorden niet je in FTP programma opslaat", aldus beveiligingsonderzoeker Denis Sinegubko.

Toch is het verstandiger om naar een veiliger protocol over te stappen. Zo werd er laatst een Trojaans paard ontdekt dat FTP-verkeer snift, om zo inloggegevens te bemachtigen. "Als je FTP gebruikt, kun je je wachtwoorden hier niet tegen beschermen, aangezien het FTP protocol geen encryptie ondersteunt." De oplossing is dan ook het gebruik van veiligere protocollen zoals SFTP of FTPS. "De meeste FTP clients ondersteunen deze protocollen, dus je hoeft geen nieuw programma te gebruiken. Zit je op een shared server, zorg er dan voor dat je hostingplan één van deze veilige protocollen bevat."

Reacties (9)
24-09-2009, 11:23 door Michel1973
De nieuwe Total Commander versie heeft in ieder geval een optie om de ftp wachtwoorden met een hoofd wachtwoord te beveiligen, ik weet niet of dit de oplossing is maar houd ongeoorloofd gebruik in ieder geval een beetje tegen.
24-09-2009, 11:38 door Anoniem
FTP is een verouderd protocol en door het extra control channel lastig voor firewalls.
"scp" is wat dat betreft veiliger en handiger. Je kunt dan ook key's gebruiken i.p.v. wachtwoorden.
Die zijn dan niet meer te raden en apart te beveiligen. Even een ssh-daemon op de server en het werkt.
"Winscp" is een uitstekende client hiervoor.
24-09-2009, 13:16 door [Account Verwijderd]
[Verwijderd]
24-09-2009, 16:12 door Anoniem
FTP passwords niet opslaan zal weinig effect hebben, het wachtwoord gaat bij FTP gewoon "plat" over de lijn, dus wanneer een stukje malware op je pc terecht komt en geen opgeslagen wachtwoorden aantreft, hoeft het alleen te wachten tot je zelf handmatig verbinding gaat maken. Vervolgens kan dan het FTP password (door te sniffen) uit het netwerkverkeer gehaald worden.
25-09-2009, 09:29 door Anoniem
Maakte kort geleden mee dat de volledige shared hosting server was gehackt en dat alle websites die er stonden met waren aangepast door de hackers. Het hoeft dus niet per se via jouw FTP tool / gegevens te zijn gebeurd. Naast veilig ftp-en is het dus ook hier kwestie van een backup hebben en snel kunnen herstellen: http://www.vergelijkbackuponline.nl/Site-Vault-website-backup.html.
25-09-2009, 17:00 door Preddie
een encrypted container aanmaken en vandaar uit de appz draaien lijkt me veiliger. Zolang de container unmounted is ben je veilig ... daarom is het verstandig een timeout aan te geven zodat de container bij idle na een bepaalde tijd wordt geunmount
26-09-2009, 11:32 door Anoniem
Ik maak me persoonlijk hier niet zo druk over. Een van de criteria die ik voor FTP gebruik is dat er encryptie moet zijn. Ligt eigenlijk puur aan de gegevens die je via FTP wil overbrengen. Een ftp server voor publieke documenten heeft geen encryptie nodig.

Als je pc daarnaast gehackt is kun je encryptie gebruiken wat je wil. Indien er volledige toegang is kan een keylogger ook dit wachtwoord uit de data filteren. Het is dan juist onveiliger om een wachtwoord niet op te slaan. Als je het immers elke keer moet intypen bij bezoek van de FTP-server maak je het de hacker alleen maar makkelijker.

Het is onzin om dit advies over te nemen als het niet deel uitmaakt van een volledig veiligheidsplan. Het beste is nog altijd je logbestanden bekijken om te kijken waar je verkeer naar toe gaat. Ook een live-scanner regelmatig bekijken is beter.

Het is net als inbreken in een huis. Als je de beste sloten gebruikt maar de achterdeur open laat staan helpt er niks. Je moet zorgen dat de inbrekers makkelijkere prooien heeft.

Het online backup maken is ook grote onzin. De hacker met keylogger heeft dan ook hiervan het wachtwoord......Daarnaast moet je de partij vertrouwen waar je de backup neerzet en ook de makers van het FTP programma...... Daarom is opensource de beste keuze. Dit soort software wordt gecontroleerd op achterdeuren.
26-09-2009, 11:33 door Anoniem
Door Predjuh: een encrypted container aanmaken en vandaar uit de appz draaien lijkt me veiliger. Zolang de container unmounted is ben je veilig ... daarom is het verstandig een timeout aan te geven zodat de container bij idle na een bepaalde tijd wordt geunmount

Wanneer een keylogger het wachtwoord van je container opslaat wens ik je veel succes.......
26-09-2009, 18:12 door spatieman
oja, ik ga DF5y34G3376GTRR346ggh effe uit mijn hoofd leren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.