FileZilla Secure slaat ftp-wachtwoorden versleuteld op
Een gebruiker van het populaire ftp-programma FileZilla van wie allerlei websites werden gehackt heeft een eigen versie ontwikkeld die wachtwoorden wel versleuteld opslaat. FileZilla laat gebruikers op ftp-servers inloggen en wordt vaak voor het beheren van websites gebruikt.
De opensourcesoftware biedt gebruikers ook de mogelijkheid om wachtwoorden op te slaan. Dit gebeurt echter onbeveiligd, zo ontdekte een gebruiker die zichzelf "tzss" noemt. Zijn computer raakte via een browser-exploit besmet met malware. Deze malware wist de door FileZilla opgeslagen wachtwoorden te stelen en plaatste zichzelf vervolgens op alle websites van de gebruiker, zodat ook bezoekers van zijn websites door de malware werden aangevallen.
Daarop besloot deze gebruiker een aangepaste versie van FileZilla te ontwikkelen die wachtwoorden versleuteld opslaat en vervolgens via een hoofdwachtwoord laat benaderen. De ontwikkelaar van FileZilla Secure, zoals de aangepaste versie wordt genoemd, erkent dat ook zijn versie kwetsbaar is voor malware, zoals een keylogger. De keylogger kan namelijk het hoofdwachtwoord opslaan en de aanvaller kan hiermee de versleutelde wachtwoorden ontsleutelen.
Volgens de ontwikkelaar vereist een keylogger veel handwerk van een aanvaller die handmatig door alle opgeslagen toetsaanslagen zou moeten gaan. Dat klopt niet helemaal, aangezien er ook keyloggers zijn die bij bepaalde processen actief worden. Verder zou een aanvaller ook op andere manieren de aangepaste versie kunnen aanvallen, zo laat één van de FileZilla-beheerders op het officiële forum van FileZilla weten.
Daarnaast is FileZilla Secure op een verouderde versie van FileZilla gebaseerd, wat ook allerlei risico's met zich meebrengt. "We gebruiken een versie die een paar maanden oud is. Het was de nieuwste versie toen we dit project begonnen. We zullen de komende tijd naar nieuwere versies updaten. Maar je hebt gelijkt, het gebruik van onveilige software is niet verstandig. Een hacker zou je wachtwoorden kunnen krijgen! :p", zo laat gebruiker tzss op het forum weten.
Dit gebeurt echter onbeveiligd, zo ontdekte een gebruiker die zichzelf "tzss" noemt.
[/]
Dit is helemaal geen geheim ofzo, Standaard kunnen wachtwoorden niet worden opgeslagen in FZ en dit moet je expliciet inschakelen in de settings.
Je kunt nog wel keyloggen, maar wachtwoorden zomaar stelen uit de client is er niet meer bij.
Dit gebeurt echter onbeveiligd, zo ontdekte een gebruiker die zichzelf "tzss" noemt.
[/]
Dit is helemaal geen geheim ofzo, Standaard kunnen wachtwoorden niet worden opgeslagen in FZ en dit moet je expliciet inschakelen in de settings.
Maar dat is dus al lang niet meer van "deze" tijd. Wachtwoorden zouden altijd versleuteld opgeslagen moeten worden. En anders moet je de optie niet aanbieden in je programma. Maar dat is maar mijn gedachte :-)
<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Encoding is wat anders dan encrypting. Haal jouw pass string maar eens door een 64 decoder
<Host>ftp.xxxxx.nl</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>Briolet</User>
<Pass encoding="base64">xwZW52bH3dWVjaHQcmVnZW5=</Pass>
</LastServer>
Er is een verschil tussen "encoding" en "encryptie". Encoding verandert alleen de "taal" waarin het geschreven is. Het verbergt niets. Dat base64 is geen hash, maar je plaintekst wachtwoord. Het kan makkelijk weer omgezet worden naar voor jou leesbare tekst (zoek maar base64 decode op google).
Hopelijk gebruik je hier een ander wachtwoord.... base64 encoding is niet gelijk aan versleuteling...
FileZilla nu, een cryptolocker of erger de volgende keer op de PC. En dan? Gaat hij dan een compleet besturingssysteem bouwen waarbij hij er dan geen last meer van heeft?
Vf?regen? Niet echt een veilig wachtwoord voor een FTP server als je het mij vraagt..
Dit is te moeilijk voor de meeste gebruikers, wat betekent dat je dan niet in de meest kwetsbare groep zit. En dat is al weer een beveiliging op zich zelf, want massa = kassa = beloning voor werk = aantrekkelijk voor aanvallers. Zorg dat je beter beveiligd bent dan de buren, dan zit je redelijk goed. Een aanval specifiek op jou ga je hiermee niet volledig tegen houden, maar dat is voor de meeste mensen toch al niet het grootste risico.
Bonus van deze aanpak: je blijft weg bij de goedkope, crappy beveiligde hosting boeren want die ondersteunen toch alleen maar ftp.
Dat is de FTP server op mijn digitale video recorder, met zijn default wachtwoord. Het enige apparaat waar ik Filezilla voor gebruik, omdat Cyberduck altijd inlogproblemen geeft met dat apparaat.
Ik had niet in de gaten dat Filezilla überhaupt iets opsloeg. Daarvoor gebruik ik het te zelden. Een instelling om het opslaan van dit wachtwoord uit te zetten vind ik zo snel niet op de mac versie.
Dit is te moeilijk voor de meeste gebruikers, wat betekent dat je dan niet in de meest kwetsbare groep zit. En dat is al weer een beveiliging op zich zelf, want massa = kassa = beloning voor werk = aantrekkelijk voor aanvallers. Zorg dat je beter beveiligd bent dan de buren, dan zit je redelijk goed. Een aanval specifiek op jou ga je hiermee niet volledig tegen houden, maar dat is voor de meeste mensen toch al niet het grootste risico.
Bonus van deze aanpak: je blijft weg bij de goedkope, crappy beveiligde hosting boeren want die ondersteunen toch alleen maar ftp.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Encoding ik zie het ook in de professionele wereld toegepast worden als wachtwoord niet leesbaar zelfs met base64. Wat niet weet wat niet deert totdat ...
sftp is niet veel anders dan ftp op de dataencryptie over de lijn na. Hoe je met je keys omgaat blijft de zelfde uitdaging.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Wat ik aangaf ik zeer zeker geen security by obscurity. Als jij vindt van wel, dan moet je dat eerst maar eens hard gaan maken. Want:
- Géén wachtwoorden (onversleuteld) opgeslagen in tegenstelling tot onderwerp artikel
- SFTP in plaats van FTP: voorkomt meelezen op de lijn om onversleutelde credentials te verkrijgen
- SFTP is proven technology
- SFTP met sleutelpaar is een best practice en geadviseerd boven het gebruik van een wachtwoord (onmogelijk te bruteforcen)
- Privésleutel beschermen met een wachtwoord is best practice om te voorkomen dat een gestolen privésleutel toegang geeft tot het account
- Dingen anders doen dan anderen komt mogelijk in de buurt van wat jij obscurity vindt, maar is in dit geval slechts één beveiligingslaag in een gelaagde beveiliging omdat automatische tooltjes niet meer werken
- Voor 99,9% van de mensheid (natte vingerwerk, maar you get the point) zou dit voldoende zijn om zich tegen de gelegenheidscrimineel te beschermen, zoals ik ook aangeef ("Een aanval specifiek op jou ga je hiermee niet volledig tegenhouden")
Graag hoor ik van jou waarom het tóch security by obscurity is.
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Ach, tenminste bewijs dat hij geen hol van het onderwerp begrijpt... iets wat ik al vaker heb geprobeerd uit te wijzen. Als-ie d'r nou eens wat mee deed, echter.
sftp is niet veel anders dan ftp op de dataencryptie over de lijn na. Hoe je met je keys omgaat blijft de zelfde uitdaging.
Passwordless ssh leuk en dan de private key met jan en alleman delen? Argumentatie security by obscurity en dan noem jij een serieuze aanpak? Voor thuisgebruik nog te billijken al geef je een hacker daar wil een entree.
Door het gebruik van een sleutelpaar los je dat probleem wel degelijk op, omdat je geen wachtwoord op hoeft te slaan. Het wachtwoord op de private sleutel zorgt er voor dat er geen misbruik gemaakt wordt van je private sleutel. Waarom begin jij dan over het delen van je private key met jan en alleman? Dat is toch complete waanzin om dat te doen? Waarom dat erbij halen om dit te ridiculiseren?
Wat ik aangaf ik zeer zeker geen security by obscurity. Als jij vindt van wel, dan moet je dat eerst maar eens hard gaan maken. Want:
- Géén wachtwoorden (onversleuteld) opgeslagen in tegenstelling tot onderwerp artikel
- SFTP in plaats van FTP: voorkomt meelezen op de lijn om onversleutelde credentials te verkrijgen
- SFTP is proven technology
- SFTP met sleutelpaar is een best practice en geadviseerd boven het gebruik van een wachtwoord (onmogelijk te bruteforcen)
- Privésleutel beschermen met een wachtwoord is best practice om te voorkomen dat een gestolen privésleutel toegang geeft tot het account
- Dingen anders doen dan anderen komt mogelijk in de buurt van wat jij obscurity vindt, maar is in dit geval slechts één beveiligingslaag in een gelaagde beveiliging omdat automatische tooltjes niet meer werken
- Voor 99,9% van de mensheid (natte vingerwerk, maar you get the point) zou dit voldoende zijn om zich tegen de gelegenheidscrimineel te beschermen, zoals ik ook aangeef ("Een aanval specifiek op jou ga je hiermee niet volledig tegenhouden")
Graag hoor ik van jou waarom het tóch security by obscurity is.
Als je toch je eigen linux bak host, kun je het beste hiervoor nog een extra beveiligingslaag toevoegen voordat men uberhaupt een hallo van de sftp service krijgt; firewall?
O ja omdat het zo handig is de data uitwisselen via Dropbox of andere cloud dienst. De ict richtlijnen zijn me toch vervelend het kan allemaal veel makkelijker .... (ehhhh).
Mijn criterium is of de toegang tot een andere machine makkelijk door anderen cut/paste te misbruiken is. Weet jij zeker of dat niet iemand gedaan heeft? Die sleutel bij jou is makkelijk kopieerbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.