2009 este anul atacurilor malware care folosesc date de logare FTP furate, pentru a infecta websiteuri legitime. Mii de websiteuri au fost compromise in acest fel si au suferit atacuri cu injectii cu iframeuri ascunse, Gumblar, redirectari catre siteuri antivirus false, etc.
Succesul imens al acestor atacuri are la baza faptul ca un procent mare din utilizatorii de internet sunt in acelasi timp si proprietari ai siteului lor si webmasterii acestui site. In momentul in care computerul unui proprietar de website este infectat, programele malware pot fura parolele de acces FTP si le pot folosi pentru distributia de malware catre vizitatorii siteului respectiv. Rezultatul: o crestere rapida a numarului de websiteuri compromise.
Exista mai multe ipoteze despre cum infractorii cibernetici fura detele FTP: traffic sniffing, folosirea de keyloggere, etc. Dar cea mai viabila ipoteza este ca programele de tip Trojan extrag tot ce le trebuie infractorilor din fisierele de configurare ale clientilor FTP prezente pe computerul webmasterului.
Iar acest lucru poate fi facut extrem de usor.
Luam ca exemplu un program FTP foarte popular, numit FileZilla. Pentru acest experiment am descarcat si instalat versiunea 3.2.8.1
Adaugam un site fictiv “example.com” cu usernameul “unmask” si parola “password“. Logontype este setat pe “Normal” (acest tip de logare este probabil cel mai popular si cel mai comod deoarece permite logarea cu un singur click si nu solicita combinatia username/parola ori de cate ori va conectati FTP.)
Apoi facem click pe OK pentru a salva setarile.
FileZilla este o aplicatie cross-platform. Acesta este motivul pentru care salveaza setarile in fisiere XML care sunt platform-neutral.(pot fi citite de orice sistem de operare)
Fisierele de tip XML sunt human readable, nu este nevoie de interpretoare speciale pentru vizualizarea si intelegerea codului sursa. Acest lucru il puteti testa in fisierul sitemanager.xml imediat dupa ce adaugam un site nou in FileZilla:
Dupa cum puteti vedea, totul este salvat in plain text, inclusiv parola.
Cand incerc sa ma conectez la nshost.ro, FileZilla a adaugat sectiunea "LastServer" in fisierul filezilla.xml. Din nou, totul in plain text:
FileZilla are optiunea de Quick Connect care va permite sa va conectati la servere fara sa le adaugati in Site Manager. Cand folositi aceasta optiune, informatii sensibile precum parola, au fost adaugate in fisierul recentservers.xml (din nou necriptat - in plain text).
Dupa cum vedeti, orice program din computerul dvs, legitim sau malware, poate sa va citeasca parola. Mai mult, orice persoana care are acces la acel computer (chiar si acces temporar de cateva minute), poate sa fure cu usurinta parola FTP. Si din pacate exista destule programe Trojan care fura informatii personale din fisierele de configurare ale unor programe populare.
Nu stiati aceste lucruri? Aveti incredere in orice program instalat pe computer? Ati avut recent probleme cu malware? Stiati faptul ca programele de tip spy-ware nu sunt detectate de cele mai multe programe anti-virus?
FileZilla este un client FTP foarte bun, si noi il folosim. Dar din moment ce nu protejeaza parolele, ar trebui sa le protejati dvs in locul acestui program. Iata ce puteti face:
1. Nu folositi tipul de logare “Normal”. Exista posibilitatea sa folositi modul “Ask for password” si modul “Interactive” care nu vor salva parolele. Astfel, programele malware nu au cum sa fure parola FTP pentru ca aceasta nu exista stocata la dvs in computer in fisierele de configurare FileZilla
Aspecte Pozitive
Aspecte Negative
In acest articol este comentat FileZilla doar pentru ca este unul dintre cei mai populari clienti FTP si pentru ca este foarte usor de demonstrat ca nu protejeaza deloc datele de login FTP. Oricum acelasi lucru se aplica la majoritatea clientilor FTP sau programelor cu abilitati FTP: clienti FTP clasici, editoare web FTP, managere de fisiere, etc. Aplicatii populare cum ar fi DreamWeaver, CuteFTP, Total Commander, etc. nu va protejeaza parolele FTP impotriva unui virus/trojan sau malware/spyware.
Acum puneti-va urmatoarele intrebari:
- stiti unde si cum sunt stocate datele de logare la FTP in computerul dvs?
- sunt aceste date protejate/criptate in eventualitatea in care un program malitios va infecteaza computerul?
- stiti cum sa va protejati datele sensibile existente pe computerul dvs?
Daca ati avut recent probleme cu programe de tip malware pe computerul dvs sau daca doar suspectati ca sistemul este infectat sau contine programe din surse ce nu sunt de incredere, atunci este timpul sa va schimbati toate parolele.
De asemenea este timpul sa va scanati computerul si websiteul pentru detectarea programelor de tip malware.
Articol preluat de pe unmaskparasites.com
