FFFTPが危ないという話(暫定対策バイナリ有)
2010.01.30 Saturday 15:09
FFFTPが危ないという話がネットで広まっている.Gumblar
元ネタ?
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです
まず,
「マルウェア感染」and「パスワードを取得される」危険性
と読んでしまう人がいるかもしれないが,正しくは
if「マルウェア感染」then「パスワードを取得される」危険性
である.
レジストリからデータを読み出されるので,FFFTPを過去に使ったことがある人はデータが残っている可能性があるので念のためチェックした方が良い.
消すべきレジストリはこちら
Thanks and Farewell FFFTP
検索してみるとFFFTPに脆弱性があるとか書いてる人がいるが,パスワードをPC上に保存していて,かつソースが公開されていれば,原理的にはパスワードを取得することは可能であるので,それをもって脆弱性というのはいかがなものかと思う.
マルウェアの動きについて
8080系(Gumblar)ウィルス(2)
元ネタ?
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです
まず,
「マルウェア感染」and「パスワードを取得される」危険性
と読んでしまう人がいるかもしれないが,正しくは
if「マルウェア感染」then「パスワードを取得される」危険性
である.
レジストリからデータを読み出されるので,FFFTPを過去に使ったことがある人はデータが残っている可能性があるので念のためチェックした方が良い.
消すべきレジストリはこちら
Thanks and Farewell FFFTP
検索してみるとFFFTPに脆弱性があるとか書いてる人がいるが,パスワードをPC上に保存していて,かつソースが公開されていれば,原理的にはパスワードを取得することは可能であるので,それをもって脆弱性というのはいかがなものかと思う.
マルウェアの動きについて
8080系(Gumblar)ウィルス(2)
twitterで見ているとFFFTPが「危ない危ない」「すぐ消そう」「使ってなくてよかった」といった意見が大半.時々「本質的にFTPは危険」という比較的まともな発言も見られる.
しかし,ソースが公開されているのだから,パスワード保存部分だけ直せばいいんでしょ?「自分が今すぐ直すからみんな安心しろ!」という発言は今のところ見受けられない.
ちなみに,問題のソースは次の部分通り.(1.96dより抜き出し)
ファイルで言うと registory.c の 1070行目くらい.
FFFTPのパスワード保存・読み出し処理 ver.1.96dより
(↑直接貼ると見にくいのでcodepadに貼りました)
元のデータを1バイトずつ0から2bit回転させて2つに割り,条件によって時々ランダムなデータを混ぜ込んでいるだけだ.でも,こんなものでも今まで誰も文句を言う人はいなかったのだからまあ良かったのだろう.
WindowsのCrypt APIを使えば自分で複雑な実装をしなくても標準的な暗号化機能が使えることがわかった.
CryptoAPI 解説 総合目次
Windows APIを見るとAESはWindows NT/2000で使用できないとあるので,強度は劣るけど3DESでいいかな... 鍵長:168bit
Twitterに今流れている速度なら,修正版作った人がいればそれも同じくらいの速度で広まるんじゃないかと思う.ということでご飯食べてからゆっくりやろう.
20:06 追記
超(x100)暫定対処
パスワード保存文字列の先頭に識別子を加えた.アルゴリズムは元のまま.
ffftp-1.96d+001.zip
FFFTP.exeをこのファイルと差し替えて起動・終了を一旦行えば,既存のパスワードはすべて新しい形式に入れ替わります.
20:34 追記
気になってFileZillaのデータを見てみた.保管場所は
C:\Documents and Settings\[ユーザ名]\
Application Data\FileZilla\sitemanager.xml
(%APPDATA%\FileZilla\sitemanager.xmlと入力してもOK)
なんと,パスワードは全くの平文で保存されていた orz.
暗号化パスワード指定ができる版を作成しました →次の記事
しかし,ソースが公開されているのだから,パスワード保存部分だけ直せばいいんでしょ?「自分が今すぐ直すからみんな安心しろ!」という発言は今のところ見受けられない.
ちなみに,問題のソースは次の部分通り.(1.96dより抜き出し)
ファイルで言うと registory.c の 1070行目くらい.
FFFTPのパスワード保存・読み出し処理 ver.1.96dより
(↑直接貼ると見にくいのでcodepadに貼りました)
元のデータを1バイトずつ0から2bit回転させて2つに割り,条件によって時々ランダムなデータを混ぜ込んでいるだけだ.でも,こんなものでも今まで誰も文句を言う人はいなかったのだからまあ良かったのだろう.
WindowsのCrypt APIを使えば自分で複雑な実装をしなくても標準的な暗号化機能が使えることがわかった.
CryptoAPI 解説 総合目次
Windows APIを見るとAESはWindows NT/2000で使用できないとあるので,強度は劣るけど3DESでいいかな... 鍵長:168bit
Twitterに今流れている速度なら,修正版作った人がいればそれも同じくらいの速度で広まるんじゃないかと思う.ということでご飯食べてからゆっくりやろう.
20:06 追記
超(x100)暫定対処
パスワード保存文字列の先頭に識別子を加えた.アルゴリズムは元のまま.
ffftp-1.96d+001.zip
FFFTP.exeをこのファイルと差し替えて起動・終了を一旦行えば,既存のパスワードはすべて新しい形式に入れ替わります.
20:34 追記
気になってFileZillaのデータを見てみた.保管場所は
C:\Documents and Settings\[ユーザ名]\
Application Data\FileZilla\sitemanager.xml
(%APPDATA%\FileZilla\sitemanager.xmlと入力してもOK)
なんと,パスワードは全くの平文で保存されていた orz.
暗号化パスワード指定ができる版を作成しました →次の記事
Comments