<< FFFTPが危ないという話(暫定対策バイナリ有) : main : 他のFTPクライアントは安全なのか >>

FFFTPパスワード漏れ対処版作ってみた

えーっと,すいません.さくらのレンタルサーバでアクセスログONにしていたことを忘れてディスクが容量不足になって肝心の記事が消えました.(最後にコメント入れてくれた人,消えちゃいました.ごめんなさい)



FFFTPの対策パッチです.
その前に,FFFTPを入れているだけで危ないと誤解している人がいるようなので
ライフハッカーのFFFTPに関する誤報
この文章を普通に読めば、ffftpには「マルウェア感染する」と「ID・パスワード・ホスト先の情報を抜かれる」の2つの危険性がある多くの人が思うことだろう。「および」でつながっているのだから当然だ。つまりffftpを使っているとマルウェアに感染するのだ、と。

しかしこれは間違いであり、それもかなり初歩的な間違い、日本語の言い回しの解釈の間違いなのだ。

あと,何となく怖いからやっぱり乗り換えようと思っている人は,こちらも
10 FTP Clients Malware Steals Credentials From
調べた限りではWinSCPがマスターパスワード+AES暗号化を採用していて,安全性が高そうです.

ダウンロードSota さんの FFFTPのページへ

ここで公開していた最終版 (+009)の使い勝手はそのままに,暗号化アルゴリズムにAESを使用したMocaさん作のバージョンをベースにした Version 1.97が公開されています.

本ページで公開していた +001から+009のいずれのバージョンからもver 1.97へ設定を保持したまま移行することができます.Ver 1.97よりこのページのバージョンに戻した場合には保存されているFTPパスワードを読み出すことができず,FTPパスワードがクリアされますので,1.97のインストール後は本ページのバイナリは起動しないようにしてください

** お願い: コメントで困っている人がいたら他の方でも結構ですので助けて上げてください.結構Windowsの操作が分からなくて困っている人もいるようですので.特に,Vista/Windows 7の環境がありませんので,VistaのVirtualStoreではまっている人がいても詳しい手順を私の方では教えてあげられません.

[入れ替えの前に]
下の手順でファイルを入れ替える前に,設定データのバックアップをおすすめします.手順は,メニューの接続(F)→設定(S)...→設定をファイルに保存(S)... です.

[使い方]
1. 上のバイナリと書かれたリンクからzipファイルをダウンロードして適当な場所に展開する.

2. FFFTPのインストールされているディレクトリ(C:\Program Files\ffftp かな?) をエクスプローラで開く.

3. 1.で展開して出てきたFFFTP.exeを2.のFFFTP.exeに上書きする.この際,Vista/Windows 7を使っている場合はUACの警告が出るハズ.

Note: FFFTP.exe をコピー先の FFFTP.exe の上に置いたら,FFFTPが起動してしまいます.コピーはFFFTP.exeをめがけるのでなく,コピー先フォルダの空いているスペースへDropしましょう.

4. 上書きしたら,FFFTP を起動して,接続(F)→設定(S)...→マスターパスワードの変更(M)... を選び,マスターパスワードを設定する.

入力したパスワードの前後にスペースが入っている場合はそれらは取り除かれます.(無いものとして扱う)


5. FFFTPの次回起動時以降はマスターパスワードの入力を促されるので,上で入れたパスワードをその都度入力してから使う.

もし,毎回パスワードを入力するのが面倒くさいと思う人は,コマンドラインのパラメータでパスワードを設定できます.(後述)
[コマンドラインでの設定方法]
1. FFFTPを起動するショートカットで右クリックしてプロパティを開く.
2. 『リンク先』の ... FFFTP.exe" と鳴っている場所の後ろに -z マスターパスワード と入れる.-zの前後には半角スペースを入れてください.マスターパスワードが mymasterpassword ならば,全体は
...\FFFTP.exe" -z mymasterpassword

そのショートカットを使って起動するとパスワードを聞かれなくなります.(指定したパスワードが過っていたら,通常通りその旨を伝える警告ボックスが出ます.)

Note: マスターパスワードがスペースを含む場合はパスワード全体をダブルクォーテーションで囲んでください.



[更新履歴]
(+009)
-sオプションによる自動ログインが動作しなくなっていた問題を修正.(オプション判定条件が誤っていました)
そして,もはやお役ご免となった -zz オプションを削除しました.
ソース: ffftp-1.96d+009-src.zip

(+008)
起動時のマスターパスワード入力の都度ホスト設定がコピーされてしまう問題を修正.
ソース: ffftp-1.96d+008-src.zip

(+007)
コマンドラインオプションを使わなくて良くしました.マスターパスワード設定後は起動時にマスターパスワードの入力を促すダイアログボックスが表示されます.
-z, -zzオプションも引き続き使えます.
ソース: ffftp-1.96d+007-src.zip

(+006)
マスターパスワード変更画面で,入力中の文字が見えるようにした.
ソース: ffftp-1.96d+006-src.zip

(+005)
マスターパスワード変更GUIを追加
ソース: ffftp-1.96d+005-src.zip

(+004)
マスターパスワード照合用データがいつも同じだとセキュリティ上よろしくないので,時刻を元にしたsaltを付けて毎回値が変わるようにした.
ソース: ffftp-1.96d+004-src.zip

(+003)
マスターパスワード変更機能追加.コマンドラインの-zzオプションで変更後のパスワードを設定できます.
ソース: ffftp-1.96d+003-src.zip

(+002)
マスターパスワード設定機能.-z オプションでパスワードを指定可能に.一旦設定すると変更はできない.
ソース: ffftp-1.96d+002-src.zip

(+001) 前の記事
パスワード保存データにPrefixを付けた.とりあえず既存のマルウェアからは守られることを期待.

[暗号化アルゴリズム]
元々のアルゴリズムについては,1つ前の記事で触れています.
FFFTPが危ないという話
で,新アルゴリズムはと言いますと,単にマスターパスワードとXOR取ってるだけです.マスターパスワードが短い場合は繰り返し使います.ですので,マスターパスワード0と00と000は同じコードが生成されます.

ただし,マスタパスワードの正当性を確認するためのコード(SHA-1ハッシュ)を持っており,それが破られるとFTPにアクセスしてみなくてもパスワードが正解かどうか分かってしまいますので,長いパスワードを設定するのはそれなりの意味があります.

もうしばらく待つとこんなインチキアルゴリズムじゃなくてAESで暗号化するバージョンがどこかから現れる....かもしれない.
コンピュータ > ソフトウェア : comments (496) : trackbacks (14)

Comments

そのコベントリー庭で 39 の長いエーカーで。それは、一般的なへのアプローチスポット偽コーチバッグ。安価な模造品を活用貧しい品質を縫い合わせでステッチを異なるサイズの一緒に素材。
クロエ 財布 蛇...2013/12/02 12:16 PM
パターンが揃えられる、開始中中間の間で、、袋の前面パネル。耐久性することができます、指定いずれかグッチデザイナー ハンドバッグ。何人かの人々 したいconisder をどのようなハンドバッグをロックすることができますよう。
gucci 財布 イタリア...2013/12/02 12:16 PM
の世界ファッション性の高い格安の何も表示されません。あなた可能性があります強盗のお金も、ハンドバッグを注文された決してあなたの玄関口に達する。彼らはコスト詳細ので彼らはより複雑に組み込まれて。
バーバリー ブラックレーベル 財布 価格...2013/12/02 12:16 PM
ブランドの名前が場合のコーチ、しどれだけにすることができます袋がある、"GG"や「オブジェクト指向」のプリントを人のですか?価格に聞こえるかもしれないがいくつかの時間の高価な払って財布。あなたを維持する必要があります心の場所ベンダー。
プラダ 財布 チェック...2013/12/02 12:16 PM

Comment Form

  

Trackbacks

Trackback url
FFFTPにおけるGumblarウイルス対策方法
FFFTPからパスワードを盗み出されサイトを改竄されないようにする為に、FFFTPにマスターパスワードを導入しGumblar(ガンブラー)ウイルス対策をする方法
きろぐBeta...2010/02/19 02:28 PM
図解[FFFTP対策]&恐怖の体験記レポートを作りました!
おはようございます、さとちです。最近猛威を振るっているガンブラー攻撃。みなさんはもうウィルス対策はお済ですか?実は大変恥ずか�...
携帯アフィリエイト さとちのこびっと実践記...2010/02/09 03:10 PM
2月7日 これは他人事ではありません!
ちょっとびっくりさせるタイトルになりましたが、これは他人事ではありません!
アフィリエイト 稼ぐ極秘情報...2010/02/07 12:45 PM
FFFTPなどが危険な状態に
最近、Gumblar(ガンブラー)というコンピューター ウイルスが流行っていますが、それによりFTPソ フトの定番であるFFFTPを使うと、パスワードが抜 き取られ、サイトを改竄される恐れがあるそうです。 ⇒Sota's Web Page (FFFTP...
百味とうがらし...2010/02/03 09:47 PM
FFFTPのアップデート 方法
去年から、ガンブラーというウィルスのおかげで、大手の企業のサイトも改竄される事件が多いですね・・・このガンブラーに感染するとFFF...
インターネット 活用日記...2010/02/02 09:19 PM
Gumblar.xウィルス対策、FFFTPからIDやパスを守る方法
Gumblar.x、JSRedir-R、GENOウイルスなどウィルスがFFFTPのIDやパスを抜き取る悪さを防ぐ方法や対策、画像付きで説明してくれている無料レポート。【警告】FFFTP をお使いの方へ、今すぐに対策しないと危険です!!スパイウェ...
小雪の情報商材アフィリエイトノウハウ大放出ブログ...2010/02/02 05:47 PM
ブログ「にょろぷにらん」でFFFTP対策パッチが公開
FTPクライアントソフト「FFFTP」の作者Sota氏が2010年1月30日付けの公式サイトで昨年来流行中のウイルス(一般的に『Gumblar,ガンブラー』と呼ばれているもの)の影響でWEBサイトの更新の際に使用されるFTP接続用のパスワード...
NewsWatch...2010/02/02 05:21 PM
ガンブラーを広めたのはFFFTPなのか?
僕も使わせていただいているFTPクライアントソフトのFFFTPに脆弱性があったという。これがネットで様々な憶測を呼び、ガンブラーの原因はFFFTPじゃないのか? なんて話にもなりかねない始末だ。そこで、一度ネタにし...
地方の中規模印刷会社で苦悩するWebデザイナー改めWebディレクターの日記...2010/02/02 12:06 PM
FFFTPって
ガンブラーのターゲットになってたんだ。 ふーん。 FFFTP公式って事で、有志の方がどうやら改造版を作ったらしいで、見てみたところコマンドラインで平文マスターパスワードを渡してるらしい 知ってる人が見たらそれ...
び~ぼちゃんのメモ。...2010/02/01 09:18 PM
一応対策とりました。 FTPクライアントソフトについて
1月30日から「TweetBuzz」や「はてなブックマーク」等で大騒ぎになった「FFFTP」の問題 定番FTPクライアントソフト「FFFTP」の作者であるSota氏は30...
びるのブログ...2010/02/01 12:30 PM
FFFTPのパスワードが抜き取られる?
これはホームページ運営している側からすると大変な問題ですよ。定番FTPソフト”FFFTP”でWebサイトにアクセスすると、”Gumblar(ガンブラー)”ウィルスにパスワードを抜き取られる事例がよせられているという。■窓の...
SEAESな二人...2010/02/01 10:33 AM
インターネットウィルス対策してます?
無事にチーム用サイト作成できほっとしてます。 こんばんわ、よしママです。 とうとう2月ですね。 1月はお正月やらちょっとした家庭の事情やらで サイト作成が自分の目標より少なかったので 今月はもう少し頑張りた...
こびっとを使って携帯アフィリエイトで稼ぐ方法...2010/02/01 01:19 AM
妙にデリカシー
【ブラック企業かどうかの見極めるポイントってなに?】 一概にブラックと言えども...
【小人閑居シテ駄文記ス】...2010/01/31 10:08 PM
Gumblar亜種ウイルスが猛威をふるう
Gumblar亜種ウイルスが猛威をふるっています。様々なサイトで感染報告が出てき...
+ a k k i ' s b l o g +...2010/01/31 05:02 PM
Latest Entries
Categories
Recent Comments
Recent Trackback
Archives
Profile
Other
RECOMMEND