仕事始めから間も無くして世間を騒がせている。そんな、Gumblar(便宜上こう呼びます)。
情報が出尽くしてきた感もあったのですが
ここにきてFFFTPは危ないよーという話題がでてきているようです。
危ないと言われている理由は
「暗号化されたパスワードがシステム内に保存されてしまっている。」
ということだそうです。
日本中が、少しずつ出てくる情報に振り回されている感が満載なので
ボクも振り回されてみることにしました。
というわけで「FFFTP」をインストールしてどのようにパスワードが保存されているのか。
どうすればシステム内から消えるのかという確認をしてみました。
# ボクの自宅の環境下で手前味噌な検証なので
# みなさんの環境でも同じかどうかの確証はないです。すいません。
まず、デフォルトの状態。
デフォルトの状態でFTPへの接続情報を保存すると以下のレジストリ内に情報が保存されます。
HKEY_USERS\固有の番号\Software\Sota\FFFTP\Options\HostNHostNの「N」は数字。複数ある場合はカウントアップされます。
ここに情報が格納されていることを確認してから、「コントロールパネル」の
「ソフトウェアの追加と削除」から「FFFTP」を削除した後に確認しました。
すると、下記レジストリまでで「FFFTP」以下は削除されていました。
HKEY_USERS\固有の番号\Software\Sota
FFFTPはレジストリだけでなく、設定の変更により「ini」ファイルに設定を保存することも可能です。
その設定方法は
メニューバーから
「オプション」→「環境設定」を開き
「その他のタブ」で「設定をレジストリでなくINIファイルに保存する」をオンにします。
すると「FFFTP.exe」と同じフォルダに「ffftp.ini」が作成されるようになります。
ということで次に先程と同じ方法でアンインストールした場合に
この「ffftp.ini」が削除されるかどうかという確認をしました。
上図のように「ffftp.ini」は残ってしまうようです。
「ffftp.ini」に接続情報を保存する設定にされている方は
アンインストール後、手動で「ffftp.ini」を削除しないと不完全ってことですね。
また、パスワードは暗号化されているから安全じゃないかー
と思われるかたもいらっしゃるかもしれませんが、暗号化されていても
その文字列を盗むことに成功した場合
その設定を丸ごと「ffftp.ini」やレジストリに書いてしまえば
ログインまでこぎつけることができてしまいます。
つまり、生のパスワードを知る必要なく、レジストリや「ffftp.ini」から
「接続先アドレス」「ユーザ名」「パスワード(暗号化されたままでOK)」
などをを盗み出されてしまったらおしまいということですね。
追記:
Tessyさんからのコメントにもある通りFFFTPに設定情報を食わせなくても
このようなプログラムで一撃解読できるそうです。
(n)
life is penetration. geeks cheer. geeks be ambitious.
-
subscribe
Content © (n). Proudly powered by WordPress. To bookmark this site, press Control+D.
"Black Hat" theme by Nicki Faulk. For best results, please view with Firefox. [ ログイン ]
4 Comments
iniファイルの中身も簡単に解読できるようですよ。
FFFTP の ini ファイルに書かれているパスワードを解読する。
http://www.hiro3-soft.com/blog/post/2008/05/15/FFFTP-e381ae-ini-e38395e382a1e382a4e383abe381abe69bb8e3818be3828ce381a6e38184e3828be3838fe382b9e383afe383bce38388e38292e8a7a3e8aaade38199e3828be38082.aspx
ポストしてからすぐにコメント!
iniファイルが簡単に解読できる情報よりも
その早さにびっくりしました。
iniファイルの解読方法は既出なんですね。
わざわざ、FFFTP本体に食わせることなく
収集した情報(暗号化されたパスワード)を
このようなプログラムに食わせる仕組みを用意しておけば
すぐに、プレーンテキストな接続先リストが作成できるってことですね。
公開するほどのネタでもないなぁと思いながらもポストしたのですが
逆に知らない情報をゲットできたので、よかったです。
情報ありがとうございます。
ローカルのファイルを盗まれてる時点でFFFTPに限らずまずいんじゃないかと思うんですが・・・
FFFTPはパスワードを保存しないで使うこともできるんですが、その場合については調べられましたか?
コメントありがとうございます。
少し誤解を招く表現だったかもしれませんね。
すいません。
このエントリーをポストした経緯がありまして
一連の8080系Gumblarの一件で「FFFTP」が危ないという情報が出回りまして
アンインストールしても情報がレジストリに残るという情報があったんです。
ボクの記憶では、アンインストールした場合、レジストリには残らないが
iniファイルへの書き出しは残るというものでしたので
その辺りを確認することがメインでした。
この一連の8080騒ぎはボクの周りでも情報が錯綜しておりました。
内部からも改ざんされるかもしれない。
とか
FTPからではなく、SQLインジェクションによる改ざんが多い
などなど。
また、設定情報を窃取された場合に
その情報の暗号化が盗んだ者にとって
どれだけ容易に悪用可能か
ということも書かせていただきました。
これは暗号化されていれば盗まれても大丈夫
ということではないということを言いたかったわけです。
「FFFTP」が設定情報を保存すること自体は脆弱性ではないと考えています。
保存するかどうかということはユーザが選択できますので
それは仕様と呼ぶべきものだと思います。
おっしゃるとおりウイルスや悪意のあるユーザにより侵入をされている時点で
ローカルにある情報、および、ネットワークトラックに乗る情報は
危険に晒されている状態です。
パスワードを保存するということでいえば
WindowsもLMやNTLMで保存しており、一旦、システムに入れば
盗み出すことも容易ですし、「John The Ripper」や「Rainbow Crack」などで解析可能です。
ユーザが保存の有無を選択できるアプリケーションという意味では
「Internet Explorer」や「Firefox」なども同様です。
ですので、「FFFTP」に限って危ないということではありません。
「FFFTP」がパスワードを保存せずとも使用可能ということについては知っています。
何を隠そうボクも長らく「FFFTP」ユーザですから。
今後も利用するサービスが「FTP」のみであった場合には使用するつもりですので、今後もFFFTPユーザです。
Trackbacks/Pingbacks