Webudviklere spreder malware via FTP-adgang
Hannover: Der hviler et særligt ansvar over webudviklere og andre, der har udbredt adgang til webservere. For malware sørger nemlig for at kopiere sig selv videre til serveren, så den kan sprede smitte derfra.
Sådan lyder det fra den rumænske virusanalytiker fra antivirusfirmaet Kaspersky, Stefan Tanase, da Version2 møder ham på it-messen Cebit.
»Mange slags malware tjekker, om de kan få adgang til webservere via FTP, når de inficerer en computer. Hvis passwordet er gemt, så der er autologin, kan malwaren fortsætte ud til alle de webservere, der er tilgængelige,« forklarer analytikeren, der tidligere har arbejdet som webudvikler.
Det kan give store problemer for dem, der besøger websiderne, som serveren rummer. Og problemet er udbredt. En nylig undersøgelse, som Kaspersky foretog, viste, at en ud af hver 150 webservere er inficeret. For bare tre år siden var antallet stort set lig nul.
Problemet er også, at smitten kan gå den anden vej senere - fra webserveren til den oprindeligt smittede computer. Dermed er det svært at slippe af med malwaren.
»Det er ikke nok at rense computeren. Du skal også rense webserveren og skifte passwords. Og tit har en webudvikler gang i flere projekter på én gang, ligesom der er adgang til de tidligere projekter, så smitten kan være spredt til rigtig mange webservere,« vurderer han.
Derfor vil det være bedst, hvis alle FTP-passwords blev indtastet manuelt hver gang, så malwaren skal have gang i en keylogger for at opsnappe informationerne. Det er nemlig meget nemmere at stoppe for antivirus-softwaren.
»En keylogger skal have fat i Windows API'et for tastaturet, så det er nemmere for os at spotte. Men ud fra hvad jeg har set, bruger næsten alle webudviklere auto-login, fordi det er umuligt at huske ti forskellige passwords til de websider, man arbejder på lige nu,« siger Stefan Tanase.
Derudover lyder hans råd - hvis man arbejder i et Windows-miljø - at man har en arbejdscomputer til webudvikling, der så ikke bliver brugt til noget andet. Dermed minimerer man risikoen for, at den kan blive inficeret.
»Det er en lidt ekstrem løsning med en fuldstændigt dedikeret maskine, men det er det værd, synes jeg. Så kan man fortælle kunderne, at man arbejder under sikre forhold, så de slipper for at få malware på deres webside og inficere deres besøgende,« siger han og tilføjer, at mange webudviklere nok er freelance eller i små firmaer, hvor man ikke har faste sikkerhedsprocedurer.
Malware-ramte webservere giver problemer for de besøgende, fordi paraderne er nede, og tilliden til indholdet er højt.
»I dag sker de fleste malware-infektioner via legitime websider. Du vil blive overrasket over, hvor mange websider for store virksomheder og myndigheder, vi opdager, er inficerede og så giver besked. Folk stoler jo på de legitime websider,« siger Stefan Tanase.
Kommentarer (6)
Hvis en udviklers PC er inficeret med malware, er løsningen ikke at få vedkommende til at indtaste FTP kodeord til websites manuelt.
Det ville bare anspore til, at der benyttes svage kodeord, som så kan gættes fra resten af internettet. Det ville ikke gøre det væsenligt sværere for malwaren at liste sig med ind på et website under udvikling.
Jeg ville i stedet sigte efter, at 1) udviklerens PC ikke blev inficeret, 2) at benytte en metode der fanger alt ukendt malware (frem for kun det kendte) og 3) og at der blev benyttet konfigurationsstyring og peer review når der skulle ske ændringer på websitet.
-
0 -
0
Problemet her ligger vel nærmere i at Windows ikke har nogen fornuftig fælles standard til at beskytte gemte passwords på, og at sikkerheden derfor overlades til dem der laver alt muligt andet software, hvorfor at ingen kryptering eller ROT13/base64 ikke er noget sjældent syn.
På andre styresystemer (ja, jeg har en Mac) har man en fælles nøglering som er krypteret og med streng adgangskontrol.
Dertil kommer at FTP som protokol er håbløst usikker. Man behøver ikke en keylogger eller for den sags skyld adgang til de enkelte maskiner for at opsnappe FTP passwords, kun mulighed for at kigge med i netværkstrafikken – hvilket i disse WiFi tider som regel ikke er nogen større udfordring. En enkelt kompromitteret maskine med adgang til netværket og alle FTP passwords vil kunne opsnappes med lidt tålmodighed.
-
0
-
0
Windows 2000 og senere har da Protected Store netop til at opbevare kodeord på en forsvarlig måde, men ingen af de meget udbredte OS i dag beskytter mod, at der er malware installeret i brugerens konto.
Hvis jeg kan køre malware på din Mac, kan jeg benytte din nøglering til at gøre alt det du kan gøre.
-
0
-
0
Dertil kommer at FTP som protokol er håbløst usikker.
Enig!
I betragtning af at ssh har været til rådighed i mere end 10 år, må det betragtes som utilgiveligt dumt at bruge ftp.
rsync vil jeg mene er en langt bedre løsning.
Som Alex mener jeg at det er uacceptabelt at udviklerens PC er kompromitteret.
Og hvis udviklerens PC er kompromitteret, så kan et password ikke hjælpe. PCen styres jo af andre, som derfor bare kan genbruge det indtastede password.
Husk: "If I can execute my code on your computer, it is no longer your computer".
-1 til Stefan Tanase.
-
0
-
0
Er det dig holsta?
Nå, men det interessante er om du kan benytte nøgleringen UDEN at der kommer en popup fra Keychain.app.
Apple har jo netop designet Keychain.app således at du typisk bliver spurgt. Specielt vil et nyt program skulle have tilladelse af brugeren aktivt før det får adgang til guldet/kodeordet.
Grunden til at jeg skriver typisk er at, a) man kan tillade adgangen "altid fremover" og b) Keychain og security er også programmer og mon ikke der er en enkelt smutvej eller to i den software også
-
0
-
0
Nå, men det interessante er om du kan benytte nøgleringen UDEN at der kommer en popup fra Keychain.app
Hvad forhindrer egentlig malware i at scripte et klik på OK-knappen? Så er det ikke sikkert, at du opdager popup'en.
-
0
-
0
