Ukládáte si hesla pro FTP připojení v Total Commanderu? Nedělejte to! V posledních dnech je znovu poměrně dost aktivní malware, který krade připojovací údaje k vašim FTP připojením. Některé weby, k nimž máte v Total Commanderu uložen přístup, pak jsou zpravidla napadeny tak, že do souborů index.php, main.php, login.php a některých dalších doplní tento malware ještě vlastní skript – škodlivý kód, který ohrožuje návštěvníky takto “upravených” stránek.
Nemyslete si ale, že jsou ohroženy pouze weby, které používají PHP hosting. Některé typy malwaru vloží škodlivý kód do stránky pomocí javascriptu nebo pomocí tagu iframe, takže může být napadena prakticky libovolná webová stránka.
Problém vzniká tím, že Total Commander si parametry připojení ukládá do ini souboru, který je prakticky textovým souborem. Pokud si spolu s připojovacími údaji ukládáte i hesla, uloží se do ini souboru také. Uložená hesla jsou sice zašifrována, ale poměrně jednoduchou transkripcí, takže jejich přečtení pomocí vhodného nástroje je dílem okamžiku. Pokud malware nebo hacker obsah tohoto souboru získá, nic mu nebrání v cestě k zdrojovým souborům na vašich webech.
takto vypadá nadefinované připojení v ini souboru Total Commanderu
Neudržujte se ve falešné iluzi, že se problém týká jen Total Commanderu. Prohlížel jsem i další Commandery s FTP připojením – Unreal Commander, Free Commander, Alt Commander a všechny ukládají FTP připojení včetně hesel do textových ini souborů, v jejichž názvu se objevuje řetězec “ftp”. Každý soubor šifruje hesla jiným způsobem, nicméně jak se můžete sami přesvědčit, rozkódování šifrovaného řetězce pomocí vhodného nástroje nestojí žádnou námahu. Malwaru pak stačí prohledat váš počítač a získat obsah všech souborů v jejichž názvech se vyskytuje řetězec ftp a ini.
Mnozí z postižených používají aktivní a aktualizovaný antivir a přesto ke krádeži jejich uložených připojení došlo, aniž by byli nějak upozorněni na přítomnost škůdce. Část postižených připouští, že údaje k FTP připojení mají třeba jejich další kolegové, nebo sami zákazníci, kterým mohlo být připojení ukradeno.
Můžeme polemizovat o tom, jaké ukládání hesel je bezpečné, shodneme se však určitě na tom, že ukládat hesla do takto slabě zabezpečených FTP klientů je hazard. Nejlepší je samozřejmě hesla si pamatovat. To je ale takřka nemožné, když se počet FTP připojení přiblíží desítce. Spravujete-li větší množství webů (desítky, stovky), uložení hesel se prostě nevyhnete.
Jednou možností je používat klienta, který hesla ukládá bezpečně. Z bezplatných řešení může jít například o klienta WinSCP. Za jeho hlavní nevýhodu považuji to, že neumí procházet a rozbalovat ZIP archivy. Můžete použít specializovaného FTP klienta, jakým je např. FileZilla. Řešením je také specializovaná aplikace na ukládání hesel, z bezplatných jmenujme např. KeePassX.
Mnohem bezpečnější než uložené připojení v Total Commanderu je také zapsání hesel do heslem chráněného dokumentu MS Excelu. Existuje sice mnoho účinných nástrojů pro prolomení hesla dokumentů OpenOffice, na druhé straně si ale uvědomte, že útočník těžko bude procházet desítky nebo stovky vašich excelovských dokumentů a kontrolovat v nich hesla, zvláště když v názvu dokumentu nenalezne řetězce jako “pass”, “ftp”, “hesl”, apod.
Bezpečné úložiště hesel chráněné hlavním heslem bude mít i další Total Commander – verze 7.5. Prozatím je Total Commander 7.5 dostupný v beta verzi, a autor upozorňuje, že především toto nové bezpečné úložiště hesel není důkladně otestováno, takže by mohlo dojít k potížím nebo ztrátě dat.