「Filezillaのアカウント情報は簡単に読める」へのコメント

えむけい (2010年2月3日 11時23分)

> そう考えると、「マルウェアに感染したら駄目」という当たり前の話になってきますね。

そもそも発端となった感染実験

も、Windows XPのSP3をアンインストールまでして故意に脆弱な環境を作り出して、ようやく感染させたそうですしね。

えむけい (2010年2月4日 2時9分)

ALFTPもWinSCPも対象であることが判明したので、Gumblar「対策」目的で乗り換えるのはほぼ無駄ですね。まあ最初から分かっていたことではありますが。

※でもIE6からの乗り換えは勧めてほしいかも

ばけら (2010年2月4日 2時18分)

>ALFTPもWinSCPも対象であることが判明したので、Gumblar「対策」目的で乗り換えるのはほぼ無駄ですね。

　ですねぇ。

　マルウェア側も日々進化しますしね。

>※でもIE6からの乗り換えは勧めてほしいかも

　IE6の話はFTPに限らず、basic認証のパスワードなんかも送られる感じですかね? だとすると「FTPって何?」みたいな人も注意が必要になってくると思うわけですが。

えむけい (2010年2月4日 4時25分)

>　IE6の話はFTPに限らず、basic認証のパスワードなんかも送られる感じですかね? だとすると「FTPって何?」みたいな人も注意が必要になってくると思うわけですが。

フォームにオートコンプリートで入力されるパスワードも対象だと思われるので、パスワードをブラウザに記憶させているとかなりやばいです。

IE7以降は、フォームが存在するページのURLを暗号化のキーとして使うようになったので、IEが起動していない状態でパスワードを盗むことは困難になったようです。

もちろん履歴に入ってるURLで総当たりしてみるとか、ブラウザの起動中ずっと監視し続けるとか、著名なサービスに関してはURLを推測できるとか、いくらでも方法はあるので決して安心してはいけませんが。

えむけい (2010年2月5日 5時58分)

> 履歴に入ってるURLで総当たりしてみる

ちなみにこれはIE PassViewが採用している方法です(IE PassViewのページに書かれていますが)。

> If you clear the history file, IE PassView won't be able to recover the passwords until you visit again the Web sites that asked for the passwords.

したがってインターネットオプションで「終了時に閲覧の履歴を削除」にチェック…じゃなくて、感染しないように対策を固めましょう。

またFirefoxでマスタパスワードを指定している場合、PasswordFoxでパスワードを復元するにはマスタパスワードの指定が必要です。何度も言われてるように、侵入すれば偽装ダイアログを表示したり(本物の)ダイアログに入力されたマスタパスワードを横取りしたりするのは極めて簡単ですが。結局

> 「マルウェアに感染したら駄目」

につきます。

えむけい (2010年2月12日 5時27分)

> この暗号化には、Windows API を使用しており、アカウント使用者本人以外は簡単に復号できない設計になっています

Gumblarはまさにアカウント使用者本人として動作するわけで、だからこそ攻撃を防ぐのが困難なのですが…。

根本的に何が問題なのか理解していないのでしょうか。

「水無月ばけらのえび日記 : Filezillaのアカウント情報は簡単に読める」についてコメントを書く場合は、以下のフォームに記入してください。