Darmowe, wygodne i przydatne oprogramowanie bardzo często tworzone jest przez pasjonatów. Niestety nie zawsze bezpieczeństwo użytkowników jest dla nich priorytetem, co czasem może kończyć się sporym zagrożeniem.
Pewnie większość z Was kojarzy FileZillę – popularny i funkcjonalny program służący m.in. do obsługi protokołu FTP. Niestety wygląda na to, że Tim Kosse, twórca aplikacji utrzymujący i rozwijający ją od 17 lat, nie potrafi wytłumaczyć dziwnych zachowań jej instalatora na platformie Windows i ignoruje ostrzeżenia użytkowników.
Co robi ten instalator
Natrafiliśmy na Twitterze na linka do ciekawego wątku na forum FileZilli. Zaczyna się on ponad pół roku temu, ale ostatnio stał się dość aktywny i przynosi niepokojące wnioski. Jeden z użytkowników FileZilli zgłosił, że po wgraniu instalatora do serwisu VirusTotal otrzymał kilka niepokojących wyników. Ich pobieżna analiza pokazuje, że problemem były aplikacje dodawane do instalatora – to popularny proces, w którym twórcy darmowego oprogramowania mogą zarobić na współpracy z twórcami innych aplikacji, sugerowanych w procesie instalacji. Wątek zaczyna się niewinnie – Tim Kosse informuje po prostu, że w jego instalatorze nie ma złośliwego oprogramowania.
Wkrótce potem jeden z użytkowników zauważa, że hash SHA256 pliku instalatora nie zgadza się z tym opublikowanym na stronie producenta. Tu Tim Kosse komentuje następująco:
To dość kuriozalna uwaga – hash pliku nie zależy od jego nazwy. Być może Timowi chodziło o to, że hash dotyczył innego pliku. Ale idźmy dalej. Krótko potem pojawia się inny użytkownik, który pokazuje analizę uruchamiania instalatora FileZilli z narzędzia CarbonBlack. Widzimy dziwne procesy, uruchamiające dziwne procesy.
Okazuje się, że według analizy tego użytkownika instalator FileZilli, po wybraniu opcji instalowania dodatkowego oprogramowania, tworzy proces tofufeti.exe, który następnie tworzy kolejne procesy pobierające z zewnętrznych serwerów fragmenty plików .dat, by połączyć je potem w jeden plik, uruchomić i skasować. Co więcej, fragmenty plików pobierane są z IP/domen:
- 54.225.173.220 (goquc.com),
- 52.84.25.26 (d39ievd5spb5kl.cloudfront.net),
- 34.208.177.52 (gubuh.com).
Wymienione domeny nie posiadają danych rejestrującego. Cały proces wygląda bardzo podejrzanie – pobieranie kawałków plików z różnych miejsc w sieci i późniejsze łączenie ich w plik wykonywalny wygląda zupełnie jak działanie złośliwego oprogramowania próbującego ominąć mechanizmy monitorowania ruchu sieciowego. Powyższe obserwacje w sporej części potwierdza dostępna publicznie automatyczna analiza innej wersji tego samego instalatora.
Reakcja twórcy
Choć sam proces instalacji dodatkowego oprogramowania wygląda podejrzanie, to wcale nie musi to oznaczać pobierania złośliwego kodu. Być może były to zupełnie niewinne programy, których użytkownik może potrzebować. Najdziwniejsze w tej sytuacji są odpowiedzi samego autora FileZilli. Użytkownicy zapytali, jakie oprogramowanie jest instalowane w ten sposób, a w odpowiedzi usłyszeli:
- instalowane jest to, na co użytkownik wyraził zgodę,
- gdy nie wyraził zgody, to nie jest instalowane,
- skoro wyraził zgodę, to znaczy, że wszystko jest OK,
- ostrzeżenia programów antywirusowych to wynik ostrej konkurencji na rynku oprogramowania dodawanego do instalatorów, bo producenci AV też na nim konkurują.
Inni użytkownicy szybko zauważyli, że wspomniane wyżej domeny występują także w kontekście zdecydowanie złośliwego oprogramowania. Mimo tego twórca FileZilli nadal odmawia wyjaśnienia, jakie oprogramowanie było instalowane, w ten sposób wskazując pośrednio, że nie ma pojęcia, co dołączane jest do jego instalatorów.
Podsumowanie
Choć nie ma dowodów na to, że FileZilla instaluje złośliwe oprogramowanie, to podejście jej twórcy i brak wiedzy o dodawanym oprogramowaniu wskazują, że lepiej uniemożliwić użytkownikom jej instalowanie w sieciach firmowych. Dobrą alternatywą może być WinSCP. Jeśli sami korzystacie z FileZilli w systemie Windows i jesteście przytomnymi internautami, to wystarczy, że zwrócicie uwagę by nigdy nie wybrać opcji instalowania dodatkowego oprogramowania. Tworzenie darmowego oprogramowania i jego utrzymywanie to ciężki kawałek chleba – jednak nie usprawiedliwia to ignorowania obaw i ostrzeżeń użytkowników
Komentarze
Korzystam z Linuksa. Czy oprócz kwestii związanych z instalatorem są znane jeszcze jakieś problemy w samej aplikacji? Jeśli nie, to jestem bezpieczny — na Linuksie nie ma instalatora.
Nie wiemy o innych zagrożeniach.
Otóż to.
Będziesz spał spokojnie wiedząć, że gościu serwuje wirusy w instalatorze windowsowym?
Tak
Na Linuksie nie ma instalatora, i nie ma niczego…. ;p
Hehe, nie doczytałem do końca, przeczytałem tytuł i odinstalowałem filezillę : P
Rychło w czas… XD
Ostatnio wielu deweloperów open source zaczyna popełniać dziwne ruchy. Zaczęło się od Mozilli, chyba od rozwalenia swojej buildfarmy na Apple (obydwu fanów Haiku OS dziękuje serdecznie :) ), potem już ich przeglądarka zaczęła łączyć się z jakimiś śmieciami jak wirus (co to ***** jest detectportal? Czemu łączy się do stron z zamkniętych w poprzedniej sesji kart?).
Twórca PaleMoona zawsze odnosił się szorstko do innych pomysłów, ale ostatnio „przegiął” najpierw podkreślając bezpieczeństwo przeglądarki, a potem protestując o noscripta.
Teraz to z FileZillą (właściwie znacie jakiś dobry odpowiednik na Linuksa?).
Najuczciwiej postąpili chyba twórcy GIMPa, którzy widząc, że ktoś im robi takie numery z plikami zmienili dostawcę hostingu. Bo niezgodność sumy kontrolnej to jest wielki czerwony alarm w przypadku programu, to jest wielki znak z napisem „Uwaga! Nie uruchamiać! Problem techniczny lub ktoś tu mieszał!”.
„Teraz to z FileZillą (właściwie znacie jakiś dobry odpowiednik na Linuksa?).”
Zawsze używałem zwykłego MC i sobie chwalę. Z niezrozumiałych dla mnie powodów, mało osób z niego korzysta działając z FTP.
Do najprostszego połączenia wystarczy `ftp://` w GVFS (np. menadżer plików GNOME lub XFCE).
mc i menedżery plików to są bardzo dobre klienty FTP dopóki nie dzieje się coś nieładnego na linii i trzeba wznowić upload po czasie nieaktywności bądź zakończyć siłowo „martwe” połączenie. Albo dopóki nie zbanuje Cię własny dostawca hostingu bo u deweloperów menedżera plików bogaty szef pozwala na 150 równoczesnych połączeń do serwera i tworzenie stada plików .ustawien .do .folderu, a w normalnych warunkach takie coś nie uchodzi.
Mniej więcej jak dawniejszy Explorer z Win98 i legendarna opcja „kopiuj do folderu”.
Co gorsza ze świecą szukać w większości menedżerów plików możliwości ustawienia limitowania połączeń, time-outu, utrzymywania prędkości co w FZ jest bardzo dobrze rozwiązane. W FZ w tej chwili problemem jest „being-a-dick factor” twórców :).
Lata temu, przed FZ, używałem pod Linuksem FileRunnera, któremu tylko należało dodać via include tryb pasywny przed kompilacją (w Mandrake był nawet do tego alternatywny pakiet) – czy ktoś niedawno miał to w rękach i czy to jeszcze chodzi?
> „being-a-dick factor” twórców
Genialne. (-:
Ale trudno się nie zgodzić.
Parę lat temu też był jakiś numer, nowsza wersja coś porobiła z hasłami i do niektórych serwerów nie dało się zalogować, nie pamiętam dokładnie. I wtedy też twórcy odpowiadali ludziom „jesteście idiotami, my robimy dobrze więc bujajcie się”.
->Radek
To akurat mogło być wywołane „zmianą” algorytmu haszującego hasła. I tak moim zdaniem jeżeli nie używamy hasła głównego, to haszowanie po to by zaraz rozhaszować bez dodatkowego klucza nie ma większego sensu, ale użytkownicy się czepiali że mogą odczytać hasła z pliku w notatniku, więc dostali tam jakiś rot13 :).
Natomiast w przypadku większych projektów omawiany wcześniej czynnik da się zmniejszyć przez obcięcie – tak kilka lat temu zablokowano pewnego współtwórcę bodajże w KiCADzie właśnie za takie kręcenie.
Natomiast nauczyłem się pod Windowsami jednego: Nie używać instalatorów do małych programów. Albo portable, albo rozpakowuję instalatory ręcznie. Inaczej instalator potrafi uraczyć ścieżkę systemową kilkunastoma wersjami tej samej biblioteki. I to nie po uniksowemu przez linkowanie do nowszej, tylko rzeczywiście jest mnóstwo wersji i na którą wypadnie na tą bęc.
A windowsowy Explorer też ma klienta FTP i miał go bodajże od czasów win98. I co? I jajco, bo nie widać komend wysyłanych przez klienta i nie wiesz czy ci wysyła jak binarkę czy jako ascii. Parę razy binarki (obrazy w tym wypadku) mi explorer wysłał jako asc i później się dziwiłem czemu się nie ładuje (uszkodzony plik).
> Z niezrozumiałych dla mnie powodów, mało osób
> z niego korzysta działając z FTP.
Może dlatego, że:
– bardzo łatwo dodawać i edytować hosty?
– można poszczególne połączenia dodawać jednocześnie w kolejnych kartach?
– ma przejrzyste drzewo hostów z możliwością dodawania zagnieżdżonych katalogów (przy dużej ilości b. ważne)?
– ma masę łatwych do wyklikania opcji, od dodawania kluczy ssh, zmiany domyślnych katalogów, poprzez nawet przesunięcie czasu jeżeli na serwerze jest niewłaściwy?
– nie ma problemu jeżeli w nazwie użytkownika jest @ – mc czasem głupieje jak się podaje user@domena@serwer?
– ma możliwość dodawania transferów do kolejki i graficzne przedstawienie postępu każdego z nich?
– możliwość zatrzymania i wznawiania transferów, a także wykonywania poleceń po ich zakończeniu?
– ma możliwość ustawiania limitów dla ściągania/wysyłania?
– ma sensowną obsługę myszy?
– ma wygodny i przejrzysty interfejs z możliwością zmian wg. własnych upodobań?
@Tomasz Gąsior @Radek: Problem robi się wtedy, gdy trzeba zrobić coś w trybie tekstowym. Nawet skądinąd świetna FZ wykłada się w przebiegach. Na zdalnym serwerze nie mam zwyczaju instalować środowiska graficznego. I przede wszystkim z tej perspektywy patrzę na MC. Chociaż obecnie już coraz mniej używam konsoli i tym samym programów konsolowych.
—
Lista uwidacznia, że można sobie znacznie ułatwiać zadanie. Nawet w takim wydawać by się mogło banalnym procesie, jakim jest przesyłanie plików na serwer.
> Chociaż obecnie już coraz mniej używam konsoli i tym
> samym programów konsolowych.
No i to jest piękne podsumowanie. (-:
Oczywiście, że większość rzeczy da się zrobić w konsoli, i Ty i ja damy sobie z tym radę w razie potrzeby.
Ale przecież na co dzień nikt nie pracuje tylko w terminalu 80×24 tylko w środowisku graficznym w okolicach FullHD. I tam się męczyć z mc?
Bo w MC połączenie z sftp na niestandardowym porcie wymaga wiedzy tajemnej ;) A używanie ftp to zło wcielone !!!! Zdecydowanie nie powinno się tego używać :D
Gftp, chociaż lubi się zawiesić bez żadnego ostrzeżenia. Mimo wszystko to wygodny i fajny klient. Na dobrą sprawę stadardowy manager plików (Dolphin, Nautilus, Nemo, itp.) wystarczy.
Połączenie do detectportal służy do wykrywania i logowania do Captive Portal-i, i jest akurat bardzo wygodne. Jak ktoś tego nie potrzebuje to można to wyłączyć w about:config, w sekcji captiveportal.
Warto zwrócić uwagę ze konkurencyjny flashfxp – jest nieaktualizowany. Autor siedzi w więzieniu od kilku miesięcy.
Ciekawe, do tej pory to on próbował wsadzać do więzienia użytkowników licencjonowanej wersji, którym zdażyło się odpalić program z tym samym kluczem na dwóch komputerach naraz.
Może kreator do tworzenia .exe był za darmo ale z reklamami ?
W każdym razie, zawsze można spróbować sobie skompilować samemu z kodu źródłowego, bo widzę ze aplikacja jest na licencji GNU GPL.
Reklamy spowodowały ze produkt jest wykrywany jako niechciany
https://www.virustotal.com/#/file/17cdd8882e50b4d0e338579c9d906abeec91aafc4586d8a2c066d25d4291882d/detection
https://community.sophos.com/kb/en-us/14887
https://www.virustotal.com/ui-public/index.html#/file/3129fd5421c1a71c0673f4cae5349b4a98d4e93da9c41ace1bcacdc9ebf9c0ff/detection
Zabrakło najciekawszej informacji:
Cóż takiego robi ten program sklejony z plików *.dat.
Sam przed laty korzystałem z FileZilli, z WinSCP… To było przed laty… Od długiego czasu korzystam z FlashFXP (to nie jest reklama). Garść dolarów na dożywotnią licencję i mam program, którego darmowe FTP-owce są pod względem funkcjonalności tylko namiastką, a pod względem bezpieczeństwa nawet nie są namiastką. Amen.
> mam program, którego darmowe FTP-owce są pod względem
> funkcjonalności tylko namiastką, a pod względem
> bezpieczeństwa nawet nie są namiastką. Amen.
Na jakiej podstawie to piszesz? Wg. jakich kryteriów oceniałeś? Bo rozumiem, że przeprowadziłeś solidne badanie pisząc z takim przekonaniem?
Zaplacil ;)
„Solidne badanie” to po prostu życie, czyli intensywne użytkowanie danej aplikacji przez kilka lat na wielu platformach, serwerach, łączach. Swoje opinie i przekonania wyrażam na bazie powyższego. Nie korzystam z międzystanowych certyfikowanych laboratoriów, dlatego nikt nie musi się z tymi opiniami zgadzać.
Nie wiem czy się zgadzam bo nie używałem.
Po prostu bawi mnie opinia, że ten jeden Twój program ma rzekomo tyle kosmicznych funkcji, że cała reszta (której nawet nie testowałeś jak sam piszesz) to tylko namiastki.
Tylko nie ma transferu w kilku wątkach.
Właśnie aby nie było takich sytuacji twórcy OS udostępniają dedykowane platformy do instalacji softu. Na Windows jest to Marketplace.
Powinno się instalować oprogramowanie tak jak zaleca twórca OS. Instalujesz na Linuxie pakiety z obcych repo – możesz mieć kłopoty. Otwierasz exeki na Windows zamiast Windows Store – to samo.
Uważasz to za pewne zabezpieczenie? Przecież sporo było sytuacji, że jakiś syf w Google Play i innych siedział.
A jaka jest baza oprogramowania w Windows Store poza pseudoaplikacjami z interfejsem „modern”? Ile jest poważnego, komercyjnego oprogramowania do zakupu? To nie Android. W Windows zawsze instalowało się z instalatorów, najlepiej pobieranych ze strony producenta.
czy dobrze rozumiem, że chodzi o filezilla client a nie filezilla server?
Dobrze rozumiesz. :)
Total Commander jest dobra alternatywa. Polecam!
A kupiłeś czy klikasz w cyferki?
Wciąż znajduję TC na kompach klientów którego zostawiają jacyś inni pseudo informatycy. Czy naprawdę nikt nie wie co to znaczy Shareware? A nie można użyć Freecommandera? I to rodzimej produkcji free dla użytku komercyjnego? I nawet jakiegoś prostego ftpa ma. Jest taka fajna strona alternativeto.net zawsze można sprawdzić może jest jakaś darmowa alternatywa albo płatna lepsza odmiana programu który używamy.
Jak mi znajdziesz program freeware który daje np. takie opcje wyszukiwania jak TC, przesiadam się natychmiast, a tak, no cóż pragmatyzm, kofnormizm, nazwij to jak chcesz, ale większość tego co potrzebuje do obsługi plików mam pod ręką.
Wiem mogę skorzystać z polecenia find jaki i copy i move itp, ale wtedy po co freecommander, który uwzględniając opcje, nie stanowi żadnej alternatywy do TC
Proszę bardzo http://multicommander.com/
To co się dzieje w FZ to jeszcze nic. Obczajcie co się dzieje w DaemonTools!
Kiedyś mnie zdziwiło dlaczego Avast na OSX przy instalacji blokuje instalator.
+ dziękuje za ten artykuł. :)
Akurat w zeszly piatek zainstalowalem FileZille na 4 stanowiskach :( Jak zyc …
Informacja nieprawdziwa – wyjaśnienie zagadki jest na wykopie.
Wystarczy pobierać z sourceforge. Są tam wersje bez dodatkowego reklamopodobnego softu instalki oraz zipy portable.
Widać czytanie ze zrozumieniem to nadal rzadka umiejętność…taki rarytas:)
U mnie doinstalował ze 4 bloatware i to pomimo, że nie zgodziłem się na śmiecenie na dysku. Od siebie dodam, że jak już musisz używać to weź wersję bez instalatora. Żaden Bloatware się nie zapląta.
Jednym z zainstalowanych składników był AVAST który został zainstalowany pomimo, że w systemie są już 2 antywiry: Defender i ESET. Zajęło mi jakieś 20 minut, żeby to gówno wywalić bo komputer zwolnił tak, że nie dało się nic zrobić.
Heh generalnie 2x antyvir to jakiś joke!:) Pamiętam jak eksperci z audytu od KNF mieli taki badziew zainstalowany…2x antyvir xD Forteca:)
https://www.youtube.com/watch?v=wFXLzr86MQ4
Niestety w Win$hitten Defendera nie da się wywalić.
W przypadku zainstalowania dodatkowego antyvira ten z Defendera się samoczynnie wyłącza.
Również może być tak, że platforma hostująca pliki sama modzi pliki installerów. Sourceforge kiedyś tak właśnie robiło – wszystkie installery z Nullsoft Installer modyfikowało i doklejało swoje „opcjonalne” appki do zainstalowania. To by tłumaczyło dlaczego hash pliku jest inny niż autor opublikował i że sam nie wie co się dzieje.
Głowy nie dam, ale wydaje mi się że z narzędzi do budowania installerów dla windowsa najbardziej pewne są takie które finalnie tworzą paczkę msi. Takie chyba nie obsługują opcji dodatkowych programów instalowanych po drodze.