Test: So unsicher ist Filezilla

Jetzt bei Amazon kaufen

Übersichtlich, kostenlos, einfach zu bedienen und für Webmaster brandgefährlich. Wir haben den FTP-Client Filezilla getestet und sind auf unglaubliche Sicherheitslücken gestoßen. Es mag unglaubwürdig klingen, doch viele Websites wurden gehackt, weil die Webmaster Filezilla genutzt haben. In dem folgenden Video zeigen wir, wo die Gefahren bei Filezilla lauern und wie man die Sicherheitslücken beheben kann.

[media id=13 width=450 height=340]

 

Die Gefahr ist real

Wie im Video aufgezeigt, speichert der Filezilla-Client alle Anmeldedaten unverschlüsselt in XML-Dateien auf eurem PC – und das ohne euer Wissen. Dritte Personen und Trojaner können diese so ausspähen. Trotz aktueller Antiviren-Software hat sich bei einem unserer Redakteure ein Trojaner alle durch Filezilla gespeicherten Passwörter erschlichen. Die Folge war, dass das Testchannel Blog und 5 weitere Websites gehackt wurden (wir berichteten). Daraufhin erhielten wir viele Zuschriften von Webmastern den es genauso ergangen ist.Wir sind also kein Einzelfall.

Was sagen die Filezilla-Entwickler?

Dass Filezilla die Passwörter im Klartext abspeichert, ist den Entwicklern bekannt (wäre auch kurios, wenn nicht). Die Entwickler sehen dies allerdings nicht als Problem, da die User für die Sicherheit Ihrer Computer schließlich selbst verantwortlich seien. (Siehe auch Artikel bei fixmbr). Somit wurde diese Sicherheitslücke auch in der aktuellen Filezilla Version 3.5.3 nicht behoben.

Natürlich ist der Filezilla-User für die Sicherheit seines PCs selbstverantwortlich. Doch in der heutigen Zeit entstehen neue Viren und Trojaner so sprunghaft, dass man selbst mit aktueller Sicherheitssoftware sich etwas einfangen kann. Und in so einem Fall darf keine Software der Welt extrem sensible Daten auf dem Silbertablett servieren.

Sicherheitslücke beheben

Wer Filezilla trotz allem weiter verwenden möchte, sollte wie im Video beschrieben vorgehen:

  • Datei filezilla.xml in C:\Dokumente und Einstellungen\[Euer Benutzername]\Anwendungsdaten\FileZilla öffnen.
  • In der Zeile <Setting name=”Kiosk mode”>0</Setting> die 0 auf 1 setzen

Danach wird Filezilla die Passwörter weder in der sitemanager.xml noch in der recentservers.xml speichern.

Alternative zu Filezilla

Es gibt einige Alternativen zu Filezilla. Beispielsweise das Programm WinSCP, das man ebenfalls kostenlos downloaden kann.

8 Gedanken zu „Test: So unsicher ist Filezilla

  • 11. September 2012 um 11:36
    Permalink

    Danke für die Warnung, ich werde Filezilla nicht mehr nutzen. Habe jetzt mal Win SCP getestet, und da ist von der Bedienung her genauso einfach.

    Antwort
  • 14. Dezember 2012 um 12:55
    Permalink

    hallo,
    danke für den hinweis. betrifft diese sicherheitslücke(n) nur filezilla für windows oder auch für mac? (z.b. kann ich das filezilla.xml file auf dem mac nicht finden…)

    Antwort
  • 12. Februar 2013 um 12:31
    Permalink

    Einfach Freecommander benutzen, der hat einen FTP client, ist freeware und die Pyßwörter in freecommander.ftp sind verschlüsselt.

    Antwort
  • 13. Mai 2013 um 07:47
    Permalink

    Filezilla ist also unsicher, weil es Passwörter im Klartext speichert? Wenn jemand Zugriff auf die Datei von außen hat, habe ich mit Sicherheit ganz andere Probleme. Verschlüsseln von Passwörtern bringt nur etwas, wenn ein Masterpasswort verwendet wird. Das Programm selbst muss die Passwörter ja auch entschlüsseln können und bei Open Source sollte man die Funktion dafür relativ schnell finden.

    Antwort
    • 13. Mai 2013 um 08:46
      Permalink

      Filezilla ist also unsicher, weil es Passwörter im Klartext speichert?

      Ja, deswegen ist es unsicher. Begreifen leider nicht alle. Ich habe diesbezüglich in Foren schon diverse Diskussionen geführt. Die wenigsten Leute sind sich der Tragweite bewusst. Das Schlimme ist, dass Filezilla die Passwörter ohne Wissen des Users speichert, d.h. der User weiss gar nicht, auf was er sich da einlässt.

      Wenn jemand Zugriff auf die Datei von außen hat, habe ich mit Sicherheit ganz andere Probleme.

      Das tut mir leid für Dich. Dann solltest Du Dir ein besseres Sicherheitskonzept für Deinen PC überlegen ;-). Ist jetzt nicht böse gemeint, bin nur gerade allgemein auf Krawall gebürstet :-). Bei mir gibt es nichts zu holen. Ein paar Spiele, ein paar Bilder ein paar nutzlose Dokumente. Jetzt kommen bestimmt wieder die ultraschlauen Kommentare: “Ja, wenn jemand Zugriff auf das System erlangt, kann der Angreifer doch einen Keylogger installieren, und so auch an die Passwörter kommen!” Für diese ultraschlauen Leute hier mal der Unterschied: Wenn sich jemand sich die sitemanager.xml oder recentservers.xml schnappen will, braucht er nur 10 Sekunden Zugriff auf mein System zu erlangen. Und kann sich dann über alle Serverzugänge freuen, mit denen ich mich über Filezilla eingeloggt habe. Wird hingegen ein Keylogger installiert hat mein Antivirenprogramm die Möglichkeit dies zu erkennen. Außerdem erlangt der Angreifer nur die Daten, die ich auch tatsächlich eingebe. Es geht also viel Zeit ins Land. Zeit, in der auffliegen kann, dass mein Rechner kompromittiert ist. In meinen Fall hieße das konkret: der Angreifer bekäme in Fall 1 (Filezilla) sofort an 20 FTP Zugangsdaten. In Fall 2 (Keylogger) hätte der Angreifer nach 24 Stunden 2 FTP-Zugänge und erst nach 1 – 2 Jahren alle 20, da einige meiner Websites brach liegen. Das ist doch schon ein Unterschied, oder?

      Verschlüsseln von Passwörtern bringt nur etwas, wenn ein Masterpasswort verwendet wird. Das Programm selbst muss die Passwörter ja auch entschlüsseln können

      Das ist richtig, aber ich glaube Du hast Problem nicht ganz verstanden. Warum speichert Filezilla die denn FTP-Zugangsdaten überhaupt??? Wenn ich über den mitgelieferten Passwortmanager Passwörter speichere, ist es etwas anderes. Hier sage ich der Software explizit “Speichere die Zugangsdaten bitte für mich”. Wenn ich mich aber einfach nur an einem Server anmelde, sage ich davon nichts! Wenn Du Dich beim Online Banking anmeldest, wie würdest Du es finden, wenn Deine Bank Deine Zugangsdaten unverschlüsselt auf Deine Festplatte speichert? Natürlich ohne Dich darüber zu informieren. Darauf muss man erst einmal kommen, dass die Bank auf so eine schwachsinnige Idee kommt. Genauso ist es bei Filezilla.

      Und darum ist die Software unsicher! Ein toller Exploit für Angreifer.

      Viele Grüße
      Crowley

      Antwort
  • 31. Januar 2014 um 21:11
    Permalink

    Vor ein paar Jahren habe ich auch mit FileZilla gearbeitet. Eines Tages hat sich ein Virus in meinem Computer eingeschleust, was ich aber auch sofort bemerkt habe und prompt entfernen konnte.

    Doch leider zu spät: dieser Virus hat meine über 20 gespeicherten FTP-Zugangsdaten ausgelesen. Das habe ich bemerkt, als ein paar Tage später alle im FileZilla gespeicherte Webseiten mit einem versteckten Inlineframe virenverseucht war. Ich musste also sämtliche FTP-Passwörter ändern – und habe FileZilla deinstalliert!

    FileZilla kann ich absolut nicht empfehlen! Ich arbeite mit WinSCP. Da werden die Zugangsdaten mit einem Master-Passwort verschlüsselt abgelegt.

    Antwort
  • 27. Februar 2015 um 12:32
    Permalink

    Als Greenhorn in Sachen Webseite und Server wurde ich Anfang 2013 über Filezilla gehackt. Seitdem benutze ich WinSCP. War damit sehr zufrieden. Doch wie es aussieht, ist damit jetzt Schluss. Heute komme ich über WinSCP gar nicht mehr auf den Server. Habe schon 1.000 Dinge probiert. Auf der Startseite von WinSCP steht: Domain ist zu verkaufen. Ist das der Grund, warum ich über WinSCP nicht mehr auf meinen Server komme? Weil es gar nicht mehr funktioniert?

    Antwort
    • 27. Februar 2015 um 13:57
      Permalink

      Hallo Lothar,

      Heute komme ich über WinSCP gar nicht mehr auf den Server. Habe schon 1.000 Dinge probiert. Auf der Startseite von WinSCP steht: Domain ist zu verkaufen. Ist das der Grund, warum ich über WinSCP nicht mehr auf meinen Server komme? Weil es gar nicht mehr funktioniert?

      winscp.net ist nach wie vor erreichbar. Außerdem hat die Erreichbarkeit dieser Domain nichts mit der Erreichbarkeit Deines Servers zu tun.

      Falls Du Server-Probleme hast kann ich Dir http://www.fehlersieben.de empfehlen. Die haben sich zwar auf WordPress spezialisiert, helfen aber auch bei anderen Problemen rund um Websites schnell und kompetent weiter. Wir arbeiten schon seit 3 Jahren mit denen zusammen. Man bezahlt nur, wenn die das Problem auch wirklich l̦sen k̦nnen Рdas ist sehr praktisch.

      Viele Grüße
      Die Testchannel Redaktion

      Antwort

Schreibe einen Kommentar zu Mulle Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Wichtig: Bitte keine Links einfügen, da der Kommentar sonst automatisch gelöscht wird.

*