FileZilla: seguro fuera, inseguro en casa

Hace unos días publiqué en Seguridad Apple un artículo sobre la inseguridad que provocaba FileZilla al almacenar las credenciales de los sitios en plano y el histórico de conexiones también en texto plano. En el caso de los equipos con sistemas operativos GNU/Linux, no lo he mirado, debe ser muy parecido a dónde un sistema operativo Mac almacena dichos ficheros, sólo hay que buscarlos.

En el caso de lo sistemas operativos Microsoft Windows la herramienta dispone del mismo punto negro, es decir, el usuario se encontrará los archivos de configuración de FileZilla en una ruta en concreto. Se utilizará la variable de entorno %appdata% que apunta a %SystemDrive%\Users\Usuario\AppData\Roaming dónde se encuentran configuraciones de aplicaciones instaladas en el equipo. Existirá una carpeta denominada FileZilla que almacena la información de configuración de la aplicación para el usuario que está en ejecución.

Encontrando la ruta

[caption id="attachment_3630" align="alignright" width="225" caption="Ejecutando ruta"][/caption]

En la imagen de la derecha se puede observar lo sencillo que es encontrar la carpeta, del usuario en ejecución, de FileZilla. Además se puede observar el resto de configuraciones de otras aplicaciones.

Hay que tener en cuenta la unidad dónde Windows está instalado, para poder saber en qué unidad está el sistema disponemos de la variable de entorno %systemdrive%.

Fichero: sitemanager.xml

FileZilla contiene una aplicación denominada 'gestor de sitios' (primer icono de la barra de herramientas) en el cual el usuario puede automatizar el proceso de conexión a los sitios más demandados por éste. Con este gestor, facilita el trabajo con la aplicación y ahorra tiempo en el uso de la herramienta.

El gestor de sitios almacena su configuración en un fichero XML denominado sitemanager.xml. Es un archivo que almacena toda la información en texto plano, por lo que las credenciales de los sitios quedan al 'aire'.

Los atributos críticos son host, port, user y pass. Con estos parámetros un atacante, o en un análisis forense, ya dispondríamos de toda la información necesaria para suplantar la identidad de la víctima. Tened cuidado a quién le dejáis el equipo, porque en un descuido y teniendo FileZilla a mano... pueden hacer una buena 'ñapa'.

Fichero: recentservers.xml

Pero quizá este fichero sea mi preferido, recentservers.xml almacena las conexiones realizadas por el usuario. Es decir, es un histórico de las conexiones realizadas por un usuario. Entonces... si un usuario tiene acceso a nuestro equipo, de algún modo, podría ver de manera muy fácil que credenciales tiene la víctima.

A continuación se visualiza el fichero en cuestión:

[caption id="attachment_3641" align="aligncenter" width="497" caption="recentservers.xml"][/caption]

Esperamos que os haya resultado de interés, y tener cuidado con FileZilla, parece seguro en conexiones... ssh, sftp, ftps, ftpes, pero localmente... ¡zas!