Overslaan en naar de inhoud gaan

Sneaky softwarebundel maakt Filezilla bedrijfsrisico

Het gratis FTP-clientprogramma Filezilla is verwikkeld in een rel waarbij de betrouwbaarheid op het spel staat. Enkele gebruikers is het maanden geleden al opgevallen dat de default download andere software mee naar binnen brengt, die als verdacht wordt aangemerkt. Analyse heeft vervolgens securityschendende praktijken aan het licht gebracht, die echter door Filezilla’s ontwikkelaar tot op heden worden ontkend.
Verkeerslichten
© Shutterstock
Shutterstock

De kwestie is nu geëxplodeerd door aanhoudende ontkenning, in het licht van opstapelend bewijs van onveilig gedrag en het toestaan daarvan. Daarbij is de forumthread die eind vorig jaar is begonnen op Filezilla’s forumsite afgelopen week belicht op de grote forumsite Reddit. Daar wordt de FTP-client nu botweg neergezet als malware. De afwijzende reacties van Filezilla’s ontwikkelaar en forumsitebeheerder hebben veel bijgedragen aan het nu ontstane wantrouwen.

Live gedragsanalyse

De open source FTP-client is zelf echter geen malware. Wel brengt de default download een softwarebundel mee, waar gebruikers tijdens installatie dan mee akkoord gaan. Een gebruiker viel het eind vorig jaar op dat zijn firewall iets verdachts aantrof en dat controle bij VirusTotal een virusmelding gaf. De reactie op deze forumpost was snel en kort: “Het is een false positive, er is geen malware in de installer”.

Kort daarna kwamen andere gebruikers echter met bevestiging, door meer antivirusscanners inclusief geavanceerde securitytools voor enterprisegebruik. In het geval van laatstgenoemde is het niet simpelweg een antivirusoplossing die op basis van bestandsanalyse en zwarte lijsten werkt. De gebruikte tool (Carbon Black) monitort draaiende processen en is voor Filezilla tot de ontdekking gekomen dat de gebundelde adware kwaadaardig gedrag vertoont.

Bewust security omzeilen

Het gaat specifiek om proces- en download activiteit die erop gericht lijkt om detectiesystemen (IDS/IPS) te omzeilen. De meekomende software downloadt namelijk stilletjes diverse kleine .dat-bestanden en smeedt die aaneen. Meest verdacht hieraan is een ongeïdentificeerd .exe-bestand dat niet digitaal ondertekend is en dat enkele tientallen commandoprompts start voor het samenvoegen van de gedownloade .dat-bestanden. Bovendien is de herkomst van die opgedeelde downloads ook verdacht, merkte een Filezilla-gebruiker begin dit jaar op.

Vervolgens is de forumdiscussie van de rails gegaan: Filezilla-ontwikkelaar Tim Kosse reageert dat deze praktijken juist zijn om fraude en false-positives te voorkomen. De door hem gegeven redenatie is dat antivirusproducten met elkaar concurreren in de markt voor het te gelde maken van installers. “Het is een open geheim dat antivirusbedrijven aanbiedingen van concurrerende bedrijven met opzet blokkeren.” De heimelijke downloads die Filezilla’s installer faciliteert, zijn dus bewust stilletjes om langs al geïnstalleerde antivirus te kunnen komen.

In de ban doen

In een latere reactie stelt Kosse ronduit dat meldingen van virusgevaar niet vanwege malware zijn, maar vanwege het zakelijke belang van de antivirusleveranciers. Begin deze maand is deze discussiethread op het Filezilla-forum weer opgepikt door een bezorgde gebruiker die kritische kanttekeningen plaatst bij het vertrouwen dat Filezilla kennelijk plaatst in de vergaande mogelijkheden van mogelijk onbekende adware-aanbieders die meekomen met de gratis FTP-client.

Deze en andere forumposters melden dat ze Filezilla nu in de ban doen bij de bedrijven waar ze werkzaam zijn. Tussendoor wordt nog de reactie gehekeld van de forumbeheerder dat gebruikers zich geen zorgen hoeven te maken over afwijkende hashes voor de download, “omdat de bestandsnaam niet overeenkomt”. Checksums zijn echter voor bestandsinhoud en niet voor namen.

Checksums en (un)signed code

In reactie op die onderbouwde weerlegging komt Filezilla’s ontwikkelaar met de reactie dat digitale handtekeningen beter zijn dan checksums. De bestanden zijn digitaal ondertekend, aldus Kosse. De gewraakte softwarebundel bevat echter ook ongetekende code, merken kritische gebruikers op.

Filezilla’s Kosse heeft daarover begin dit jaar gepost dat het niet-ondertekende code weliswaar niet ideaal is maar wel behoorlijk normaal. “Zelfs veel van Windows’ eigen uitvoerbare bestanden zijn unsigned. Zou je de Windows-installer als malware classificeren vanwege dit? Of Windows Update?”

Ook deze bewering wordt onderuit gehaald. Een productmanager bij Microsoft tweet nu dat dit een kulargument is. “Alles van Microsoft is ondertekend. We ondertekenen zelfs onze PowerShell-scripts.” In het forum en op Twitter aangedragen alternatieven zijn Cyberduck en WinSCP, waarvan de ontwikkelaars hun dank uitspreken voor de gedane aanbevelingen en overstappers welkom heten.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in