SFT Dateien sind unsicher

SFT Loader nennt sich ein Tool zum Verschlüsseln von FTP Verbindungsdaten. Es wird häufig genutzt, um illegale Downloads auf FTP Servern zu verbreiten. Die vermittelte Sicherheit ist allerdings trügerisch. Eine .SFT Datei lässt sich leicht austricksen.

“Das Programm SFT-Loader eignet sich besonders für Firmen, die ihren Kunden zwar Downloads anbieten wollen, aber auf Grund fehlender passwortgeschützer Bereiche nicht realisieren können.”
Qülle: de.wikipedia.org

Inhalt der .sft Dateien sind die Zugangsdaten des Servers und eine Liste der zu übertragenden Dateien. Eine .sft Datei ermöglich es so, die Dateien anderen Personen zum Download zur Verfügung zu stellen, ohne die Daten des servers zu veröffentlichen. Oft wird darum versucht, die Dateien selber zu entschlüsseln. Dies ist in der Vergangenheit vor allem beim französischen “Bobdown” tool gelungen. SFT Dateien dagegen sind sehr gut verschlüsselt, und nur äußerst schwer zu knacken. Es gibt allerdings auch eine sehr viel einfachere Methode, SFT Dateien zu “entschlüsseln”. Da die Verbindung zwischen FTP Server und dem PC des Benutzers direkt hergestellt wird, kann die Domain bzw. die ip des Servers und der verwendete Port schnell und einfach per tcpview ausgelesen werden.

Da die Daten über so genannte “pubs” verteilt werden - das sind ftp Server die anonymen Zugang erlauben - muss man sich über die Zugangsdaten keine Sorgen machen. Mit der IP kann man zwar zum Server verbinden, die gesuchten Dateien bekommt man allerdings nicht zu Gesicht. Diese sind in den meisten Fällen in “taggs” versteckt. Das sind verschachtelte Ordnerverzeichnisse, welche mit einem normalen FTP Programm unsichtbar sind. Es gibt verschiedene Tools, welche diese Verzeichnisse auslesen können. So kommt man nach insgesamt weniger als 2 Minuten an den Inhalt einer SFT Datei - und das mit primitivsten Mitteln. ;)

Hinweis: Diese Methode habe ich noch nicht mit SSL/TLS Verbindungen getestet. Die überwiegende Mehrzahl der Dateien verwendet diese Methode jedoch nicht.

Update: Einen weiteren Artikel zu dem Thema findet man unter body-snatcher.de


Webdesign
dpsg.sanktjosef.de
Nextgen Gallery geo
Yet Another Coverflow Clone
Neue Fotos
Segeltörn nach Marstal
Zeche Zollverein
Kieler Förde im Januar
frederic@denktfrei.de
Alle Werke auf dieser Seite sind urheberrechtlich geschützt. Jegliche Verbreitung und Vervielfältigung ohne vorherige Zustimmung ist unzulässig.
Frederic Stuldreier
Luisenweg 4
24105 Kiel
info@frest.de
frest.de basiert auf wordpress und dem nexttgen-gallery plugin.
Weitere Informationen zur Technik...
wordpressrssAward