FileZilla är en av dom mest populära FTP-klienterna som finns och många gillar enkelheten i programmet. FileZilla är dessutom open source och fritt att ladda ner, det har närmare 1 miljon nedladdningar per vecka.
Dom flesta stora open source-projekten har bra koll på säkerheten då all källkod är öppen för alla att undersöka. Det blir väldigt viktigt av samma anledning att vara upp till par med sådant som rapporteras runt säkerhet och skadlig kod för projektansvariga. Ett exempel som är lätt för mig att dra är WordPress. Där har man under senare tid släppt flera säkerhetsuppdateringar och undersökt flera andra möjliga sårbarheter. Den vanliga användaren kanske tänker, ”Men det här var ju inte bra, är WordPress så osäkert?”. Men det handlar snarare om att man är på det direkt och går hela vägen för att skydda sina användare. I den senaste uppdateringen går man t.o.m så långt så att man söker efter och tar bort en specifik sårbarhet även i WordPress tredjeparts teman och tillägg.
Tyvärr så finns det skapare som inte alls är villiga att ta detta ansvar, trots flera miljoner aktiva användare. Tim Kosse, skaparen bakom FileZilla är en av dessa.
Även när mjukvara är fri att ladda ner och använda så kostar det oftast både tid och pengar att skapa, underhålla och hosta (serverplats). Tid skänkes oftast av communityn. Pengar brukar man kunna få in genom donationer eller sponsorer. Program så som FileZilla kan t.ex göra reklam för annan mjukvara genom att bundla (inkludera) denna i sina installationspaket. Det är inte alls ovanligt att man använder den metoden för att ha råd/möjlighet att kunna erbjuda fria nedladdningar. Adobe erbjuder t.ex för tillfället Google Chrome i några av sina installationspaket. Nedladdningar kräver servrar som kan hantera stora volymer av trafik och utrymme, det är inget som är gratis.
FileZilla ❤ Malware
FileZilla samarbetar med SourceForge för att kunna tillhandahålla program för nedladdning. SourceForge har sedan en tid tillbaka nya ägare och har sedan dess fått ett allt mer skamfilat ryckte. Detta för att man beblandar sig med mycket tveksamma och ibland direkt olagliga installationspaket (downloaders/wrappers) med allt från adware, malware, spyware till rena virus. Tim Kosse och FileZilla är ett av projekten som utnyttjar detta för personlig vinning och mot användarnas bästa.
Det här handlar alltså om att FileZilla låter SourceForge bundla vissa av nedladdningarna för FileZilla i så kallade downloaders/wrappers. Dessa downloaders/wrappers är ett mindre program som du får istället för den riktiga installationsfilen för det program du laddar ner. När du öppnar programmet så laddar det dels ner det riktiga programmet du vill installera, men även tredjepartsprogram. Hos SourceForge består dessa tredjepartsprogram av
- Adware – Oftast ofarliga, kan i vissa fall vara svåra att avinstallera.
- Malware – Kan många gånger vara skadliga eller öppna upp för mycket skadliga program, kan vara mycket svåra eller omöjliga att avinstallera.
- Spyware – Inte direkt skadligt, men skickar vidare information från din dator utan ditt godkännande, kan vara mycket svåra eller omöjliga att avinstallera.
- Virus/trojaner – Mycket skadliga, kräver ofta extra program/antivirus för att bli av med.
Adware kan du oftast välja bort vid installationstillfället, övrigt skräp installeras oavsett om du vill det eller inte. Vilken typ av skräp du får med beror på vilken version av FileZilla du försöker ladda ner och för vilket operativsystem. FileZillas forum är fullt med rapporter om dessa skräpprogram och det handlar om allt från skräpprogram som Ask Toolbar till rena virus som låser ute användaren helt från datorn (kräver ominstallation av operativsystem).
Program och infektioner som är rapporterade komma med FileZilla downloadern
- Ask Toolbar
- XTab
- WindowsProtectManger
- SupTab
- BundleInstaller
- KeyFind
- WPM
- IHProtect
- InstallCore
- Qone8
- OpinionSpy
- StormFall
- Intelliterm
- Hihavavov
- Suspicious.Cloud.9
- MYPCBackup
- Optimizer Pro
- ….m.fl.
För att förtydliga så är det inte FileZilla som sådant som inkluderar dessa skräpprogram, utan det är just via den downloader man får om man använder den primära nedladdningslänken. Det är dock genom ett samarbete mellan FileZillas Tim Kosse och SourceForge som detta sker, där Tim Kosse är fullt medveten om detta. Troligen för egen ekonomisk vinning. Det är vanligt att man får, låt säga $1/per installation med dessa typer av installationspaket.
Identifiera elak installationsfil
Vill man trots vetskapen och riskerna fortfarande ladda ner FileZilla så kan man fortfarande ladda ner en ren version av FileZilla, men det kräver att man är riktigt uppmärksam. På FileZillas nedladdningssida visas länken till den elaka installationsfilen som ”rekommenderad”, dvs. den fil man normalt skulle tänka är den man vill ladda ner. Man behöver istället klicka på ”Show additional download options” på nedladdningssidan, sidan som visas där länkar till dom rena installationsfilerna.
Är man osäker på vilken fil man fått ner, med tanke på att dom heter exakt samma sak (ytterligare en ful grej) så är filstorleken en ledtråd. Den elaka installationsfilen är på runt 6-700KB medan det rena installationsfilen är på runt 6.2MB. Den rena filen är alltså markant större. Dom flesta vettiga antivirusskydden kommer att stoppa nedladdningen. Man bör alltid vara väldigt försiktig med denna typen av downloaders, ladda alltid ner det faktiska programmet istället för omvägar som dessa.
Alternativ
Har man inte redan gjort det så bör man verkligen fundera på om man vill stödja ett projekt som visar så pass dåligt ansvar gentemot communityn och sina användare. Ett projekt där huvudansvarig tjänar pengar på att med uppsåt infekterar sina användare med skräpprogram.
Det finns alternativ till FileZilla. Både gratis- och betalprogram. Några exempel.
- WinSCP – http://winscp.net – Gratis, Windows
- Cyberduck – https://cyberduck.io – Gratis, Windows & Mac
FlashFXP – http://www.flashfxp.com – $29.95 / Gratis via TrailPay, Windows- CuteFTP – http://www.cuteftp.com – $59.99, Windows
- Transmit – http://panic.com/transmit/ – $34, Mac
Lämna FileZilla nu!
Man bör lämna FileZilla, avinstallera det och inte föreslå det som FTP-klient till andra. Det finns flera bra FTP-klienter, några av dom nämnda ovan, som är mer än fullgoda alternativ. Vill man hjälpa till med att varna andra så kan man rapportera nedladdningarna av downloadern hos Google (rapportera urlerna https://filezilla-project.org/download.php?type=client och http://sourceforge.net/projects/filezilla/)
Uppdatering (2015-06-15)
Downloadern som var nedlusad med en massa skräp som nämnt ovan verkar inte längre användas, åtminstone inte för Filezilla (ska låta det vara osagt var förändringen har skett). Man får nu även den rena installationsfilen via den primära nedladdningslänken. Man ska nog dock ta sig en funderar innan man fortsätter använda / väljer att använda Filezilla. Att använda dessa typer av downloaders har under hela tiden varit ett aktivt val för ansvariga bakom mjukvaran. Filezillas Tim Kosse har under hela tiden detta försiggick varit fullt medveten om vad som skett. Han har aktivt satt användarna säkerhet åt sidan för egen vinning. Man ska veta att detta inte är första gången heller. Är det ett projekt du vill stödja?
Uppdatering (2020-01-20)
Tim Kosse är fortfarande i farten med denna skit. Det här är en person som fullständigt skiter i folks säkerhet. Han gör om samma sak gång efter annan. Det gör att så länge Tim finns med i projektet som bör man aldrig använda Filezilla, oavsett om man gillar programmet som sådant eller inte. Den här typen av agerande ska inte premieras på något sätt!
En gång kan kanske ses som ingen gång, två gånger är direkt korkat, flera gånger är systematiskt korkat. Var säkra!
Fler källor har lagts till.
Källor:
FileZillas forum [1] [2] [3] [4] [5] [6] [7] [8]
http://sourceforge.net/projects/filezilla/?stars=1#reviews-n-ratings
http://en.wikipedia.org/wiki/FileZilla#Criticism
http://sourceforge.net/p/forge/site-support/9906/
https://sourceforge.net/blog/today-we-offer-devshare-beta-a-sustainable-way-to-fund-open-source-software/
https://www.reddit.com/r/sysadmin/comments/8t9dku/unverified_binaries_fetched_and_executed_with/
