Back Orifice en reell trussel

Back Orifice, programmet som ble lansert av hackergruppen Cult of Dead Cow i forrige uke, holder det som har vært lovet. Til tross for at Microsoft hevder at programmet ikke er noen trussel, kan det blant annet gi uvedkommende adgang til passord.

Back Orifice ble utgitt 3. august under en hackersamling i Las Vegas for en drøy uke siden. Gruppen som står bak programmet, Cult of the Dead Cow (cDc), hevder å ha utviklet programmet for rette oppmerksomheten mot den svake sikkerheten i Microsofts operativsystemer.

Back Orifice skal ifølge cDc gjøre det mulig å gi brukere tilgang til filsystem, nettverksinformasjon, registeret og prosesser på andre datamaskiner. I tillegg skal programmet kunne overvåke nettverkstrafikk og lagre alle tastetrykkene som gjøres på tastaturet, inkludert brukernavn og passord.

Betingelsene for at dette skal virke, er at maskinene er koblet sammen i et TCP/IP-nettverk, for eksempel Internett, samt at de angrepne maskinene kjører Windows 95 eller Windows 98.

Microsoft hevdet likevel i forrige uke at programmet ikke utgjør noen som helst trussel, først og fremst fordi selskapet mener at det ikke er mulig å installere programmet uten at brukeren av maskinen er klar over det.

Back Orifice består av flere programmer, blant annet en serverdel og en klientdel. Serverdelen, som installeres på maskinen som man ønsker å overvåke, installeres enkelt ved hjelp av et installasjonsprogram. Dette kan for eksempel sendes som vedlegg til e-postmeldinger. Det er allerede blitt rapportert om slike tilfeller. Når serverdelen installeres, vil programmet automatisk starte opp neste gang den angrepne maskinen startes opp.

Back Orifice er ikke synlig i Windows sin oppgavebehandler (Task Manager). Derfor er det ikke mulig for en bruker å vite om Back Orifice er installert med mindre man leter etter det.

Klientdelen er det programmet inntrengeren bruker for å kontrollere serveren.

Før Back Orifice kom ut, var det en del spekulasjoner om at det hele var snakk om en skrøne, at programmet ikke ville greie det som ble lovet. Nå har utviklingsgruppen ved Internet Security Services, et selskap som lager sikkerhetsprogramvare for nettverk, testet Back Orifice, og selskapet hevder at det programmet greier å gjøre alt som det hevder å greie.

Nå er det heldigvis mulig å fjerne Back Orifice fra maskiner som er angrepet. I tillegg til at selskaper som Data Fellows og Network Associates har annonsert kommende eller allerede lanserte løsninger for dette i sine antivirusprogrammer kan man også gjøre jobben på egenhånd.

Serverdelen av Back Orifice består av en programfil som er omtrent 124.928 bytes stor. Denne filen kan ha forskjellige navn, men er av typen .exe. Denne blir under installasjonen lagt under windows\system-katalogen. Det første man bør gjøre er å se om man har en fil på denne størrelsen liggende på dette stedet. Har man det, og man ikke gjenkjenner filen som noe annet, er faren stor for at Back Orifice er installert. Det man må gjøre da, er å starte opp regedit, programmet man kan bruke for å gjøre endringer i registeret. Dette ligger under Windows-katalogen.

I regedit må man så finne fram til nøkkelen som heter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\RunServices.

Denne kan ha flere verdier og verdinavn. Det man må gjøre er å se om en av verdiene heter det samme som programfilen man har funnet i systemkatalogen. Hvis dette ikke er tilfelle, skal man ikke gjøre noe som helst. Samsvarer derimot navnene, må man først slette verdien i registeret, og så, etter å ha startet maskinen på nytt, slette programfilen, enten fra DOS eller Windows. Da vil Back Orifice ikke lenger fungere.

Det kan likevel være smart å installere hele systemet på nytt, inkludert formatering av disken, siden Back Orifice godt kan være bare en del av angrepet.

Brukere som ønsker å teste ut Back Orifice på sitt system, kan hente programmet på nettstedet til cDc. Det er nå også utgitt en Unix-klient av programmet.

Til toppen