pcAnywhere mye brukt av hackere

En undersøkelse blant åpent tilgjengelig hacker-litteratur tyder på at Symantecs program for fjerntilgang, pcAnywhere, gjerne brukes i forbindelse med snoking. Snokerne har erfaring for at brukerne ofte overser programmets sikkerhetsegenskaper.

Diskusjonen om hackere og pcAnywhere ble reist da Symantecs representant i Norge, Henrik Vaage, sendte et leserinnlegg til digi.no der han skrev at "Symantec har nedlagt vesentlige utviklingskostnader i å sikre at pcAnywhere ikke kan benyttes til å ta over PC-ene til 'uvitende' brukere." (Se peker til artikkelen "pcAnywhere kan ikke misbrukes".) Vaage reagerte på en artikkel som sammenliknet pcAnywhere med det beryktede gratisverktøyet Back Orifice 2000 fra hackergruppa Cult of the Dead Cow.

Vaages poeng er at "Brukerne blir varslet hver gang en pcAnywhere-vert startes på deres PC uten at sikkerhetsfunksjoner er aktivert."

Dette betviles ikke. Men en gjennomgang av åpent tilgjengelig hacker-litteratur viser at det er ikke slik datasnokere tenker. Deres hensikt er ikke først og fremst å overta klientmaskiner, men tjenere. Materialet tyder på at en dårlig sikret tjenerinstallasjon av pcAnywhere er noe av det datasnokere leter etter når de jakter på svakheter de kan utnytte.

Et dokument som går igjen i flere utgaver er "Unofficial Netware Hack FAQ", altså uoffisiell liste over spørsmål og svar for dem som ønsker å bryte seg inn i Netware. Her framstilles bruken av pcAnywhere til å komme i kontakt med en tjener som første skritt. Deretter installeres en pakkesnuser, og ulike knep benyttes for å få den systemansvarlige til å taste et passord på et gitt tidspunkt. Blant disse knepene er en type kjent som "social engineering". Snokeren kan blant annet ringe og utgi seg for å være en nyansatt og ubehjelpelig bruker.

BugTraq finnes en diskusjon mellom en representant for en tysk hackergruppe og en utvikler hos sikkerhetsselskapet Sandstorm. Diskusjonen gjelder en sammenlikning mellom hackergruppas utlagte gratisverktøy THC-SCAN og Sandstorms sikkerhetsrevisorverktøy PhoneSweep. Det er et kjent fenomen at hackerverktøy og sikkerhetsrevisorer har mange av de samme egenskapene. Begge søker å kartlegge svakheter i vernet rundt IT-systemer.

PhoneSweep skryter av at verktøyet kan innstilles på automatisk oppringing av en mengde telefonnumre, at det kan identifisere 120 ulike systemer for fjerntilgang hvis det får kontakt med en tjener - blant dem er Microsoft RAS, CarbonCopy og pcAnywhere - og så bryte seg gjennom disse med en egen "integrated brute-force engine".

Til dette svarer hackeren: "De siste tre år har jeg mottatt omtrent 60 e-post-meldinger fra folk som ber om nettopp denne egenskapen, altså automatisk identifisering og automatisk hacking. Det er trivielt å implementere dette. Jeg har et klart motiv for ikke å gjøre det. Om jeg gjorde det, kan ethvert barn uten noen form for kunnskap hacke/cracke ethvert system der egenskapen default accounts er slått på... Du kaller mitt program ondsinnet. Ditt er skrevet av djevelen selv."

AntiOnline er det en diskusjon om pcAnywheres "IP discovery protocol" (her er programmet forkortet til PCA). Dette er et opplegg som gjør at pcAnywhere-klienten kan automatisk oppspore verter på et gitt nettverk. Diskusjonen ble utløst av en innsender som ba om kommentarer da han ble oppringt av sin Internett-tilbyder. Tilbyderen lurte på hvorfor en av vedkommendes brukere nyttet pcAnywhere til å skanne etter tjenere hos en annen av tilbyderens kunder. Innsenderen fikk svar på hvordan pcAnywhere kunne innstilles slik at tjeneren ikke var tilgjengelig på denne måten.

Slashdot.org ble et leserinnlegg til webutgaven av amerikanske Computerworld lagt ut til diskusjon. Leserinnlegget fortalte om et tilfelle da pcAnywhere ble testet på et lokalnett. I testen inngikk et forsøk på å bruke pcAnywhere for å fjerntilgang til en bestemt maskin på jobben fra en hjemme-PC over Internett. Leseren forteller at han plutselig fikk tilgang til seks pcAnywhere-klienter, hvorav bare en var på hans eget nettverk. En av disse var ikke beskyttet av passord.

Forklaringen på at slikt er mulig, ifølge resten av diskusjonen, er at pcAnywhere-klienten kan innstilles slik at den kringkaster en appell om å få tilbakemeldinger fra alle tilgjengelig pcAnywhere-tjenere. Denne egenskapen er positiv for den bruken pcAnywhere er tiltenkt. Men den krever at de som håndterer fjerntilgang med dette programmet, også må sette seg inn i alle sikkerhetsinnstillingene.

Denne kommentaren fra Slashdot-diskusjonen er ganske treffende: "Hacking går stort sett ut på å dra nytte av andres latskap."

Til toppen