Ongewenste intimiteiten
door Erwin van der Zande 17:08:98 Ik stuur via ICQ mijn IP-adres op naar Dick. "Heb je het programma al geopend?" schrijft hij terug. Ik dubbelklik op boserve.exe. En er gebeurt helemaal niks. Totdat een minuut later plotseling Netscape wordt afgesloten. Ik hoor system sounds die worden afgespeeld. Maar niet door mij. Netscape opent zich weer en gaat uit zichzelf naar de Nederlandse site van de Playboy. Dick stuurt per ICQ een url op. 'Mijn Computer' staat open en bloot op het net. Ik bel hem op. "Genoeg getest, Dick, ik heb er nu wel een idee van wat dit programma kan." Hij kan er echter geen genoeg van krijgen en geniet van de controle over de personal computer van een ander. "Hoe stop ik dit, Dick? Het is leuk geweest. ... Dick?" Om het machtsgevoel zelf te ervaren stuur ik de trojan horse op naar een andere kennis, Joost, vergezeld van de boodschap: "Dit moet je even bekijken! Klik op boserve.exe." Joost vermoedt niks totdat zowel Dick als ik zijn computer zijn gepenetreerd. Ik heb Joost aan de lijn. "Hé, wat krijgen we nou?! ... Huh? ... Wat gebeurt hier?" Hij gaat offline en herstart zijn computer. "Hé, mijn start-up scherm is veranderd! Okay, wát is hier aan de hand?" Twee weken geleden presenteerde de hackersgroep Cult of the Dead Cow op DefCon VI een nieuwe trojan horse genaamd Back Orifice (vrij vertaald: achterdeur). Het kraakprogramma is geschreven om de zwakke beveiliging van Windows 95 en 98 computers aan te tonen. Het ziet er op het eerste oog onschuldig uit. Een paar bestanden waaronder een server, een client en versie van de client met een grafische interface. Activeer je echter boserve.exe, dan zet je je computer wagenwijd open voor iedereen die jouw IP-adres weet en op zijn eigen computer boclient.exe start. De truc is dat Back Orifice, door de makers ironisch een remote administration system genoemd, zich vrijwel onzichtbaar in je windows/system directory nestelt. En iets wat je niet ziet, kun je ook niet afsluiten. De 'remote administrator' heeft nagenoeg dezelfde controle over de computer als zijn eigenaar. Hij kan bestanden verwijderen, aanmaken, of kopiëren. Hij kan de eigenaar 'afluisteren' door screenshots te nemen van de desktop, opgeslagen wachtwoorden te bekijken of een logfile te maken van alles wat de eigenaar via zijn toestenbord invoert. Hij kan er zelfs voor zorgen dat de eigenaar zijn computer niet offline kan zetten. Aan de inbreker is de keuze of hij zich kenbaar maakt. Hij kan de eigenaar onopvallend schaduwen of zijn computer verkrachten waar hij bij zit. Herstarten helpt niet. Zodra de eigenaar weer online is, heeft de inbreker weer toegang. Een dynamisch IP-adres is binnen enkele seconden door Back Orifice getraceerd. "Dit is heel eng", zegt Joost.
De achillespees van Back Orifice is de server die door het slachtoffer geactiveerd moet worden. Gebeurt dat niet, dan is het kraakprogramma ongevaarlijk. Bovendien moet Back Orifice eerst op de computer van het beoogde slachtoffer terecht komen. Tenzij de inbreker fysiek toegang heeft, moet het via internet worden opgestuurd. De meest voor de hand liggende manier is het programma als attachment naar het slachtoffer te mailen. In de hoop dat de ontvanger zo stom is om het openen. Maar stel dat boserve.exe ook nog eens wordt vermomd. Als pamela.exe vergezeld van de boodschap "Watch Pamela take off her clothes! :))" Wat is sterker, de nieuwsgierigheid of de argwaan? Microsoft bagatelliseert het gevaar: "Back Orifice does not expose or exploit any security issue in Windows. (..) Back Orifice could introduce security vulnerabilities in the system on which it is installed, but, as with all other software, a user must make the choice to install it. Anytime a user installs software from unknown or untrusted sources, they risk compromising their system." De strekking klopt maar is niet helemaal waar. Back Orifice hoeft niet geinstalleerd te worden. Je hoeft alleen maar boserve.exe te openen. Een belangrijk verschil volgens de Cult of the Dead Cow. Back Orifice is overigens niet alleen. Net Bus is een trojan horse met een vergelijkbare werking. Gemaakt om geintjes mee uit te halen en niet om systematisch mensen via internet of een lokaal netwerk lastig te vallen, aldus de makers. Maar het is naïef om te veronderstellen dat dat niet gebeurt. Ben je geïnfecteerd of heb je een vermoeden, dan zijn er inmiddels anti-virus programma's om Back Orifice te verwijderen. Je kunt bij Central Command terecht of bij Fresh Software. Back Orifice is openbaar gemaakt maar andere onverlaten kunnen hun trojan horse geheim houden, vermommen en de wereld in sturen. Het is daarom aan te raden nooit onbekende bestanden te openen, zelfs niet van bekenden. Joost kan het weten: "Dit is heel erg eng." |
© 1998 Planet Internet. Alle rechten voorbehouden.