Ziekte(s)
2/Oct 1998
Ik kan u geruststellen. Ik ben niet ziek. Nee, het heeft betrekking op vele PC's die aangesloten zijn op Internet. Regelmatig verschijnen er berichten in de media over nieuwe virussen die machines teisteren waarvan de eigenaar/beheerder niet veilig gesurfed heeft. Mijn advies is daarom nog steeds: "Draai geen software waar u de oorsprong niet van kent."
Wilt of kunt u zich daar niet aan houden, wees dan voorzichtig met het gebruik hiervan. Zorg minstens voor een goede, up-to-date virusscanner. Gebruik er bij voorkeur eentje van een gerenommeerd bedrijf.
Bovenstaande waarschuwing goldt tot voor kort eigenlijk alleen voor virussen. Virussen in computers zijn vergelijkbaar met virussen in levende wezens. Virussen zijn stukjes code, die een drager nodig hebben om te kunnen functioneren. Bij levende wezens bestaat het functioneren uit het infecteren van het levende organisme. Bij computers wordt de computer, in casu andere programma's, besmet. Een ziekteverwekker die tot voor kort wel bij levende wezens voor kwam, maar nog niet bij computers, is de bacterie (ook wel Trojan Horse genoemd).
Nu is er echter een bacterie, die computersystemen kan besmetten. Het onderscheid tussen een virus en een bacterie zit in het feit dat een bacterie een op zichzelf staand programma is. Het werkt in op de computer zonder iets te wijzigen in bestaande programma's. Dat maakt het zo moeilijk om hem te vinden. Bijna alle bestaande anti-virussoftware gaat uit van vreemde gedragingen van of wijzigingen in programma's.
De bacterie die nu Internet onveilig maakt, heet Back Orifice (BO). De naam is een parodie op Microsoft's Back Office. De bacterie komt mee met verschillende programma's die van Internet gedownload kunnen worden en op de PC geïnstalleerd worden. Tijdens de installatie van die software wordt onzichtbaar ook BO geïnstalleerd. Dit betekent dat losse programma's niet zo gevoelig zijn.
Wat maakt deze bacterie nu zo gevaarlijk? In de eerste plaats natuurlijk het feit dat er iets onbekends op je machine zit. Maar het probleem zit juist in de mogelijkheden die BO biedt aan iedereen die niet achter het toetsenbord zit. BO opent een poort op je eigen computer net als de mailserver poorten voor e-mail (SMTP en POP3) open heeft. Maar de software is niet zo onschuldig als een mailserver. Iedereen die de betreffende poort weet, kan via die poort op je computer binnen komen en vervolgens alles doen wat je zelf ook kan doen. Denk hierbij aan het toevoegen en verwijderen van files. Iemand kan dus een aantal files op je PC plaatsen en aan anderen de gegevens doorgeven, zodat die deze files weer op kunnen halen. Zo functioneert je computer als distributiecentrum voor misschien wel illegale zaken.
Maar hoe weet men nu welke computer en welke poort (er zijn er meer dan 64.000) bruikbaar is? In de eerste plaats gelden er een paar standaard poorten voor BO. Veel potentiele hackers scannen hele netwerken af op die poorten in de hoop een geïnfecteerde computer te vinden. Daarnaast is BO zeer modulair opgebouwd. Er zijn verschillende plug-ins voor beschikbaar. Bijvoorbeeld een plug-in die bij iedere verbinding met Internet het IP-adres en de poort mailt aan een bepaald adres. Maar er zijn ook plug-ins die die informatie meer openbaar maken, door de gegevens in een nieuwsgroep, op een webpagina of in een IRC-kanaal te plaatsen. Op dit moment wordt er gemiddeld meer dan 1 PC per seconde geïnfecteerd.
Back Orifice heeft in zijn relatief korte bestaan al gezorgd voor minstens één opmerkelijk feit. In principe wordt er door CERT namelijk nooit expliciet gewaarschuwd voor bepaalde virussen e.d.. Van deze richtlijn is afgeweken voor BO, omdat "de verspreiding en gevaren" zodanig zijn dat CERT meende het in dit unieke geval wel te moeten doen. Ook het bestuur van de Stichting heeft gemeend dat BO zo'n impact kan hebben dat het nodig is om er een Achterkrant aan te wijden.
Via de versie van deze Achterkrant op onze website kunt u meer informatie en anti-virus en anti-bacterie software vinden. Let er bij het download van die software wel op dat u op de originele site van de makers zit. Dit soort software is meestal een geliefd doelwit van virussen. Indien u zelf BO wilt gebruiken, bedenk dan dat gebruik hiervan meestal strafbaar is en dat we bij detectie of klachten op zullen treden.
Links
Meer informatie over Back Orifice is te vinden op de volgende sites:
De NTBUGTRAQ archieven
De BUGTRAQ archieven
De ISS Alert.
Hier ook meer informatie over NetBus. Tevens kunt u hier een
handmatige manier vinden om BO server op te sporen.
Meer info over detectie en verwijdering van Back
Orifice
Disclaimer
Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Foundation.