S o f t v e r
PC home - osnovna strana

Čuvajte se Back Orifice-a!

Jedan trojanac ozbiljno ugrožava korisnike Interneta: Back Orifice je prava tempirana bomba koja, ako ste zaraženi, omogućava bilo kom zlonamernom hakeru u svetu da radi šta god hoće sa vašim računarom. Opasnost je itekako realna, jer je Back Orifice prisutan i u našim krajevima...  

Dejan Ristanović


Pre dva meseca časopis "PC" je pisao o Back Orifice trojancu, ali tada je program izgledao kao jedna od mnogih pretnji koje, srećom, retko postaju realnost; otprilike kao neki od mnogih sigurnosnih propusta Internet Explorer-a. U međuvremenu su stvari postale ozbiljne: mnogi korisnici Interneta žale se da ih nepoznati hakeri, iz zemlje iz inostranstva, po više puta dnevno "skeniraju" tražeći Back Orifice na njihovom sistemu, a oni koji su na tu "minu" već naleteli, možda i ne znaju šta ih sve snalazi. Zato opasnost treba shvatiti veoma ozbiljno i odmah preduzeti zaštitne mere.

Šta je Back Orifice?

Opasnost, za početak, treba razumeti: Back Orifice je program koji je napisala hakerska grupa "Kult mrtve krave" (The Cult of Dead Cow). Program je dobro napisan i, naoko, koristan: omogućava daljinsko upravljanje računarom na koga je instaliran. Programe slične namene prave i mnoge renomirane firme i oni su osnova mnogih intranet sistema. Međutim, Back Orifice je namerno pisan tako da se instalira lako, kao virus, bez ikakvih kontrolnih pitanja, i omogućava spoljnu kontrolu udaljenog računara bilo kome, bez navođenja lozinke ili bilo kakve sigurnosne provere. Osim toga, program se ne pojavljuje u listi taskova, a i samo ime fajla je sakriveno - obično se vidi kao .EXE, bez prvog dela naziva. Kada se tome doda uslužni program koji omogućava da se Back Orifice pridoda bilo kom drugom, klasičnom programu, jasno je da priče autora o navodnim "najboljim namerama" predstavljaju tek pokušaj izbegavanja odgovornosti - ovo je prvi ovako opasan program čiji je autor poznat, pa će to verovatno biti i test za (američki) pravosudni sistem.

Back Orifice

Jedini način da se zarazite Back Orifice-om jeste da startujete neki program zaražen njim. To može da bude uslužni program koji ste preuzeli sa Interneta, piratski CD, program koji ste dobili od poznanika, pa čak i "novi alat koji uklanja Back Orifice". Sećajući se ranijih situacija kada su se virusi nalazili čak i na disketama sa drajverima koji su stizali uz neke (manje poznate) uređaje, ne treba isključiti ni ovaj vid širenja virusa. Ukratko, svaki novi program koji stigne treba pažljivo testirati pre upotrebe. Ni to vam, nažalost, ne garantuje potpunu bezbednost, jer se već pojavljuju i "mutacije" Back Orifice-a.

Ako startujete zaraženi program, u vaš sistemski direktorijum biće prekopiran Back Orifice Server čije će ime obično biti .EXE (mada onaj ko je pripremao "bombu" može da izabere i bilo koje drugo ime), dok će program koji je nosio na sebi parazita nastaviti da radi sasvim normalno, pa verovatno nećete ni primetiti šta se dogodilo. Back Orifice Server se automatski aktivira pri svakom sledećem startovanju računara, kao servis naveden u registry bazi, u okviru ključa:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Kako ga hakeri pronalaze?

Instalirani Back Orifice Server, sam po sebi, ne predstavlja nikakvu smetnju za rad računara. Problemi počinju kada se priključite na Internet: server tada "osluškuje" saobraćaj na portu 31337 (mada može biti konfigurisan i da osluškuje bilo koji port) i čeka da mu se javi "gospodar". "Gospodar" ne mora da bude onaj ko vam je podmetnuo virus - bilo koji haker na svetu može da "nanjuši" Back Orifice na vašem računaru i preuzme kontrolu nad njim. Postoji i mogućnost da neko spremi Back Orifice specijalno za vas (u kom slučaju će samo on moći da ga kontroliše, navodeći odgovarajuću lozinku), ali ste u većini slučajeva otvoreni za bilo čije napade.

Hakeri razmerno lako pronalaze računare zaražene Back Orifice-om: znajući liste IP adresa koje provajderi dodeljuju korisnicima (tzv. IP pool), oni pokreću program koji skenira te adrese jednu po jednu, u potrazi za žrtvom. Čim naiđu na takav računar, preuzimaju kontrolu nad njim i "igra" počinje... Nemojte misliti da se to dešava samo nekom drugom: preuzmite i startujte program NOBO (web.cip.com.br/nobo/) koji će biti rezidentan i pratiti vaš saobraćaj sa Internetom, uočavajući trenutak kada vas neko "skenira". Začudićete se kada vidite koliko vas puta skeniraju, sa dial-in linija domaćih provajdera, iz Hrvatske, iz Amerike...

Haker koji vas je pronašao preuzima kontrolu nad vašim računarom koristeći tekstualni ili grafički Back Orifice klijent koji je, zajedno sa serverom, lako dostupan na Internetu. Posle toga... sve je moguće!

Šta vam može?

Najjednostavnija, ali ne nužno i najneprijatnija stvar koja vam se može desiti jeste da haker naprosto "počisti" sadržaj vašeg diska, uništavajući vaše podatke, programe i sve ostalo. Maliciozniji hakeri svakako neće početi od toga: pregledaće vaš disk, preneti programe i fajlove koji ih zanimaju, možda selektivno uništavati vaše podatke ili ih neprimetno menjati, slati elektronsku poštu u vaše ime, blokirati povremeno vaš računar...

Naročito su neprijatne posledice kod računara koji su već umreženi: haker preko takvog računara može dobiti pristup do mrežnih resursa (u lokalnim mrežama, naročito u manjim firmama, svi diskovi su obično pristupačni svim korisnicima), a sigurno će biti pročitani svi fajlovi sa keširanim lozinkama koje postoje na vašem računaru. Haker će tako saznati vašu lozinku kod Internet provajdera, pa će trošiti vaše vreme i, što je još gore, verovatno drugima praviti štetu u vaše ime. Računar zaražen Back Orifice-om jednostavno nije više samo vaš.

Ako računar koristite za pristup nekim osetljivim informacijama i lozinke za takav pristup biće lako dešifrovane. Jer, Back Orifice je otvoren protokol: sposobniji haker može da napiše plug-in kojim će povećati njegovu "funkcionalnost" i prilagoditi ga konfiguraciji vaše mreže.

Kako da se zaštitite?

Na Mreži ćete pronaći mnoge programe koji detektuju i uklanjaju Back Orifice. Neki od njih su pogodni alati, drugi su samo zamka preko koje Back Orifice dolazi na vaš računar. Pročitaćete i mnogo saveta koji kažu da treba pretražiti AntiViral Toolkit Pro direktorijum Windows\System ili registry bazu, ali za početnika je najjednostavnije da se opredeli za zaokruženo rešenje: antivirusni program. Nevolja je samo u tome što isključivo najnovije verzije antivirusnih programa otkrivaju Back Orifice: stare verzije treba najpre dopuniti novim definicijama virusa, što nije uvek jednostavna operacija. Zato preporučujemo da odavde preuzmete AntiViral Toolkit Pro (bitno je da to bude najnovija verzija - neke starije možda ne detektuju ovaj virus), da ga instalirate i da on bude stalno aktivan. Posle toga, spavaćete mnogo mirnije.

Druga mogućnost zaštite je da odmah pređete na Windows NT - Back Orifice server je za sada napisan samo za Windows 95/98, a NT je i inače daleko "čvršći" i sigurniji operativni sistem. Čak i korisnici NT-a, međutim, treba da budu na oprezu, jer se lako može pojaviti Back Orifice (ili neki sličan program) i za njega. Zato treba koristiti samo originalni softver iz proverenih izvora, koristiti najnoviju verziju antivirusnog softvera i, ako sve to zakaže, uvek imati ažuran backup.


PC home - osnovna strana Novi broj|Arhiva|Pretrazivanje svih brojeva|O nama
Pretplatite se na PC|Postanite saradnik casopisa PC|Pitanja i komentari u vezi casopisa