BackOrifice 2000
BackOrifice 2000: un tool molto "particolare"
In una tesina incentrata sui trojan horse ed i rootkit, BackOrifice merita una piccola discussione a parte. Ci è sembrato doveroso
citare uno dei tool più controversi e diffusi che, sebbene non strettamente rispondente alla definizione di trojan horse data
in precedenza, risulta essere per lo meno "ambiguo".
BackOrifice 2000 (che, per brevità, verrà indicato con BO2k) è la versione più aggiornata di BackOrifice (risalente al 1998)
e liberamente scaricabile dal sito bo2k.sourceforge.net.
A detta dei suoi ideatori (The Cult of the Dead Cow) BO2k è il "più potente tool di amministrazione remota esistente
per sistemi Windows 9x".
Questa definizione, già da sola, dovrebbe far capire lo scopo per cui si suppone si debba usare BO2k.
Tuttavia, la potenza di BO2k, combinata alla fragilità strutturale di Windows 9x, può consentirne un uso inevitabilmente
improprio da parte degli hacker. Da qui si capisce il senso di tutta la sua "particolarità".
BO2k si basa sull'architettura Client-Server descritta nella sezione dedicata ai trojan e consta essenzialmente di tre file:
- bo2k.exe - Il programma Server;
- bo2kcfg.exe - Il programma di configurazione del Server;
- bo2kgui.exe - Il programma Client;
Quando è attivo, BO2k riesce a "nascondersi" al sistema operativo, infatti, non compare nella lista dei task in esecuzione.
Inoltre, esso modifica il Registro di Configurazione di Windows al fine di essere lanciato ad ogni avvio del sistema.
Quindi, come è facile intuire, se BO2k viene installato su di un PC all'insaputa del legittimo proprietario, accorgersi
della sua presenza diventa un'impresa ardua se ci si avvale solo degli usuali comandi di sistema.
Di seguito sono elencate solo alcune delle decine di funzionalità offerte da BO2k:
- Ping : per inviare (come suggerisce il nome) un ping alla macchina Server, in modo tale da capire se quest'ultima è
connessa;
- Reboot Machine : per riavviare la macchina Server;
- Lock-up Machine : per bloccare completamente la macchina Server;
- List Passwords : per elencare le password memorizzate nella cache di Internet Explorer;
- Get System Info : per raccogliere informazioni circa la macchina Server;
- Log Keystrokes : per catturare la digitazione dei caratteri sulla tastiera, memorizzandoli in un file di testo;
- System Message Box : per far apparire a video una finestra di dialogo contenente un particolare messaggio;
- Map Port -> [Other IP, Console App, HTTP Fileserver, TCP File Receive] : per redirigere tutto il traffico da una determinata
porta ad un'altra destinazione;
- Add/Remove Share : per aggiungere/eliminare una risorsa condivisa sulla macchina Server;
- List Processes : per elencare i processi correntemente attivi sulla macchina Server;
- Start Process : per eseguire un'applicazione sulla macchina Server;
- Kill Processes : per terminare un processo avente un determinato ID;
- Capture Video Still/AVI : per catturare un'immagine o un video da una webcam;
- Play WAV File : per riprodurre un determinato file audio sulla macchina Server;
- Find/View/Delete/Rename/Copy/Move File : per gestire le operazioni con i file;
- ...e molti altri !
BO2k risulta altamente configurabile, sia mediante il file bo2kcfg.exe, che mediante l'installazione di plug-in ad esso
dedicati. Un plug-in di BO2K è un programma supplementare che ne amplia le funzioni.
Tra i tanti plug-in esistenti, sono da segnalare:
- BO_Peep : è un plug-in che consente di vedere sullo schermo della macchina dell'amministratore ciò che compare
sullo schermo della macchina da amministrare. Inoltre, permette di prendere il controllo della tastiera e del mouse della
macchina Server.
- Butt Trumpet : con questo plug-in, ogni volta che la macchina da amministrare si collega a Internet, è possibile
spedire all'amministratore un e-mail contenente il suo indirizzo IP. Conoscere l'IP della
macchina da amministrare è basilare per poterla poi "telecomandare" a distanza.
- CAST-256 Encryption : è il plug-in che implementa l'algoritmo di crittografia CAST-256, grazie al quale è
possibile cifrare tutti i dati inviati e ricevuti da BO2k.
Per concludere, BackOrifice 2000 ha raggiunto due scopi: ha esteso la capacità dell'amministrazione remota dei sistemi
Windows 9x e ne ha dimostrato la debolezza intrinseca, mostrando quanto sia facile prendere il controllo completo di una
macchina che usi tale sistema operativo.
La sua esistenza ha indotto Microsoft a migliorare la sicurezza dei propri prodotti e ha instillato negli utenti la
consapevolezza che Internet non è un posto sicuro e che il rischio di intrusioni informatiche è assolutamente
reale.