EL AGUJERO MÁS NEGRO LLEGA A ESPAÑA
Aparecen los primeros casos de afectados por el peligroso programa Back Orifice
Mercè Molist
Hasta ahora, sólo lo conocían
los hackers españoles más avanzados y con contactos en Estados
Unidos, de donde es originario el Back Orifice (BO). Sin usarlo contra
nadie, lo habían desarmado y comentaban entre ellos, maravillados,
la potencia y capacidad de este pequeño programa de control remoto
de ordenadores.
Pero, hace unas semanas, alguien envió
al grupo de noticias es.binarios.sonido.mp3 una versión actualizada
del programa reproductor de archivos musicales WinAmp. Todo el mundo corrió
a bajárselo para darse cuenta, posteriormente, que era un "troyano"
(un programa que contiene otro programa malicioso) del Back Orifice.
Casi al mismo tiempo, en otro grupo,
es.comp.hackers, se publicaba un manual con toda la información
sobre el BO y cómo colarlo en ordenadores ajenos: "Truco fácil:
renombrar boserve.exe a fotos.exe. Si ya tienes algo de confianza con la
víctima en cuestión lo aceptará sin mayores problemas".
Una vez el programa está en
el ordenador atacado, deja una puerta trasera abierta y, sólo con
conocer su dirección IP (Internet Protocol), el atacante puede hacer
lo que quiera y muy fácilmente, como si él mismo estuviese
frente a la máquina: ver su disco duro, borrar o copiar archivos,
espiar las teclas que se aprietan, capturar contraseñas, ejecutar
archivos y programas, leer el correo electrónico, ver lo que hay
en la pantalla, desconectar el ordenador de la red e incluso apagarlo.
Y, así, el BO se ha extendido
como mancha de aceite sobre todo por los canales de chat del ciberespacio
hispano. ^DeLuX^ (prefiere aparecer con su apodo), veterano cibernauta,
fue una de las primeras víctimas, hace un mes: "Entonces, nadie
lo conocía. Un amigo estaba probando un cortafuegos y pidió
un parche. Una amiga se lo pasó, en privado, y a mi también,
y resultó ser el BO. Después ¡ella me abrió
el cdrom!".
^DeLuX^ reconoce que el IRC (Internet
Relay Chat) está lleno de gente infectada: "Lo camuflan en un archivo
que tiene el nombre del programa de verdad, con el icono y todo. Se ponen
en canales donde la gente pide este programa usualmente y se lo pasan".
Aunque, después, lo usan sólo para hacer pequeñas
bromas: "No sé de nadie que se dedique a borrar cosas o colgar PCs,
simplemente entran y pillan lo que quieren".
Pero los expertos en seguridad no
se lo toman con tanta alegría. Lo califican de "plaga", "alimaña"
y "peligrosísimo". Alguien lo ha llamado: "El sueño de un
hacker y la pesadilla de un net-ciudadano". José Manuel Tella, físico
e informático que lo ha estudiado de cerca, asegura que es una "auténtica
revolución, va a ser lo peor que existe".
Según Tella, el BO representa
"una nueva filosofía de no sólo romper un ordenador sino
tomar el control de él, sin hacer notar para nada su presencia.
Un virus te destroza el PC y ya está, pero esto es un agujero de
seguridad que puede colarse en una red importante, bancaria por ejemplo.
Además, cualquier programador de nivel medio puede tardar de tres
a cuatro horas en hacerse un BO personalizado y, por tanto, indetectable".
Es, además, una arma de doble
filo para los propios atacantes ya que el programa cliente, con el que
entran en los ordenadores infectados, envía toda su información,
contraseñas incluidas, junto con la que han sacado de los atacados,
a una página web llamada Netninja, los responsables de la cual aseguran
no saber nada.
Tal maravilla de programa es obra
del reputado grupo Cult of the Dead Cow, quien lo presentó en sociedad
el pasado 3 de agosto, durante la reunión anual de hackers DefCon,
y lo puso a disposición del público en su página,
de donde se lo han bajado ya más de 200.000 personas. Un mes después,
salieron los primeros programas que lo detectan y eliminan. Pero, entre
ellos, había también algunos "troyanos", como el BoSniffer
que, una vez instalado, envía el ordenador a un canal de chat, llamado
#BO_OWNED, donde informa a todo el mundo de su dirección IP.
Back Orifice es un ataque frontal
a Microsoft, ya que sólo actúa en máquinas con Windows
95 o Windows 98 aunque, después del revuelo, se ha puesto de actualidad
otro programa parecido de control remoto, que existía ya antes y
que afecta también a Windows NT: Netbus. La respuesta de Microsoft
al BO ha sido publicar en su boletín de seguridad que "éste
es un buen ejemplo de porque los consumidores deben ir con cuidado a la
hora de acceder, bajarse e instalar programas de Internet".
Pero Cult of the Dead Cow no lo tiene
tan claro: "Gracias a diversos fallos de seguridad y configuraciones erróneas
del sistema, existen varios métodos para enviar y ejecutar códigos
arbitrarios en Windows. Además, es muy fácil dar razones
al usuario medio de Windows para que se baje e instale programas de lugares
no fiables. Sucede muchas veces". Para descubrirlo, se aconseja poner el
ordenador, conectado a la red, en Msdos y teclear: netstat -an | find "UDP".
Si sale un puerto 31337 o parecido, el BO está dentro.
Programas desinfectantes
Antigen Http://www.antionline.com/SpecialReports/backorifice/antigen.zip
Back Orifice Eliminator.
Http://www.bardon.com
Back Orifice Remover Http://members.xoom.com/SmokeSoft/download.htm
BoDetect. Http://www.spiritone.com/~cbenson/current_projects/backorifice/backorifice.htm
HOW DOES IT WORK
1. El Back Orifice consiste realmente
en dos programas: un servidor y un cliente. El servidor es la puerta trasera
que permite entrar al atacante, armado con el cliente.
2. Se envía el servidor de
BO a la víctima, por IRC (chat), ICQ o como un documento adjunto
de correo electrónico, camuflado
*dentro de otro programa
*con el nombre de otro programa (por
ejemplo, como si fuese una postal en movimiento)
*dentro de un enlace de web, con una
aplicación Java que permite al programa ejecutarse
3. Una vez instalado sin que
la víctima se de cuenta, permanece disimulado en el ordenador y
se activa cada vez que el ordenador se conecta a Internet. Entonces, deja
libre el puerto 31337 o similares (3000 y algo).
4. El atacante, con su
programa cliente, escanea las direcciones IP de personas conectadas a la
red, a la búsqueda de los que tenga abierto este puerto.
5. Cuando encuentra a uno, sólo
tiene que decidir qué quiere hacerle, de un menú prefijado
en el programa cliente:
*ver lo que hay en la pantalla
*ver lo que está tecleando
*instalar, desinstalar y ejecutar
programas o "plugins"
*apagar y reiniciar el ordenador
*ver las contraseñas guardadas
*ver y editar el registro del sistema
*conectar y desconectar la máquina
de redes
*mostrar, copiar y borrar archivos
*comprimir y descomprimir archivos
*capturar video, audio e imágenes
*crear cuadros de diálogo,
etc