EL AGUJERO MÁS NEGRO LLEGA A ESPAÑA

Aparecen los primeros casos de afectados por el peligroso programa Back Orifice

Mercè Molist
Hasta ahora, sólo lo conocían los hackers españoles más avanzados y con contactos en Estados Unidos, de donde es originario el Back Orifice (BO). Sin usarlo contra nadie, lo habían desarmado y comentaban entre ellos, maravillados, la potencia y capacidad de este pequeño programa de control remoto de ordenadores.
Pero, hace unas semanas, alguien envió al grupo de noticias es.binarios.sonido.mp3 una versión actualizada del programa reproductor de archivos musicales WinAmp. Todo el mundo corrió a bajárselo para darse cuenta, posteriormente, que era un "troyano" (un programa que contiene otro programa malicioso) del Back Orifice.
Casi al mismo tiempo, en otro grupo, es.comp.hackers, se publicaba un manual con toda la información sobre el BO y cómo colarlo en ordenadores ajenos: "Truco fácil: renombrar boserve.exe a fotos.exe. Si ya tienes algo de confianza con la víctima en cuestión lo aceptará sin mayores problemas".
Una vez el programa está en el ordenador atacado, deja una puerta trasera abierta y, sólo con conocer su dirección IP (Internet Protocol), el atacante puede hacer lo que quiera y muy fácilmente, como si él mismo estuviese frente a la máquina: ver su disco duro, borrar o copiar archivos, espiar las teclas que se aprietan, capturar contraseñas, ejecutar archivos y programas, leer el correo electrónico, ver lo que hay en la pantalla, desconectar el ordenador de la red e incluso apagarlo.
Y, así, el BO se ha extendido como mancha de aceite sobre todo por los canales de chat del ciberespacio hispano. ^DeLuX^ (prefiere aparecer con su apodo), veterano cibernauta, fue una de las primeras víctimas, hace un mes: "Entonces, nadie lo conocía. Un amigo estaba probando un cortafuegos y pidió un parche. Una amiga se lo pasó, en privado, y a mi también, y resultó ser el BO. Después ¡ella me abrió el cdrom!".
^DeLuX^ reconoce que el IRC (Internet Relay Chat) está lleno de gente infectada: "Lo camuflan en un archivo que tiene el nombre del programa de verdad, con el icono y todo. Se ponen en canales donde la gente pide este programa usualmente y se lo pasan". Aunque, después, lo usan sólo para hacer pequeñas bromas: "No sé de nadie que se dedique a borrar cosas o colgar PCs, simplemente entran y pillan lo que quieren".
Pero los expertos en seguridad no se lo toman con tanta alegría. Lo califican de "plaga", "alimaña" y "peligrosísimo". Alguien lo ha llamado: "El sueño de un hacker y la pesadilla de un net-ciudadano". José Manuel Tella, físico e informático que lo ha estudiado de cerca, asegura que es una "auténtica revolución, va a ser lo peor que existe".
Según Tella, el BO representa "una nueva filosofía de no sólo romper un ordenador sino tomar el control de él, sin hacer notar para nada su presencia. Un virus te destroza el PC y ya está, pero esto es un agujero de seguridad que puede colarse en una red importante, bancaria por ejemplo. Además, cualquier programador de nivel medio puede tardar de tres a cuatro horas en hacerse un BO personalizado y, por tanto, indetectable".
Es, además, una arma de doble filo para los propios atacantes ya que el programa cliente, con el que entran en los ordenadores infectados, envía toda su información, contraseñas incluidas, junto con la que han sacado de los atacados, a una página web llamada Netninja, los responsables de la cual aseguran no saber nada.
Tal maravilla de programa es obra del reputado grupo Cult of the Dead Cow, quien lo presentó en sociedad el pasado 3 de agosto, durante la reunión anual de hackers DefCon, y lo puso a disposición del público en su página, de donde se lo han bajado ya más de 200.000 personas. Un mes después, salieron los primeros programas que lo detectan y eliminan. Pero, entre ellos, había también algunos "troyanos", como el BoSniffer que, una vez instalado, envía el ordenador a un canal de chat, llamado #BO_OWNED, donde informa a todo el mundo de su dirección IP.
Back Orifice es un ataque frontal a Microsoft, ya que sólo actúa en máquinas con Windows 95 o Windows 98 aunque, después del revuelo, se ha puesto de actualidad otro programa parecido de control remoto, que existía ya antes y que afecta también a Windows NT: Netbus. La respuesta de Microsoft al BO ha sido publicar en su boletín de seguridad que "éste es un buen ejemplo de porque los consumidores deben ir con cuidado a la hora de acceder, bajarse e instalar programas de Internet".
Pero Cult of the Dead Cow no lo tiene tan claro: "Gracias a diversos fallos de seguridad y configuraciones erróneas del sistema, existen varios métodos para enviar y ejecutar códigos arbitrarios en Windows. Además, es muy fácil dar razones al usuario medio de Windows para que se baje e instale programas de lugares no fiables. Sucede muchas veces". Para descubrirlo, se aconseja poner el ordenador, conectado a la red, en Msdos y teclear: netstat -an | find "UDP". Si sale un puerto 31337 o parecido, el BO está dentro.

Programas desinfectantes

Antigen  Http://www.antionline.com/SpecialReports/backorifice/antigen.zip
Back Orifice Eliminator.
Http://www.bardon.com
Back Orifice Remover Http://members.xoom.com/SmokeSoft/download.htm
BoDetect. Http://www.spiritone.com/~cbenson/current_projects/backorifice/backorifice.htm
 
 

HOW DOES IT WORK

1.  El Back Orifice consiste realmente en dos programas: un servidor y un cliente. El servidor es la puerta trasera que permite entrar al atacante, armado con el cliente.
2. Se envía el servidor de BO a la víctima, por IRC (chat), ICQ o como un documento adjunto de correo electrónico, camuflado
*dentro de otro programa
*con el nombre de otro programa (por ejemplo, como si fuese una postal en movimiento)
*dentro de un enlace de web, con una aplicación Java que permite al programa ejecutarse
3.  Una vez instalado sin que la víctima se de cuenta, permanece disimulado en el ordenador y se activa cada vez que el ordenador se conecta a Internet. Entonces, deja libre el puerto 31337 o similares (3000 y algo).
4.   El atacante, con su programa cliente, escanea las direcciones IP de personas conectadas a la red, a la búsqueda de los que tenga abierto este puerto.
5.  Cuando encuentra a uno, sólo tiene que decidir qué quiere hacerle, de un menú prefijado en el programa cliente:
*ver lo que hay en la pantalla
*ver lo que está tecleando
*instalar, desinstalar y ejecutar programas o "plugins"
*apagar y reiniciar el ordenador
*ver las contraseñas guardadas
*ver y editar el registro del sistema
*conectar y desconectar la máquina de redes
*mostrar, copiar y borrar archivos
*comprimir y descomprimir archivos
*capturar video, audio e imágenes
*crear cuadros de diálogo, etc