|
Hackers - Informe especial |
 |
Nuestros Servicios | |
Ofertas |
|
Descargas Gratuitas | |
Inicio |
¿Que es un Hacker?
¿Como actúan? una Sección Muy Completa, para saber todo sobre Los Parásitos Informáticos.
Programas
de control remoto
Aplicaciones
Educativas o Espionaje?
Estudiamos el caso de dos
de los programas más difundidos en el mundo en estos días, el Back Orifice y
el Netbus, ambos permiten tomar control de una máquina mediante una comunicación
telefónica, de la misma manera en que se hace en una pequeña red comercial o
casera, salvo que en este caso esa "pequeña red" es una en la que se
hallan alrededor de 50 millones de usuarios, la Red de Redes: Internet.
Back
Orifice
Un grupo de hackers autodenominado "el Culto de la Vaca Muerta"
(The cult of the Dead Cow) programa un sistema que permite -una vez
instalado en una PC basada en Sistema Operativo Windows- tomar control absoluto
de ella.
El nombre es un juego de
palabras con respecto al Producto de Microsoft "Back Office".
Este sistema brinda
privilegios de ‘Administrador de Sistema’ (System Admin) a un usuario
remoto utilizando los protocolos de comunicación de la Red Internet (TCP/IP).
¿Que significa esto?,
Significa que si el Back Orifice (BO) esta siendo ejecutado en su
computadora, un operador remoto –esto es, en cualquier lugar del mundo- puede
tener acceso a su sistema y hacer casi todo lo que usted puede hacer
–y, en realidad, algunas otras cosas que ni siquiera usted puede hacer- todo
esto sin ser advertido, y sin ningún tipo de aviso de su presencia.
|
|
BO puede ingresar en su sistema como un componente de prácticamente cualquier software que usted ‘baje’ de Internet o puede venir adjunto a un e-Mail. El sistema debe ser ejecutado para poder instalarse, lo que implica que no se auto-ejecuta, es uno el que da "doble-click" para ponerlo activo. Se instala en segundos, naturalmente sin ningún aviso y, una vez instalado, borra el archivo original para no dejar rastros. Si el BO vino adjunto a un programa, el usuario no se dará cuenta de absolutamente nada... Instalara el sistema y funcionara sin inconvenientes, sin siquiera pensar en la posibilidad de que, a partir de ese momento, su maquina esta disponible al mundo... |
Hay diversas técnicas en
las que se puede embeber un programa dentro de otro, por ejemplo, puede una
persona enviarle un visor de gráficos y dentro de este el BO. Al instalar el
visualizador, automáticamente, instala también el BO, y usted ni siquiera lo
sospechó...
El BO no es un virus, de
ninguna manera. Analizándolo críticamente es un sistema de control remoto
(como por ejemplo el PC Anywhere) sólo que ocupa el 1% de lo que ocupan este
tipo de programas y el control no esta protegido por ninguna contraseña. El BO
en sí mismo, no es dañino. No consume muchos recursos, no ocupa mucho lugar en
memoria, se ejecuta casi invisible a los ojos del usuario y no hace mucho mas
que abrir los accesos a las funciones estándar de Windows95/98.
Proliferación
El BO fue públicamente
lanzado al mercado el 3 de agosto de 1998 por el Culto de la Vaca Muerta (cDc).
Este grupo reportó, una semana después, que fue ‘bajado’ por 100.000
personas... imaginemos el numero hoy, a casi 3 meses después del ‘lanzamiento
Oficial...’
Por primera vez, una
herramienta relativamente simple de usar, permite acceder sin autorización a
sistemas informáticos en el mundo a un numero sin precedentes de personas, en
un uso masivo... Muchos usuarios de Internet están enviando este programa a
otros usuarios utilizando la red.
Obtuvimos el Sistema
‘Back Orifice Suite’, aprendimos a utilizarlo, y procedimos a usarlo
libremente durante 3 días. Cada una de las funciones del BO ejecutan a la
perfección. Instalamos una Red aislada, simulando Internet, y les podemos
asegurar que dice hacer todo lo que se publica –y quizá muchas otras cosas
que uno ni siquiera sospecha -.
Realizamos búsquedas al
azar en Internet de decenas de miles de usuarios con el BO instalado y
aparecieron varias docenas de usuarios en todo el mundo. Hubiésemos podido
acceder a cada una de las maquinas, sin el menor problema, Capturar pantallas
(Foto de lo que veía el usuario en su monitor), ejecutar cualquier programa
(hacer aparecer, por ejemplo, el Wordpad), Terminar procesos, enviarle mensajes,
y cualquier otra tarea, hasta –por ejemplo- apagarle la computadora, todo de
una manera muy simple...
Prevención
Aun siendo un programa
relativamente nuevo, hay distintas empresas en el mundo que han decidido
atacarlo.
Si bien no conocemos
todavía un sistema que previene la infección, hay algunos que la buscan en su
computadora.
Algunos de los Links
relacionados a la prevención, son:
http://www.arez.com/fs/antigen/
http://members.xoom.com/SmokeSoft/download.htm
http://members.xoom.com/devpoint/devwatch.htm
http://www.nwinternet.com/~pchelp/bo.html
Hay otro sitio, http://web.cip.com.br/nobo/, del cual puede bajar gratuitamente un programa (NOBO) que lo que hace es detectar cuando alguien con el Back Orifice lo quiere capturar. Aunque haya verificado que no tiene instalado el BO, le sugerimos instale este otro muy útil programa.
De todas formas, a medida que pase el tiempo, y se vaya haciendo más popular de lo que es hoy, comenzaran a aparecer distintos antivirus que lo detectaran. Para darse una idea de los links que existen hoy, vale la pena utilizar un buscador y solicitar información acerca de "Back Orifice", como ejemplo cabe mencionar que Altavista (http://www.altavista.com) Cuenta con 2019 paginas relacionadas al tema.
En Windows 98, hay otra
forma para deshacerse del BO si es que uno no tiene confianza en estos antígenos,
y los pasos son los siguientes:
1º Vaya a Inicio /
Programas / Accesorios / Herramientas del Sistema / Información del Sistema
2º Haga click en
Herramientas y luego en Programa de Configuración del Sistema
3º Haga Click en la
solapa INICIO
4º Fíjese en la columna
donde aparecen listados los nombres de los programas que se ejecutan automáticamente
al iniciar Windows, y busque una línea en la que el nombre del programa no
figure. Si Ud. encuentra una línea sospechosa, haga click a su lado para
indicar que no se ejecute. Esto deshabilita la ejecución del BO Server al
inicio de Windows. Haga click en Aceptar para salir del programa y reinicie su
Computadora.
5º Muy bien, ahora, el
Back Orifice no se ejecutara al encender su maquina, pero... aun lo tiene
instalado en su disco rígido... Para asegurarse de que no exista la posibilidad
de volver a ser ejecutado accidentalmente, vaya al explorador, ingrese en la
carpeta Windows\System y haga click en Tamaño (esto ordenara los archivos
existentes por su tamaño en bytes). Ahora busque todos los programas o archivos
que se encuentran en la franja de los 120 Kb a 126 Kb. Una vez ubicado, busque
un archivo que no contenga icono (habitualmente, el BO se llama ".EXE",
pero podría tener cualquier nombre). Si ve este archivo, bórrelo... Ah! y no
olvide vaciar su papelera de reciclaje!!
NetBus
Un programador Sueco
llamado Carl-Fredrik Neikter, diseño un programa troyano (Troyan Horse)
llamado NETBUS. Netbus consiste en un programa del tipo ‘cliente’ que
se ejecuta, al igual que el Back Orifice, en una computadora remota para tener
acceso a cualquier maquina conectada a Internet, mediante el protocolo de
comunicaciones TCP/IP.
Es necesario que en la
computadora de la "víctima" este instalado el servidor de este
programa. Este programa puede ser instalado de diversas maneras, algunas de las
reportadas incluyen: transferencia de archivos vía Chat, como adjunto a e-Mails,
aprovechamiento de fallas de seguridad en navegadores y programas de correo e
instalación física en maquinas.
El programa servidor del
Netbus –el que se instala en la maquina de la víctima- puede tener cualquier
nombre, esto hace dificultosa la búsqueda, pero no la imposibilita.
Habitualmente, el Netbus lleva el nombre de PATCH.EXE (un nombre muy común en
sistemas que indica una actualización de algún sistema existente)
Capacidades
del Sistema
El sistema Netbus,
permite controlar remotamente una maquina infectada con el servidor. Dentro de
sus realmente amplias posibilidades están:
·
Abrir y cerrar
la unidad de CD rom
·
Mostrar alguna
imagen
·
Intercambiar
los botones del Mouse
·
Iniciar
determinadas aplicaciones
·
Ejecutar
determinados archivos de sonido
·
Posicionar el
puntero del mouse en un determinado par de coordenadas
·
Mostrar un
mensaje en pantalla (donde la respuesta es enviada al atacante)
·
Apagar la
maquina (Shutdown) o Cerrar la sesión del Usuario
·
Enviar a la
victima a una dirección de internet determinada
·
Enviar texto a
la aplicación en uso (captura de teclado)
·
Tomar nota de
lo tecleado por la víctima (y enviar esto al atacante)
·
‘Fotografiar’
la pantalla que esta siendo usada
·
Copiar
cualquier archivo de la maquina de la víctima
·
Aumentar o
disminuir el volumen
|
|
Aunque esto es aparentemente importante, posee también otras funciones las cuales pueden quitar el sueño a mas de uno... Qué opina acerca de que alguien en una maquina remota –donde remota adquiere una notación muy particular porque puede ser cualquier lugar del mundo- grabe en un archivo del tipo audio, toda conversación que sea captada por el micrófono de su hermosa computadora multimedia? O más aún, que opina acerca de que alguien grabe en un video lo que su preciosa WebCam (Cámara para Videoconferencia) esta tomando en este momento? Sí! Esa que tiene sobre el monitor en este momento y que uno piensa que domina... ciencia-ficción, Terror, el género que elija... Todo cae bien a la hora de calificar este tipo de programas... |
Todo esto en la maquina
de un simple usuario de Internet es medio temeroso, pero que opina si hablamos
de la maquina que se encuentra en la sala de reuniones de directorio de una
empresa? Puede cortar la respiración a mas de un alto ejecutivo No?
Limpieza
del NetBus
Microsoft Windows (tanto
95 como 98) tienen un programa, denominado REGEDIT.EXE que es el editor de la
tabla de registros, una base de datos muy especial que es la que maneja todo lo
instalado en su maquina, y donde se graban todos los datos necesarios para que
los programas instalados ubiquen los distintos componentes.
Las modificaciones en la
tabla de registros (Registry) deben realizarse con suma precaución dado
que una alteración indebida en algunos de sus datos, puede ocasionar que el
sistema deje de funcionar correctamente.
Si Ud. es un usuario
avanzado, quizá desee destruir este programa "con sus propias manos"
en lugar de hacerlo con un programa de terceros. De no serlo, le sugerimos
utilice cualquier programa antivirus que lo reconozca y elimine.
El servidor de Netbus, se
instala en el registro de windows debajo de la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
y debería tener un comando del tipo de DOS tal como /nomsg, /noadd o similar.
La entrada de este registro apunta al archivo y a la ubicación del mismo en su
disco.
Es necesario remover la
Sub-clave en primer termino. No es posible remover el programa mientras esta en
ejecución, por lo tanto luego de remover la clave, deberá apagar su PC, y
luego de iniciada, recién podrá borrarlo del disco.
Un software que remueve
este troyano es el "BOClean" en su versión 2.01, y puede utilizarlo
si es que no desea hacerlo manualmente.
Puede también intentar
la búsqueda de programas de eliminación de este troyano en Internet.
Así como hay gente
ocupando su tiempo en la creación de este tipo de programas, para muchos de
nosotros es una verdadera alegría saber que también están los que dedican
tiempo a su eliminación...
