Artigos publicados

Publicado no site: AQUI!

> Back Orifice – BO

O que é ?

Um software bastante eficiente para controle remoto de microcomputadores que usam Windows 95/98 . Permite que desconhecidos invadam computadores alheios e enviem comandos que serão executados , tais como :

renomear , copiar e deletar arquivos e diretórios .

resetar o PC .

registrar tudo que for digitado para posterior leitura .

procurar senhas e números de cartões de crédito .

Como atua ?

O BO constitui-se de duas partes : servidor (server) e cliente (client) . Com o servidor instalado numa máquina , qualquer um que use o cliente pode obter acesso e controle sobre esse PC durante uma conexão com a Internet . Para o servidor instalar-se é preciso executa-lo , isso ocorre por intermédio dos chamados Trojan Horses ( Cavalos de Tróia ) ; presentes de grego . O Trojan nada mais é do que um aplicativo que traz outro escondido dentro de si e quando é executado , instala o outro na surdina .

A pessoa recebe um programinha curioso e engraçadinho , uma dessas brincadeiras com aparência inocente ; muitas vezes nem sabe de onde veio ... Executa-o , se diverte e envia-o para os amigos que fazem o mesmo disseminando-o pela rede .

Pronto , o BOserver está instalado em várias máquinas e qualquer um com o Boclient pode controlar esses PCs . O Boclient rastreia a rede à procura do Boserver ( PING sweep ) e quando encontra-o ( PONG ) pode facilmente acessa-lo . Faz isso através do endereço IP ( Internet Protocol ) com que todas as máquinas na rede são identificadas .

Quem invade ?

Na maioria dos casos são pessoas com conhecimentos básicos de informática . O que mais assusta é que o BO por ter uma interface extremamente amigável é muito simples de ser operado sem grandes conhecimentos técnicos , isso tem dois aspectos importantes sob meu ponto de vista :

Provavelmente a invasão não será efetuada por alguém com grandes conhecimentos técnicos , cheio de más intenções e que saiba exatamente o que está fazendo e como fazer ; mas nunca se sabe ...

Muitos adolescentes mal educados , irresponsáveis e inconseqüentes andam por aí invadindo e brincando com PCs alheios ...

Como se proteger ?

Há um consenso de que não existe segurança 100% contra invasões na Internet , como não existe também contra arrombamentos e invasões de residências e automóveis . Seguindo o mesmo principio de que devemos dificultar a ação dos arrombadores de casas e carros com dispositivos de segurança como trancas e alarmes , aliados a uma atitude de alerta ; assim devemos agir também em relação ao PC. É claro que se o invasor tiver grandes conhecimentos técnicos e as ferramentas adequadas , dificilmente será frustrado em sua intenção ; mas por outro lado , se não preencher esses requisitos e se deparar com dispositivos de segurança ; provavelmente optará por alvos mais fáceis .

Existem diversos programas para se detectar IPs e mesmo no DOS é possível fazer isso . O ICQ mostra o IP do usuário se essa opção não estiver desabilitada . Não mostrar o IP facilmente , não executar programinhas desconhecidos ; são exemplos de atitudes simples embora não efetivas que podem minimizar a possibilidade de invasões. Como diz um amigo grande : " o IP é como o numero do seu telefone , está na lista mas você não o dá para qualquer um ... ".

O Windows 95/98 possui o comando NETSTAT que exibe estatísticas de protocolos e conexões de rede TCP/IP atuais :

- Abra uma janela do DOS e comande : Netstat –a

A resposta deve ser algo como :

PROTO LOCAL ADDRESS FOREIGN ADDRESS STATE

Se a resposta apresentar abaixo dessa linha algo como :

UDP nome número

Então esse número é o da porta de comunicação que o BO está usando .

Se isso ocorrer por favor não grite , não saia correndo , não desligue o fio da tomada e nem soque o monitor de vídeo ... respire fundo e apenas desconecte-se da Internet , se for o caso ; mas antes salve ou imprima o restante deste artigo e continue lendo-o .

Existem disponibilizados para download vários softwares que detectam , eliminam e bloqueiam o BO e também o NETBUS que é outro programa de invasão . Alem disso existe muito mais informações a respeito . Abaixo listo os programas que conheço e as URLs de onde podem ser baixados :

BODetect - detecta BO instalado
BOE – elimina BO instalado
Antigen – detecta e elimina
NOBO – detecta tentativas de invasão , identifica e registra IP do invasor e envia a ele mensagem que pode ser customizada

http://www.tauvirtual.com.br/artig07.htm

Higienic Paper – detecta , elimina e bloqueia BO e NETBUS

http://www2.infolink.com.br/bo/

Antiback – não remove mas "fecha a porta"

http://www.oocities.org/Baja/Trails/3052/

BoDetect v1.5 - Detecta e remove o Back Orifice
Netbus Protector v1.0 Beta - Detecta e remove o NetBus
http://members.xoom.com/menesc/bonb.htm

Se quiser muito mais informações técnicas e procedimentos , dê uma chegada ao sitio ; como ele mesmo diz , do B. Piropo em :

http://www.bpiropo.com.br/escritos.htm

Atenção : Cuidado com um aplicativo chamado BOSniffer que é distribuído como se fosse um bloqueio mas na verdade é um Boserver disfarçado .

Conclusão

Meu objetivo ao escrever este artigo é compartilhar o pouco que aprendi sobre o BO ao estuda-lo depois de ter meu PC invadido . Não tenho a pretensão de dominar o assunto e não quero parecer alarmista . É um texto escrito por leigo para leigos com o intuito de esclarecer e orientar ... Aceito e agradeço qualquer correção ou sugestão que queiram fazer . 13/10/98

Tenho recebido feedbacks sobre este assunto e como não o domino técnicamente prefiro publicar os que considero de maior relevância para que todos tenham acesso às informações e possam formar sua própria opinião a respeito . Continuo agradecendo às colaborações ...

Ary,

Li seu artigo sobre BO, muito interessante. Mas uma informação que vc expos
pode alarmar muito sem dizer nada na verdade.

1. o ICQ tem a opcao de não mostrar seu IP, porem, se um dos usuarios da sua
lista Online lhe enviar uma mensagem ele efetuará uma conexao com vc, assim
sendo, mesmo que seu ICQ nao permita que seu IP seja visto, o tal usuario
pode ir no DOS e digitar:

netstat -p TCP

E ver a porta e IP da conexao.

2. Usar Netstat -a para ver se há uma porta UDP aberta é como dizer "Abra o
tampa de gasolina do seu carro, se estiver cheirando gasolina então está
vazando"

Geralmente o BO deixa a porta 31337 UDP aberta (isso pode ser configurado
pelo adolescente malefico) mas tambem o ICQ deixa uma porta UDP aberta que não é padrão. Pode ser entre a 1000 e a 2000. Vendo assim, usar netstat não
é uma decisão sabia para verificar se há ou nao BO na sua maquina. O mais
certo é usar um programa ou verificar as chaves Run e RunServices do registro (se quiser mais detalhes sobre isso, mail me)

3. BO nao faz procura por numero de cartão de credito. Nem tem como fazer
isso.

De resto, tudo beleza! Vale lembrar que existem trojans brasileiras, algumas
ficaram famosas internacionalmete como o ICKiller. Outra trojan que
transforma seu micro em servidor de FTP sem vc saber está sendo distribuida
em http://www.oocities.org/Eureka/Plaza/4423/ como "Atualizacao do Win95
para win98". Olha que maldade! E assim que a vitima se conectar a internet,
ele envia um email para o dono da trojan com o seu IP e a senha de FTP que é
gerada de forma randomica.

Outra coisa que acho q deveria ser dito aos adolescentes mal educados é que o BO Client manda tudo que descobrir para o host www.ninja.org e que o mesmo
programa deixa uma porta aberta, nao me lembro agora qual, mas certamente a
garotada que quer fazer vitimas tambem se transforma em vitima.

[]'s

Beto 28/10/98

> >2. Usar Netstat -a para ver se há uma porta UDP aberta é como dizer >"Abra >>o tampa de gasolina do seu carro, se estiver cheirando gasolina então está
> >vazando"

A comparacao com carro deveria ser: Que tal parar o carro para ver se o pneu esta' meio murcho. Com o carro andando nao da' para ver direito claro!

Neste caso que tal falar para os usuarios nao se conectarem na internet antes do netstat -a ? Neste caso nao deve existir nenhuma conexao UDP ou TCP(a nao ser que o micro esteja em rede, usando TCP-IP)

> >Geralmente o BO deixa a porta 31337 UDP aberta (isso pode ser >>configuradopelo adolescente malefico) mas tambem o ICQ deixa uma porta >>UDP aberta que não é padrão. Pode ser entre a 1000 e a 2000. Vendo assim, >>usar netstat não é uma decisão sabia para verificar se há ou nao BO na sua >>maquina. O mais certo é usar um programa ou verificar as chaves Run e >>RunServices do registro (se quiser mais detalhes sobre isso, mail me)

Alem do Runservices, existe tambem a opcao run e load do bom e velho arquivo win.ini que pode ser modificado. Na verdade ate' que provem o contrario (e o seu netstat seja o original) a melhor forma e' o netstat -a

> >Outra coisa que acho q deveria ser dito aos adolescentes mal educados é >>que o BOClient manda tudo que descobrir para o host www.ninja.org e que o >>mesmo programa deixa uma porta aberta, nao me lembro agora qual, mas >>certamente a garotada que quer fazer vitimas tambem se transforma em >>vitima.

So' se for um Boclient modificado. O que eu tenho em maos pego do site do CDC ainda em agosto nao faz nada disto. Isto parece mais um HOAX.

Sidney 01/11/98

Confira ! Artigo sobre o BO na revista PC MASTER Ano 2 No 6 edição 18

Duas notas interessantes publicadas na revista Internet.br No 31 - DEZ/98:

1 - O CDC (Cult of Dead Cow) berço do BackOrifice acaba de divulgar a criação do ButtSnifer, um software que trabalha em conjunto com o BackOrifice e consegue capturar todos os pacotes que passam nas placas de rede que estão ligadas à estação da vítima. Imagine que você está acessando um site com informações restritas e o invasor através do ButtSnifer consegue capturar sua senha.

2 - O BPS (Backdoor Protection System) desenvolvido por Felipe Moniz monitora a presença de qualquer backdoor presente em seu computador além de poder retirá-lo caso seja encontrado. Está disponível em http://elipe.cjb.net .