Sicurezza/ Microsoft SMS come Back Orifice?

L'ultima versione del Systems Management Server di Microsoft contiene alcune funzioni che in Back Orifice erano state più volte bollate come pericolose e maliziose. Meriterebbe di essere considerato un cavallo di Troia anche SMS?


Questa settimana vorrei soffermarmi su un punto molto discusso in questi ultimi mesi: gli hacker.
Tutti conoscono e alcuni hanno anche seguito il processo del Governo degli Stati Uniti contro Microsoft, molti hanno espresso il loro parere riguardo la divisione in due parti della società e, molti, difendono a spada tratta quest’ultima quando la si accusa di qualcosa.

Proprio su una discussione avvenuta in questi giorni su di un newsgroup e dopo aver letto un comunicato del famosissimo gruppo hacker Cult Of Dead Cow (i padri del famigerato Back Orifice) riguardante il prodotto di casa Redmond “Systems Management Server” per gestire in remoto le reti aziendali (pacchetto incluso su ogni copia di Back Office), mi è venuta la voglia di fermarmi un attimo e pensare perché la comunità degli hacker, di Linux e circa mezzo mondo ce l’abbia con Bill Gates (se la prendono sempre con lui!).

Vediamo dunque di capire cos’è questo discussissimo Back Orifice, ormai giunto alla versione 2000 (BO2K), e cosa preoccupa le case di antivirus.

Sostanzialmente Back Orifice è uno strumento di gestione remota, sebbene un po ‘ “particolare” e per certi versi pericoloso. Vediamo le sue funzionalità principali, soprattutto per capire meglio il comunicato dei Cult of Dead Cow contro Microsoft.

Caratteristiche del client:

– lista dei server stile rubrica
– supporto plug-in
– connessione a server multipli in una sola volta
– look-and-feel personalizzabile

Caratteristiche del server nativo:

– HTTP file system: lettura e trasferimento con possibilità di restrizione
– possibilità di gestire la condivisione dei file in Microsoft Networking
– modifica diretta del file di registro
– modifica diretta dei file del PC remoto
– supporto plug-in
– aggiornamento, installazione e disinstallazione remota
– redirezione di connessioni TCP/IP in rete
– accesso ai programmi con comandi di shell in stile telnet
– supporto multimediale per cattura audio/video e riproduzione audio
– trasferimento delle password del registro in NT e dello screensaver in Windows 9x
– avvio, blocco, lista e controllo dei processi
– connessioni multiple a client oltre qualsiasi media
– possibilità di generare avvisi di sistema
– compressione di file proprietaria
– riavvio della macchina remota
– risoluzione DNS

Funzionalità aggiunte dai plug-in:

– criptazione Triple-DES
– controllo opzionale del mouse e tastiera remoti
– drag and drop per trasferire file criptati e browsing simile ad Explorer
– modifica remota del registro in modalità grafica
– supporto di UDP e ICMP

Funzionalità di prossima realizzazione:

– supporto ai protocolli IPX/SPX
– chiamate telefoniche in dial-up
– IRDA
– scripting per processi client-side e server-side automatici

Back Orifice si basa su di un client, il famigerato cavallo di Troia che si intrufola spesso nei PC di ignari utenti, ed un server, dal quale si può controllare praticamente ogni aspetto della macchina controllata: l’amministratore di rete può configurare indipendentemente ogni macchina con un proprio IP, una propria porta e così via.
Il client disporrà poi di una lista di server attivi (o presunti tali) a cui ci si potrà connettere con la nuova shell grafica di BO2K (che decreta l’intenzionalità più “seria” da parte del gruppo CDC di produrre un software utile e potente), in cui l’ambiente di lavoro risulta migliore rispetto alla precedente versione.

La lista dei comandi è completa, si prende praticamente possesso della macchina remota, situazione simile a chi utilizza prodotti come PC Anywhere o Carbon Copy, con cui ci si può collegare anche in dial-up e lavorare esattamente come se si fosse sulla macchina remota.

Ora che conosciamo meglio BO2K, la domanda che sorge è: cosa c’entra Microsoft con questo software? Vediamo nella seconda perte dell’articolo.


Come si può leggere da un comunicato di Microsoft , Back Orifice 2000 viene considerato un software malizioso e pericoloso non per le sue funzionalità di controllo remoto, simili a molti altri software di questo tipo, ma perché utilizza modalità “stealth” (invisibili) per nascondersi all’utente e rendere meno visibili alcuni suoi comportamenti.

Da tener conto che tutti i prodotti antivirus come McAfee Viruscan o Norton Antivirus rilevano e segnalano come virus il client e il server di BO, anche se contenuti in file zippati.

Naturalmente è dalla sua uscita, avvenuta ormai più di due anni fa, che Microsoft punta l’indice contro Back Orifice: del resto anche il sottoscritto si è guardato bene dall’installarlo in macchine connesse a reti o ad Internet (la prudenza non è mai troppa, anche se la curiosità è sempre tanta!).

Tuttavia l’anno passato i CDC hanno deciso di controbattere alle accuse rivoltegli da Microsoft rilasciando un comunicato dai toni non certo gentili. Qui si afferma infatti che il tool di gestione remota SMS di Microsoft dovrebbe, al pari di Back Orifice, essere ritirato dal mercato ed essere inserito nel database delle firme virali di ogni antivirus. SMS, infatti, utilizza le stesse tecniche “stealth” implementate, fra l’atro solo come opzione, da Back Orifice. La stessa Microsoft, in un altro comunicato, afferma che “di tutte le operazioni che SMS permette di effettuare su di un client, il controllo remoto è senz’altro il più pericoloso in termini di sicurezza. Una volta che un amministratore si trova a controllare remotamente un client, ha gli stessi diritti di accesso ed utilizzo della macchina come se questa fosse davanti a lui. Oltre a questo, c’è anche la possibilità di eseguire una sessione di controllo remoto senza che l’utente del client ne sia consapevole. Così è importante capire le diverse scelte di sicurezza disponibili e le implicazioni legali conseguenti al fatto di usare alcune di queste funzioni in certe giurisdizioni.”

Microsoft, dalla sua, descrive il prodotto come software di gestione remota per amministratori di sistema e meglio descrive la modalità invisibile come una funzione comoda per l’amministratore e l’utente, poiché non disturba il lavoro quotidiano essendo il server eseguito come un processo simile a tanti altri. Ma a questo punto le differenze con back Orifice divengono davvero sottili.

Confrontando i due prodotti ci accorgiamo che si assomigliano moltissimo se non per il fatto che Back Orifice è completamente gratuito e SMS costa invece parecchio.
Nessuna intenzione di fare promozione al tool di CDC, ma mi “nasce” naturale pormi la domanda se, finalmente, oltre ad aver trovato una valida alternativa ad Office con StarOffice, piuttosto che Internet Explorer o Netscape con Opera, ora un amministratore di rete non possa finalmente godersi un po ‘ di pace con qualche software potente e liberamente utilizzabile senza dover continuamente fare i conti con il budget dell’azienda, sapendo poi quanto conti la sicurezza al giorno d’oggi.

Chi utilizza Unix o Linux da un po’ di tempo, sicuramente sarà a conoscenza dei numerosi tool di gestione remota che accompagnano le varie distribuzioni reperibili in rete, potenti tanto quanto i programmi sopracitati e liberamente utilizzabili e modificabili come tutti ormai sappiamo (o, comunque, una buona parte di noi), ma, forse, un nuovo orizzonte si sta aprendo anche per la schiera dei PC/Intel e il mondo Windows, con nuovi prodotti potenti e stabili, ma soprattutto con un nuovo modo di vedere le cose: l’open-source.

Monteremo BackOrifice sui nostri PC di amministratori? Forse, o forse no, ma di certo ora è nato un dubbio che prima, pochi anni fa, non c’era… Non vi fa pensare?

Marco Trevisan

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti