para ter uma idéia da fragilidade das defesas que estão sendo desenvolvidas contra o programa.
Há algum meio definitivamente seguro de se proteger? Se há, eu ignoro. Mas há formas relativamente simples de, pelo menos, verificar se ele está presente em sua máquina. A mais simples que conheço consiste em abrir a janela "Localizar" do menu Iniciar, selecionar a opção "Arquivos ou Pastas" e pedir para pesquisar pelo texto "bofile mapping" (assim mesmo, mas sem aspas) em todos os seus arquivos de todos os diretórios de todos os discos rígidos ou partições. Se o texto for encontrado, é quase certo que o Back Orifice já foi instalado em sua máquina (aos que estão lendo esta coluna via Internet: se o texto foi encontrado, antes de desmaiar verifique se por acaso ele não está neste arquivo que você está lendo; se estiver, relaxe). E se o arquivo que contém o texto mora em Windows\System, provavelmente ele está rodando.
Pois é isso. Detesto ser portador de más notícias. Entrementes, fica uma interrogação no ar: e a Microsoft, que desenvolveu um sistema com falhas tão evidentes e o espalhou em centenas de milhões de máquinas por todo o planeta, não pretende se manifestar? Aguardemos.
O Globo - Trilha Zero
B. Piropo
21/09/98
‘Back Orifice (II) A Missão’
Há muito tempo que uma destas humildes colunas não desperta
tanto bochincho quanto a da semana passada. Todo mundo escreveu: foram quase 50
cartas. Demonstração cabal e inequívoca de dois pontos.
Primeiro: meus leitores andam perto da casa da meia centena, portanto ganhei
folgado dos 17 do Agamenon e dos 19 do Itiberê. Segundo: a turma está
mesmo como medo do Back Orifice (que, com a intimidade que já temos,
daqui pra frente chamaremos simplesmente de BO). O que me fez voltar ao tema, e
desta vez com uma missão mais amena: tranqüilizar os aflitos
leitores, apavorados com o tom apocalíptico da última coluna. O
desta vai ser mais do tipo "calma, que o BO é manso". Na
verdade manso, mesmo, ele não é. Mas também não é
tão terrível como inadvertidamente fi-lo parecer. Admito que filo,
mas juro que não quilo: a intenção foi alertar, jamais
apavorar.
Houve cartas de todo tipo. Algumas relatando causos de máquinas "possuídas"
pelo BO nas quais se manifestou a catástrofe (uma jovem relata que
enquanto usava o ICQ - um programa que joga no ventilador seu endereço IP
- percebeu que o led do HD denunciava uma atividade suspeita e mais tarde
descobriu que sobraram apenas oito arquivos em seu diretório Windows, forçando-a
a reinstalar o sistema e dando-lhe um prejuízo líquido de mais de
500 Mb de arquivos). Outras, dando conta de meios e modos de detectar e eliminar
o BO. E, finalmente, algumas de leitores aflitos acusando a presença da
suspeita cadeia de caracteres "bofilemapping" em alguns arquivos de
seus discos rígidos e receando estar com a máquina invadida.
Comecemos por estas últimas, para tranqüilizar as vítimas:
se a cadeia foi encontrada em um arquivo texto, nada a temer. O mesmo ocorre se
ela foi achada em um dos arquivos usados para armazenar as mensagens de correio
eletrônico. Finalmente, alguns leitores efetuaram a busca através
da opção "Arquivos ou pastas" da entrada "Localizar"
do menu "Iniciar" e digitaram a cadeia na caixa "Nome", ao
invés da caixa "Contendo o texto". Nada encontraram, como era
de esperar (o BO não usa nenhum arquivo com aquele nome). Algum tempo - e
pelo menos um boot - depois, perceberam o erro e executaram nova busca, já
com a cadeia na caixa correta. E se apavoraram ao encontrá-la no arquivo
User.Dat. Nada a temer: o User.Dat é um dos arquivos usados para montar
dinamicamente o Registro e nele ficam armazenadas diversas informações,
entre as quais as últimas entradas na caixa "Nome" da janela "Localizar"
- onde eles mesmo haviam digitado a cadeia pouco antes. O mesmo ocorre quando se
pesquisa o Registro: a cadeia aparece na entrada "Doc Find Spec MRU"
de uma das chaves - que lista justamente as MRU (Most Recently Used: mais
recentemente usadas) especificações de documentos digitadas
naquela caixa. Portanto, também neste caso, nada a temer.
Agora, tentemos tranqüilizar os demais. Na coluna da semana passada, ao
mencionar que "as defesas que estão sendo desenvolvidas contra o
Back Orifice não apresentam a eficácia esperada", o que eu
quis dizer era tão somente que não apresentam a eficácia
esperada, não que sejam totalmente ineficazes. Trocando em miúdos:
já foram (e continuam sendo) desenvolvidos programas que detectam a
presença do BO e o eliminam. Seria de esperar que fossem eficazes na
totalidade dos casos. Infelizmente estão sendo igualmente desenvolvidos
meios de burlar suas ações, o que faz com que falhem em algumas
instâncias.
A questão é que para "enganar" estes programas é
necessário alterar a configuração padrão do BO - uma
tarefa que dispensa um doutorado em informática, evidentemente, mas
demanda um mínimo de conhecimento técnico. E quem são os
usuários do BO? Citando textualmente um deles: "O programa, como você
disse, é simplesmente ridículo de se usar! Qualquer molóide
que sabe ligar o computador usa isso. As pessoas que usam esse programa na
maioria das vezes não são hackers, são nukers imbecis. Na
linguagem do IRC são lammers que ficam travando máquinas ou te
desconectando por pura falta do que fazer!". Portanto, se bem que o perigo
efetivamente exista, ele não é tão terrível como
parece, já que a imensa maioria das pessoas entre as quais o programa se
disseminou (cem mil cópias foram transferidas do sítio dos
criadores, e muitas se multiplicaram por transferência direta de máquina
a máquina) dificilmente serão capazes de engendrar os meios de
burlar as defesas disponíveis. Logo, os programas existentes para se
defender do BO podem não ser inexpugnáveis, mas na maioria das
vezes cumprem sua missão. Portanto, vamos a eles.
Todos são freeware, ou seja, não é preciso pagar nada
por eles. E ficamos entendidos que eu apenas estou divulgando seus URLs, ou
seja: nada tenho a ver com sua ação em vossas máquinas. Mas
como recebi diversas mensagens de leitores satisfeitos com seu uso, presumo que
sejam seguros. O mais popular é o BO Detect, desenvolvido por Chris
Benson. Pode ser encontrado na página do autor, em [http://www.spiritone.com/~cbenson/]
mas se você preferir transferi-lo via FTP encontra-lo-á também
no sítio da FSBO em [ftp://fsbotips.com/pub]. O segundo mais popular é
o Antigen, da Fresh Software, encontrado no sítio da própria FS,
em [http://www.arez.com/fs/antigen/index.html].
E há ainda os menos conhecidos, como o Toilet Paper (ou "papel higiênico",
disparado o de nome mais original: afinal, o que mais usar para limpar o back
orifice?), da Self Induced Negativity (um sítio estranhíssimo) em
[http://www.sinnerz.com/tp.html].
Há ainda o Plugger, desenvolvido por Bradley Callis, que pode ser
transferido do sítio do próprio criador em [http://bradley.callis.com/utilities.htm]
e finalmente o BO Shield, da SG1.net, encontrável em [http://www.sg1.net/security/boshield.htm].
Mas para nós aqui do patropi, o melhor mesmo é procurar por eles
nos sítios dos provedores nacionais. Nesta altura dos acontecimentos,
dificilmente haverá um que não tenha alertado seus usuários
e posto a sua disposição pelo menos uma ferramenta de defesa (atenção
provedores: se este é seu caso, corra e crie pelo menos um link para um
dos sítios acima). Citarei aqui apenas os que me avisaram que dispõem
dos programas: Mandic, com o BODetect disponível em [http://www4.mandic.com.br/backorifice/],
Arroba Café, ainda com o BODetect em [http://www.arrobacafe.com.br/bodetect.zip]
e Unikey, com o Antigen, o Toilet Paper e o BODetect, todos à disposição
na página [http://www.unikey.com.br/helpdesk/bo.htm].
Tanto no Mandic quanto no Unikey, além dos programas, você encontra
um texto sobre o BO.
Por hoje, é só. Mas o interesse que o Back Orifice despertou
foi tamanho e as questões que ele suscita são tão graves e
importantes (por exemplo: quem tem maior responsabilidade? Quem criou o BO, quem
desenvolveu um sistema operacional tão frágil que permite seu uso
ou quem é descuidado a ponto de permitir que sua máquina se
contamine? Adiantando: segundo a MS, em seu documento oficial sobre o BO, a
maior parcela de responsabilidade cabe a quem se deixa contaminar...) que
certamente voltarei ao tema. Aguardem.
Coluna: Trilha Zero
Data: 28/09/98
‘Back Orifice III: Cavalos de Tróia’
A julgar pela reação dos leitores às colunas sobre o
Back Orifice, há muito tempo não discuto aqui um assunto que
desperte tanto interesse. Mensagens de correio eletrônico não param
de chegar (tantas, que não dá para respondê-las todas -
portanto, se você é um dos missivistas que ficou sem resposta,
saiba que li, sim, e agradeço, sua mensagem. E considere-a respondida
aqui). Um interesse assim tão grande me impede de abandonar o tema. Pelo
contrário: sinto-me compelido a estendê-lo, abordando alguns
assuntos periféricos, ainda relativos ao BO, mas que são de
interesse geral e não apenas das vítimas do programa. Portanto,
sigamos com o BO.
Algumas mensagens discordam da qualificação de "débil
mental" com que brindei os autores do programa. Alegam que, muito pelo
contrário, são verdadeiros gênios, programadores brilhantes.
Há até quem ache que se trata de gente bem intencionada, cujo
objetivo ao desenvolver o BO foi demonstrar como é frágil a
segurança do Windows 95. Que são brilhantes, não duvido: há
outros exemplos de débeis mentais geniais, tão ou mais brilhantes,
mas nem por isto menos débeis mentais. Quem desenvolve um instrumento
como este, com tamanho potencial de dano, capaz de prejudicar tão
seriamente a tanta gente inocente, e o coloca à disposição
do público em geral, ou é absolutamente irresponsável ou é
do tipo que se compraz em disseminar o infortúnio. De um jeito ou de
outro, é gente doente. Gente que prejudica a quem nem ao menos conhece,
sem razão ou motivo exceto o duvidoso prazer de saber que foi o responsável
pelo dano. Débil mental é o mínimo que se pode dizer de
pessoas assim. E defendê-los alegando que suas intenções
eram apenas denunciar as falhas de Windows 95 eqüivale a defender a atitude
de um imbecil que transforme a praia de Ipanema em campo minado apenas para
demonstrar que é possível fazê-lo, provando que a segurança
oferecida pelo Estado é deficiente, sem se preocupar com os inocentes que
serão mutilados ao detonarem as minas. Tem jeito não: é
coisa de débil mental mesmo.
Outras mensagens manifestam estranheza por eu desconhecer os autores do BO.
E colaboram, enviando-me o URL de seu sítio que, segundo eles, eu tinha a
obrigação de conhecer e mencionar. Bem, conhecer, conheço
de sobra. E já há muito tempo: visitei-o logo após o lançamento
do BO. Daí a mencioná-lo, vai uma enorme distância. Porque o
principal objetivo dos irresponsáveis que desenvolvem um programa como
este não é provar que Windows é inseguro (coisa que
definitivamente não carece de mais demonstrações, já
que trata-se de uma questão sobre a qual, exceto a MS, todo o mundo está
absolutamente de acordo) ou prejudicar inocentes - embora o façam sem
escrúpulo ou remorso. O objetivo é, justamente, lograr alguma
publicidade. O que querem é serem citados como "bad boys" nos
meios de comunicação para fazerem jus à admiração
dos papalvos que glorificam este tipo de comportamento fátuo. Esta é
a glória que almejam, uma glória que esvai-se, rebaixa, avilta e
aflige. Por isto, jamais cito nomes de pessoas, grupos, catervas, maltas, súcias
ou corjas envolvidas em semelhantes atividades. Inflijo-lhes o que para eles é
o pior dos castigos: ignoro-os. Recuso-me a contribuir para a glória de
imbecis.
Isto posto, vamos ao que interessa. Semana passada explicamos como se livrar
do BO. Vejamos agora como evitá-lo. E, pulando os entrementes, vamos
direto aos finalmente com a advertência enfática: nunca, jamais, em
tempo algum, sob nenhuma desculpa, razão ou fundamento, execute um
programa que não conheça a fonte e não saiba exatamente o
que faz. Especialmente se o recebeu sob a forma de arquivo anexado a mensagens
de correio eletrônico proveniente de fontes pouco confiáveis. Agora
vejamos porque.
Embora detectado pelas versões mais recentes de alguns Antivírus
(segundo informações de leitores, o F-PROT versão V.4.52 de
Setembro/98 e o Norton Antivírus, atualização de
Setembro/98, entre outros, reconhecem o bicho), o BO não é um vírus,
mas um "Trojan Horse" ("Cavalo de Tróia"). Ambos são
programas que executam tarefas indesejadas à revelia do usuário. A
diferença básica entre um e outro é o fato do vírus
ser auto-executável (ou seja, executa-se a si mesmo sem a interferência
do usuário) e capaz de se multiplicar, enquanto o trojan não se
reproduz (não é capaz de se disseminar sem o auxílio do usuário)
e precisa ser executado para se instalar na máquina, ou seja, depende da
ação do usuário. O nome provém do artifício
engendrado pelos gregos para conquistar Tróia (que também deu
origem à expressão "presente de grego"), um grande
cavalo de madeira abandonado em frente à cidade fortificada após,
aparentemente, desistirem de conquistá-la. O "presente", levado
para o interior da fortificação, era oco e abrigava um punhado de
soldados inimigos que, na calada da noite, atacaram os guardas e abriram os portões
para seu exército que havia retornado e aguardava em frente aos muros (se
você nunca ouviu falar desta história, procure conhecê-la: a
guerra de Tróia foi uma verdadeira Odisséia - ou melhor, foi a
verdadeira Odisséia). Quer dizer: se amanhã ou depois você
receber de presente um programeto qualquer com um título sugestivo tipo,
digamos, MulherPelada.Exe ou algo semelhante, acautele-se: pode ser um cavalo de
Tróia.
Sendo um trojan, o Back Orifice precisa ser executado para se instalar em
sua máquina. Daí a ênfase que dei ao aviso lá de
cima.
Tecnicamente o BO é uma "backdoor", ou "porta de serviço".
Uma backdoor é um programa que permanece instalado em um sistema sem
interferir em sua operação normal e oferece a quem o instalou e
conhece a forma de operá-lo acesso remoto ao sistema sem autorização
ou conhecimento do usuário.
Backdoors não são novidades. Na verdade, são usadas há
muito tempo, para fins louváveis ou ilícitos. No primeiro caso, são
instaladas em certas máquinas pelo administrador do sistema com o
objetivo de prestar suporte ao usuário ou efetuar determinadas tarefas
ligadas à administração e controle sem interferir no
trabalho do usuário. No segundo, são usadas para fins pouco louváveis
que vão deste uma simples brincadeira besta, como reinicializar sua máquina
durante uma conexão à Internet, até espionagem industrial
ou roubo de senhas e dados usados para movimentar contas bancárias à
revelia dos correntistas. Como bem lembraram alguns leitores, mesmo antes do
Back Orifice havia programas semelhantes, como o NetBus e o NetCat. A grande
diferença entre o BO e seus antecessores é que enquanto estes
exigem um certo conhecimento técnico para seu uso, o BO pode ser usado
por qualquer criança. Aliás, a julgar pelo número de
mensagens que recebo dando conta de invasões durante o uso de programas
de chat e das brincadeiras tolas praticadas pelos invasores, a maioria de seus
usuários é mesmo formada por crianças.
Por enquanto, é isto. Semana que vem continuaremos a conversar sobre
o Back Orifice. Até lá.
Coluna: Trilha Zero
Data: 05/10/98
‘Back Orifice IV: Instalando o BO’
Como o Back Orifice funciona? Porque é tão poderoso e causa
tanto mal? Bem, como somente podemos nos defender dos perigos que conhecemos,
vamos aprender alguma coisa sobre ele.
Os que acompanham esta coluna sabem que não costumo mencionar informações
sem citar a fonte. E parte das informações que serão
citadas adiante me foram enviadas por leitores através do correio eletrônico.
O problema é que recebi, literalmente, centenas de mensagens sobre o
tema, muitas delas com informações redundantes. Para ser justo, a
cada item eu teria que anexar uma longa lista de nomes. Ao invés disso,
reitero que os dados aqui citados provêm ou de consulta a sítios da
Internet que discutem o BO ou de mensagens de leitores – a quem agradeço
a colaboração e me desculpo por não citá-los
individualmente. Isto posto, vamos ao BO.
O BO é um programa desenvolvido para Windows 95/98 (portanto quem usa
Windows NT, Windows 3.1, OS/2 ou qualquer outro sistema operacional não
precisa se preocupar com ele) que se aproveita dos próprios recursos de
Windows de suporte a rede e das características do protocolo TCP/IP usado
na Internet para transformar a máquina onde se aninha em um "servidor".
Ele se instala quase imperceptivelmente. Vem sob a forma de um arquivo
executável (originalmente seu nome é Boserve.Exe, mas pode ser
alterado). Na versão original, após um clique duplo sobre seu ícone,
aparentemente nada acontece: o ícone desaparece e o próprio
arquivo executável some do disco rígido. Cuidado, isto é
parte do processo de instalação. Se algum dia algo parecido
ocorrer com você, não dê de ombros achando que o programa
executável estava corrompido ou algo assim: arquivos não
desaparecem de discos rígidos sem mais nem menos. Em uma situação
destas, fique alerta e apele para um dos procedimentos de detecção
e remoção do BO discutidos aqui há duas semanas.
Evidentemente os (ir)responsáveis pelo BO perceberam que sua exótica
técnica de instalação poderia alertar a vítima e
desenvolveram métodos para anexar o BO a qualquer arquivo executável.
Com isto, ao se clicar sobre o ícone, alguma coisa acontece (é
executado o programa ao qual o arquivo de instalação do BO foi
anexado) para distrair o usuário enquanto BO se instala sorrateiramente.
Portanto muito cuidado: a animaçãozinha simpática que você
recebeu de um "amigo", além de mostrar aquela bonequinha
opulenta fazendo strip-tease, pode perfeitamente ter instalado o Back Orifice em
sua máquina. Repetindo, então, a advertência da semana
passada, a única forma absolutamente segura de proteger-se contra o BO:
jamais execute programas que não tenham sido obtidos em fonte
absolutamente confiável, especialmente se vieram anexados a mensagens de
correio eletrônico.
Durante a instalação do BO o arquivo original desaparece, mas
um novo arquivo executável e uma nova DLL (arquivo de biblioteca de ligação
dinâmica, um dos arquivos auxiliares usados pelos programas Windows) são
criados em seu HD e o Registro de Windows 95 é alterado. Por padrão
os arquivos são criados no diretório Windows\System. O nome
original do novo executável é Exe~1 (ou simplesmente Exe) e da DLL
é Windll.Dll, mas tanto os nomes quanto o local podem ser diferentes. A
entrada no Registro, porém, é feita obrigatoriamente no mesmo
local, a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\, em
uma das entradas Run, RunServices ou RunOnce. O problema é que elas
incluem todos os serviços e processos carregados durante a inicialização
da máquina, dos quais alguns são essenciais à operação
do próprio Windows, e não se sabe com que nome o arquivo do BO foi
registrado (mas se você encontrar uma entrada com o nome Windll.Dll
remova-a sem titubear, que é o próprio).
A nova entrada no Registro faz com que, após instalado, o BO seja
carregado automaticamente durante a inicialização de Windows. A
partir deste momento, sempre que a máquina servidor estiver conectada à
Internet, qualquer pessoa que conheça a senha do programa e o endereço
IP da máquina servidor pode acessá-la e controlá-la através
do programa cliente do Back Orifice.
Neste caso, o termo "controlar" não é exagerado. O
operador do programa cliente detém o controle dos processos e do sistema
de arquivo da máquina servidor. Isto quer dizer que, entre outras coisas,
ele pode: copiar, ler, remover e alterar os atributos de qualquer arquivo ou
diretório (por exemplo: pode transformar em ocultos todos os seus
arquivos de dados, fazendo com que você não mais os encontre, mas
ele sim), alterar, adicionar e remover quaisquer chaves ou valores do registro,
controlar o acesso à Internet e disparar qualquer processo (uma das
mensagens que recebi relata o espanto de um pobre internauta quando
repentinamente viu abrir-se uma janela em seu monitor informando que a máquina
seria reinicializada - o que de fato ocorreu alguns instantes depois).
Estes artigos estão sendo reproduzidos fielmente, tal como se
encontram na home page do autor
http://www.bpiropo.com.br
Topo da página