ТЕХНИЧЕСКИЙ АНАЛИЗ
Джим Рапоза (PC Week Labs)
Back Orifice, дружественное пользователю хакерское приложение, впервые появилось прошлым летом и сразу же поставило перед системными администраторами целый ряд вопросов. Можно смело утверждать, что с такой серьезной проблемой им не приходилось сталкиваться уже долгие годы. И конечно же, столь яркий выход на сцену просто не мог не получить продолжения.
В начале июля Тестовый центр PC Week Labs провел экспертизу свежайшей версии этого приложения, выпущенной хакерской группой “Культ мертвой коровы” из техасского города Лаббок. Back Orifice 2000 (так называется новинка) позволяет хакерам перехватывать управление компьютерами под Windows NT и создает тем самым гораздо более серьезную угрозу корпоративным системам, чем ее предшественница. Кроме того, новая версия распространяется вместе с исходными текстами, а это значит, что у разработчиков появилась возможность видоизменять и расширять код, значительно затрудняя этим работу антивирусных средств.
Сегодня просто не существует приложений, которые могли бы защитить корпоративные сети от атак Back Orifice 2000, да и в будущем создать их будет нелегко: главным препятствием опять-таки станет открытость исходных текстов хакерской программы. Учитывая все это, PC Week Labs рекомендует администраторам еще раз довести до пользователей правила обращения с подозрительными файлами. Определенную помощь в срыве уже начавшихся атак на сеть могут оказать и средства сетевого мониторинга, способные выявлять необычайные отклонения в работе сети.
Обнаружив зараженные машины, администратор должен будет приложить немало труда, чтобы очистить их. Найти все файлы, используемые программой Back Orifice, нелегко, так как она варьирует не только их размер, но и имена. Единственным средством остается поиск недавно измененных файлов, которые не имеют отношения ни к одному из известных приложений, установленных на системе. Но все это - лишь полумеры: если Back Orifice попал на компьютер, администратору впору задуматься о полном восстановлении его операционной системы.
Двуликий Orifice
Back Orifice 2000 чем-то напоминает типичного негодяя из фильма ужасов. Подобно ему программа испытывает своего рода раздвоение личности: с одной стороны, она представляет собой вполне респектабельное средство дистанционного управления, пригодное для подразделений информационных технологий, с другой же - создает серьезную угрозу корпоративным системам. Возьмем, к примеру, функцию безопасного шифрования, предусмотренную в новой версии. Она вполне может подтолкнуть не слишком разборчивого администратора к использованию Back Orifice 2000 для удаленной диагностики компьютеров, и при этом у него и мысли не возникнет, что другие пользователи хакерской программы могут принять управление его системой на себя. Мы бы не рекомендовали специалистам ИТ брать на вооружение этот хакерский инструмент: слишком уж много в нем черт, не имеющих никакого отношения к делу. Back Orifice 2000, скажем, способен блокировать удаленную систему или включить бесконечное проигрывание на ней одного и того же звукового файла.
Функции “невидимки”, помогающие программе скрываться в недрах компьютера, по умолчанию отключены, однако задействовать их ничего не стоит - сделать это позволяет специальный ГИП.
В ходе тестирования мы настроили серверные компоненты на установление связи по защищенному подключению. При такой схеме применение Back Orifice в качестве легитимного средства дистанционного управления становится намного безопаснее, но полностью избавиться от всех сомнений нам все же не удалось. По-прежнему остался нерешенным вопрос, насколько можно доверять приложению, созданному хакерской группой, и можно ли полагаться на его надежность?
После того как мы задали параметры серверной части этого ГИП, которую собирались установить, программа конфигурации автоматически настроила и клиентскую часть для доступа к серверным компонентам. Это, несомненно, несколько усложнит работу хакера, желающего заставить Back Orifice управлять чужим сервером.
Новый административный клиент Back Orifice 2000 оснащен стандартным Windows-интерфейсом, что существенно упрощает одновременное управление несколькими машинами.
А вот одна из новых функций пакета может оказаться крайне опасной. Back Orifice 2000 способен делать любой каталог удаленного компьютера общедоступным, открывая тем самым возможность полномасштабного дистанционного управления всей информацией. А теперь представьте себе на минуту, что в компании появился внутренний хакер из числа обиженных служащих... Дальше можно не продолжать.
Само приложение Back Orifice 2000 и подробную информацию о нем можно получить в Интернете по адресу: www.bo2k.com.
Расширенная версия этого обзора доступна по адресу: www.zdnet.com/pcweek/stories/news/0,4153,2294227,00.htm.
Со старшим аналитиком Джимом Рапозой можно связаться по адресу: jim_rapoza@zd.com.