Dossier Computerbeveiliging

Nieuws

Lekken

Privacy

Hackers

Pentagon

Virussen

Tips

Boeken

Films

Vrij spel voor digitale insluipers

Marie-José Klaver

Een nieuw programma geeft digitale vandalen vrij spel op de computers van argeloze Internetgebruikers. Wie per ongeluk Back Orifice installeert geeft de hele wereld toegang tot zijn PC, wat vervelende gevolgen kan hebben. Insluipers kunnen zowel informatie vernietigen als bijvoorbeeld kinderporno verspreiden op naam van iemand anders.

Back Orifice is een virusachtig programma dat gebruik maakt van de zwakheden van Windows 95 en 98. Het werd in augustus gelanceerd door een groep hackers die zichzelf Cult of the Dead Cow noemen. Ze wilden ermee laten zien dat het besturingssysteem Windows van Microsoft, dat door het gros van de Internetters wordt gebruikt, vol eenvoudig te exploiteren beveiligingslekken zit.

Links Cult of the Dead Cow Microsoft Security Bulletin Maatregelen van Xs4all tegen Back Orifice Waarschuwing van Casema Nieuwsgroep alt.security.backorifice Netbus Beveiligingsinformatie over Netbus

Back Orifice bestaat uit een client en een server. De server wordt stiekem verspreid, in babbelboxen, nieuwsgroepen en per e-mail. Hackers maken gebruik van de vrij verkrijgbare client om bij de besmette computers in te breken. In principe werkt Back Orifice volgens het gebruikelijke client-server model. Een server biedt diensten aan en de client maakt daarvan gebruik.

Een echt virus is Back Orifice niet. Het kopieert zichzelf niet, maar nestelt zich op de harde schijf en zet een achterdeurtje open voor cyberinsluipers. Omdat Back Orifice als een zogeheten back door-programma is ontworpen, bestaat het risico dat je het per ongeluk installeert. Het kan zich verstoppen in een onschuldig ogend attachment zoals een digitale postkaart of een Word-document. Ook een leuk programma'tje dat je van een virtuele kennis op Internet krijgt, kan Back Orifice bevatten.

Eenmaal op een computer geïnstalleerd, zet Back Orifice de PC voor iedereen vanaf Internet open. Het stuurt zelf een waarschuwing naar het IRC-kanaal #bo_owned, zodat de hele wereld kan zien dat de besmette PC openstaat. Volgens de leden van de Cult of the Dead Cow is het nooit de bedoeling geweest dat Internetvandalen misbruik zouden maken van Back Orifice. Dat gebeurt natuurlijk wel. Op #bo_owned loeren tientallen gebruikers met namen als 'cyrus the virus', 'Hexor' en 'Bogusc' op de gekraakte PC's. In het minst erge geval nemen ze alleen een kijkje op de computers van de slachtoffers, in het ergste geval deleten ze je hele harde schijf of verspreiden ze onder de naam van een ander kinderporno, zoals onlangs twee tieners uit 's Gravenzande deden.

Tips Installeer nooit vreemde software. Open geen attachments die een programma (meestal eindigend op .exe) bevatten. Als u denkt dat uw PC besmet is, gebruik dan een van de eliminatieprogramma's die de providers Xs4all en Casema aanraden. Gebruik nooit een anti-Back Orifice programma dat u van iemand krijgt aangeboden. Zo'n programma kan juist Back Orifice bevatten.

Het is niet eenvoudig om Back Orifice op je harde schijf te lokaliseren omdat het niet zijn eigen naam gebruikt als het zichzelf installeert. Het verschuilt zich nagenoeg onzichtbaar in de system directory van Windows (C:\Windows\System). Er zijn speciale programma's als Back Word en Bo Detect die Back Orifice opsporen en verwijderen. Het is onverstandig om zomaar anti-Back Orifice software te installeren, omdat sommige van deze programma's het hackvirus juist bevatten. Op de sites van de providers Xs4all en Casema wordt een aantal programma's aangeboden om Back Orifice van je PC te krijgen die wel veilig zijn.

Microsoft heeft Back Orifice vanaf het begin gebagatelliseerd. ,,Dit is een programma dat noch wij noch onze klanten serieus hoeven te nemen'', zei een woordvoerder van de softwaregigant in de New York Times. Op de homepage van de Cult of the Dead Cow werd dit citaat vol leedvermaak overgenomen. Hoeveel slachtoffers het hackvirus al heeft gemaakt is onbekend. De meeste gebruikers die besmet zijn, weten dit niet.

Om die reden heeft Internetaanbieder Xs4all besloten maatregelen tegen Back Orifice te nemen. ,,De afgelopen tijd heeft XS4ALL veel Back Orifice scans gezien zowel inkomend als uitgaand'', aldus woordvoerder Maurice Wessling.

Volgens Wessling ligt de verantwoordelijkheid niet alleen bij de Internetgebruiker die per ongeluk een onveilig programma heeft geïnstalleerd. Wessling: ,,Ik denk dat dit een te simpele voorstelling van zaken is.'' Hoewel providers niet verantwoordelijk zijn voor de PC van hun klanten, voelde Xs4all zich geroepen extra maatregelen te nemen tegen het risico dat Back Orifice voor gebruikers vormt. ,,We signaleren een ontwikkeling die het volgens ons noodzakelijk maakt dat een provider meer bescherming aanbiedt aan de gebruiker dan tot nu toe gebruikelijk. Meer dan 80 procent van de XS4ALL users gebruikt Windows. Een groot deel daarvan heeft slechts een beperkte kennis van security onderwerpen.'' De meesten hebben zelfs nog nooit van Back Orifice gehoord, denkt Wessling.

Om inbraken via Back Orifice te voorkomen, filtert Xs4all het verkeer op bepaalde poorten. Gebruikers die dit niet willen, kunnen deze filtering uitzetten. In de nieuwsgroep xs4all.general heeft deze drastische maatregel tegen Back Orifice veel protest uitgelokt. De technisch onderlegde deelnemers aan de discussie vinden dat de provider zich moet beperken tot haar rol als doorgeefluik en nooit mag ingrijpen in het dataverkeer van en naar de gebruiker.

Wessling vindt de commotie overdreven omdat iedereen het filter uit kan zetten.

Tot nu toe is Xs4all de enige Internetaanbieder die Back Orifice actief probeert te bestrijden. Andere provieders als Casema en Euronet waarschuwen hun gebruikers en leggen in duidelijke taal uit hoe je (per ongeluk) aan Back Orifice kunt komen en hoe je er weer af komt. De verantwoordelijkheid voor de eigen PC ligt uiteindelijk bij de gebruiker volgens Casema. ,,Casema is op geen enkele wijze aansprakelijk voor welk gebruik dan ook van het softwareprogramma Back Orifice'', is op de helpdesk-pagina van de provider te lezen. De blokkades van Xs4all tegen Back Orifice bieden geen waterdichte garantie dat klanten geen slachtoffer worden van cybervandalen. Volgens Wessling kan dat ook niet. ,,Binnenkort zijn versies te verwachten die op andere poorten werken waardoor dit soort hotfixes achterhaalt zijn.''

Behalve uiterste voorzichtigheid betrachten bij het binnenhalen van attachments en het gebruiken van onbekende software en een safe eliminatieprogramma installeren is er weinig te doen tegen Back Orifice.

Wie denkt dat hij met de overstap van Windows 95 of 98 naar Windows NT van het risico af is, heeft het mis. Ook voor Windows NT bestaat er een hackprogramma dat insluipers toegang biedt, Netbus geheten. Netbus maakt PC's zelfs nog lekker dan Back Orifice. Het biedt hackers niet alleen onbeperkte toegang tot het hele systeem - ze kunnen zelfs vanaf Internet het laatje van de cd-rom speler open en dicht doen en bepalen welke sites je in je browser krijgt te zien.