Met het malafide programma Back Orifice kan worden ingebroken in Windows-PC's die aan Internet zijn gekoppeld. Het programma blijkt inderdaad de verwoestende werking te hebben die de makers van het programma, zich Cult of the Dead Cow (cultdeadcow.com) of cDc noemend, hebben aangekondigd.

Nog niet eerder is er een kwaadaardig programma op het Internet verspreid dat zo'n perfecte werking heeft, zo wijst een avond lang scannen en inbreken uit. Back Orifice is eenvoudig te bedienen en verschaft makkelijk toegang tot de systemen van wie dan ook. Het programma maakt de gebruiker als het ware tot 'buurman met een kijkgat in de muur'. Tijdens onze test troffen we personen aan met liefdesverdriet, een scholier die als hobby heeft leraren pesten, een schijf met vier gigabyte aan 'hard porno', een IRC-verslaafde die vijf uur lang wartaal uitsloeg, en een illegaal MP3-bestand van de nieuwe CD van Marco Borsato. Daarnaast stuitten we uiteraard op doorsnee personen met min of meer huis-tuin-en-keuken-levens.

Back Orifice (een verbastering van Back Office van Microsoft) werkt als volgt: door een Exe-bestand te koppelen aan E-mail berichten, programma's of screen savers, wordt onopvallend een programmaatje een systeem binnengesmokkeld dat zich onmiddellijk nestelt in Windows. Dit terwijl het op geen enkele schijf is te traceren met een bestandsnaam. Het programma is vrijwel alle virusscanners te vlug af.

Back Orifice bestaat uit twee delen: de 'server' die ongezien op de Windows-PC van een slachtoffer wordt geplaatst, en een client, waarmee de 'inbreker' die server kan bedienen. Kwaadaardig is het gebruik vooral als iemand een systeem een server toespeelt en vervolgens met de client op die server inspeelt. Gezien de perfecte werking van de programma's komt die laatste situatie waarschijnlijk veelvuldig voor.

Zelf plaatsen we geen Back Orifice servers, maar togen we wel aan het werk met de client. Dit deel van het programma blijkt direct bij aanvang een fenomenaal vernuft te herbergen. Het programma kan 1000 IP-nummers (gebruikt voor verbindingen tussen providers en Internetters) tegelijk scannen, door in plaats van de laatste drie cijfers '*' in te vullen. Daarmee ontdekt de client bij welke PC die op Internet is aangesloten, zich op dat moment een Back Orifice server bevindt. De naam van de gebruiker wordt gemeld en er is onmiddellijk contact. Vervolgens openbaart de PC met de Back Orifice server zich aan ons. We kunnen in onze client eenvoudigweg een aantal commando's aanklikken waarop functies worden uitgevoerd op de PC in kwestie.

We beginnen met het verzamelen van de volledige systeeminformatie en pikken alle wachtwoorden. Vervolgens wordt het tijd voor het ophalen van een lijst met mappen, gevolgd door lijsten met bestanden en de applicaties die in gebruik zijn.

Dan kan de inbraak een niveau hoger gaan: een kopie maken van een bestand, een plaatje weggooien of een bestand zoeken met een bepaalde naam. Back Orifice biedt ook de mogelijkheid om videobeelden in een Avi-bestand te brengen, bijvoorbeeld door beelden van een bekende Nederlander te plaatsen in een pornofilmpje op de harde schijf.

Ten slotte is te controleren of er enige reactie is, door even een complete 'toetsenbord-log' te doen. Daarmee kun je gedurende enige tijd vastleggen welke toetsen worden aangeraakt op de PC van het slachtoffer. Daaruit blijkt in dit geval dat niemand door heeft dat er op zijn systeem wordt ingebroken.

Het zwaardere werk laten we voor wat het is omdat daarmee de grens van wat juridisch is toegestaan verre overschreden wordt. We hadden met behulp van Back Orifice echter ook de computer een opdracht tot herstart kunnen geven, mappen kunnen weghalen en bestanden veranderen. Ook is het eenvoudig om de PC van het slachtoffer een verbinding te laten maken met een bepaalde FTP-server en bestanden van de PC te halen of andere bestanden daar op te plaatsen.

Nog gemener: met de nieuwste plug-in van Back Orifice kan de machine direct worden aangemeld op een IRC-server op een Back Orifice-kanaal, zodat de hele wereld weet dat die PC is besmet en iedereen er dus naar hartenlust in kan gaan knoeien.

We proberen de slachtoffers snel te waarschuwen en ook daarbij biedt Back Orifice hulp: eerst toveren we een venster op het scherm van het slachtoffer met de waarschuwing dat ze slachtoffer zijn van een hack. Ondertussen sturen we een programmaatje op om Back Orifice op te sporen en te bestrijden. Bij de meesten konden we dat doen met het programma I Seek You (ICQ) dat een directe dialoog op het scherm van de 'andere kant' opent. De nummers daarvan haalden we van de harde schijf.

Zo zouden we snel kunnen helpen. Althans, dat was de opzet. Maar dan begint het probleem pas goed. De een reageert nog verbaasder dan de ander. Ze kunnen hun scherm niet geloven: „Maar ik heb toch een virusscanner?", reageert Sanki00, abonnee bij World Acces. Net als abonnement t084044 van Euronet en dre4646 van World Online en de anderen meent 'Sanki00' dat het onmogelijk is dat we op zijn computer hebben gewerkt.

Geen van de slachtoffers heeft gehoord van Back Orifice. Dus verschaffen we als bewijs enkele wachtwoorden met de vraag of ze die direct willen wijzigen. Vooral voor degene met abonnementen op tientallen sex-sites was dat even schrikken. Hij is een poosje in de weer met wijzigen. Het leven van de Internetter gaat niet over rozen.

Overigens vragen enkele slachtoffers zelf onmiddellijk een exemplaar van Back Orifice. De nieuwsgierigheid blijkt bij sommigen groot te zijn.

Het ongeloof van de slachtoffers past bij dat van Microsoft, die tegen een verslaggever van de New York Times verklaarde: „Dit is volgens ons niet iets waar wij, noch onze gebruikers zich veel zorgen om hoeven te maken." Met dank aan Microsoft, want Back Orifice had nooit zo'n succes kunnen worden zonder deze uitspraak. De leukste trucs zijn mogelijk; zelfs het binnendringen van netwerken en die vervolgens totaal veranderen.

De makers hebben een jaar gewerkt aan Back Orifice, dat voor Microsoft kwaadaardiger zou kunnen uitpakken dan de rechtszaak van Justitie wegens monopolistisch gedrag, zo menen sommige deskundigen. De makers wisten er zelfs de kolommen van New Scientist mee te halen. En het heeft legale functies: onderhoud op afstand en het controleren van werknemers in een netwerk.

Overigens is bescherming tegen Back Orifice voorhanden. Het gratis programma 'Backwork' van de firma Framework te Breda (op deze site bij 'downloaden' te vinden) helpt op een slimme manier. Met grote regelmaat scant Backwork de PC op Back Orifice. Volgens Michael van Valkenburg van Framework zijn de afgelopen dagen al 1200 pakketjes opgehaald, na de vermelding bij Planet Internet.

Van Valkenburg: „De meeste mensen onderschatten Back Orifice omdat ze denken dat het een 'zoveelste denkbeeldig virus is'. De mensen zijn een beetje moe van die vele meldingen in de afgelopen maanden. Maar dit is een hele serieuze." Van Valkenburg verwacht dat de makers van Back Orifice ook met een versie voor Windows NT en Windows 98 zullen komen. „Cult of the Dead Cow is een ervaren groep die op langere termijn werkt en gefundeerd te werk gaat."

Ondertussen duikt een nieuwe variant op van Back Orifice op, Netbus geheten. Het valt te verwachten dat er nog meer pogingen zullen worden ondernomen in de 'registry' van computerbesturingen in te breken.

De namen van gebruikers zijn gefingeerd. Inmiddels zijn alle voor dit artikel verrichte handelingen ongedaan gemaakt en zijn de logfiles vernietigd.

Peter Olsthoorn en

Bert de Hoogh

AUTOMATISERING GIDS/18-09-'98

Kabelmaatschappij Casema, die in de regio Utrecht Internet-abonnementen verkoopt, heeft voor zijn 6000 kabelabonnees een collectieve licentie gekocht van Framework en gratis ter beschikking gesteld aan de abonnees, uiteraard onder de vlag van 'Casema'. Casema heeft zijn abonnees per E-mail gewaarschuwd voor het virusprogramma Back Orifice. Volgens de aanbieder veroorzaakt dit programma momenteel veel schade bij netsurfers die constant online blijven. In zijn schrijven wijst de Internet Helpdesk van Casema erop dat het programma is ontwikkeld door de hackersgroep The Cult of the Dead Cow. Vreemd genoeg wordt in het schrijven de URL van de hackers genoemd, terwijl Casema ervoor waarschuwt dat Back Orifice van The Cult een zogenaamd backdoor-programma is. In het bericht van Casema staat letterlijk: „Verspreiding vindt plaats via E-mail, eventueel verpakt in een ander, onschuldig programma. Ook kan het programma via het bezoeken van bepaalde webpagina's op de PC of laptop van een nietsvermoedende gebruiker terechtkomen." Verderop staat te lezen: „Het advies is om andere, soortgelijke programma's met het grootste wantrouwen te behandelen."

Bij Casema heeft men inmiddels begrepen dat dit niet de geijkte manier van werken is. De helpdesk heeft inmiddels een regen van telefoontjes moeten verwerken van verontwaardigde gebruikers die maar niet willen begrijpen waarom Casema het gevaar waarvoor het bedrijf waarschuwde gelijk ook zelf verspreide. Over systemen van abonnees van Casema die door de valse waarschuwings-E-mail van de aanbieder besmet zijn geraakt, is niets bekend. Overigens biedt Casema ook een aantal gratis programma's aan waarmee Back Orifice opgespoord en onschadelijk kan worden gemaakt.

AUTOMATISERING GIDS/LVP/18-09-'98