De open achterdeur van de pc

Herbert Blankesteijn, NRC Handelsblad 5-10-'98


Op Internet waart een nieuw soort computerbedreigende programma's rond. In tegenstelling tot virussen, die op een bepaald moment automatisch 'afgaan' en hun schadelijke werk doen, geven deze programma's de controle over de pc aan een persoon elders op Internet. Die kan ongezien onherstelbare schade aanrichten, of alleen de eigenaar pesten.

Internet is een vruchtbare biotoop voor computerpathogenen. Het internationale netwerk biedt verspreidingskansen aan virussen (verstoppen zich veelal in programma's), macrovirussen (in documenten als teksten en rekentabellen) en 'vandals' (onderdeel van Internetpagina's). De meest recente loot aan de stam is het 'achterdeurprogramma'. Het prototype daarvan is Back Orifice, wat 'achteropening' betekent en een woordspeling is op de naam van het kantoorprogramma Back Office van Microsoft. Back Orifice is gemaakt en verspreid door een Amerikaanse groep computerkrakers en werkt op IBM-compatibele pc's.

Het programma bestaat uit twee delen, een 'server' en een 'client'. De server is het programma waarmee een kwaadwillende andermans computer besmet. Dit kan door de server te vermommen als een gewenst programma, bijvoorbeeld een screensaver of een patch (aanvulling) voor populaire software. Aldus gecamoufleerd kan de server klaarstaan op Internet. Het adres, of het programma zelf, kan op grote schaal per e-mail worden rondgestuurd. Zodra een computergebruiker zelf het programma in werking stelt - maar ook niet eerder - is de besmetting een feit. De server wordt daarna geactiveerd elke keer dat de computer start, zonder dat dat te merken is. Een preventieve maatregel is dus: geen snoepjes aannemen van onbekenden.

Wie toch zo onverstandig is en besmet raakt, is een makkelijk doelwit zodra de computer met Internet is verbonden. Iedereen die het client-programma heeft kan op zoek gaan naar computers waarop de server aanwezig is, ongeacht hoe de besmetting tot stand is gekomen. Zowel de server als de client zijn gratis op te halen op de Internetsite van Cult of the Dead Cow. De client zoekt in een paar minuten duizenden Internetadressen af. Wie weet welke adressen gereserveerd zijn voor gewone gebruikers vindt al snel zo'n open achterdeur. Via de client zijn dan allerlei voorgeprogrammeerde grappen uit te halen. Met een druk op de knop geeft de server de wachtwoorden van de besmette computer. Een andere knop toont de actieve programma's, die zomaar kunnen worden gesloten. Met iets meer werk kunnen bestanden en mappen worden gemaakt en gewist of geluiden afgespeeld. Zelfs kan de hele computer op afstand worden herstart.

Een vergelijkbaar programma is Netbus, dat op dezelfde manier werkt. Netbus is ouder maar heeft minder publiciteit gehad en loopt pas sinds kort in de gaten. Het vereist van de onverlaat minder computervaardigheden. Daardoor is het ook gevaarlijker. Met het grootste gemak kunnen met de muis bestanden worden gewist of tussen de twee computers uitgewisseld en alles wat de bezitter van deze pc intikt kan 'live' worden gelezen. De site van Netbus stelt schijnheilig dat je het programma alleen mag gebruiken om een grap uit te halen met een vriend. Zelfs het laatje van de cd-romspeler kan op afstand worden geopend en gesloten - een idioot effect wanneer dit onverwachts gebeurt. Dit alles op commando van de client, want het slachtoffer weet van niets en zou hoe dan ook niets kunnen uitrichten, behalve ijlings de verbinding met Internet verbreken. Overigens kunnen de clienten van Netbus en Back Orifice ook worden gebruikt om besmette computers op Internet op te sporen en hun gebruikers te waarschuwen.

Het principe van het Trojaanse paard dat de controle over een pc aan een derde overgeeft biedt vele perspectieven. Zo demonstreerde een paar maanden geleden een Nederlands beveiligingsbedrijf een dergelijk programma dat een Internetgebruiker op afstand kon afluisteren via de microfoon van zijn besmette multimedia-pc.

Er zijn intussen gratis programma's die een besmetting met Back Orifice of Netbus opsporen en verwijderen. Ze zijn te vinden door op Internet met een zoekmachine als Metacrawler te zoeken op de naam van de ziekteverwekker. Internetaanbieders als Casema, Xs4all en Pine hebben deze scanners op hun pagina's staan of verwijzen ernaar. Het vervelende is dat voor elke besmetting een apart detectieprogramma nodig is, en er komen ongetwijfeld meer van zulke kwalijke grappen. Het wachten is op een scanner die controleert op het principe dat hier wordt gehanteerd: een programma vestigt zich ongevraagd in het register van Windows tussen de programma's die automatisch worden gestart, en blijft daarbij nog onzichtbaar ook. Het opsporen van die kenmerken zou de achterdeur stevig dichttrekken.

 


Het materiaal dat hier verkrijgbaar is mag worden gedownload, gelezen en zelfs gekopieerd, maar alleen voor eigen gebruik. Vermenigvuldigen met winstoogmerk is niet toegestaan. Alles is copyright Herbert Blankesteijn, tenzij anders vermeld.