Sicurezza/ Microsoft SMS come Back Orifice?

L'ultima versione del Systems Management Server di Microsoft contiene alcune funzioni che in Back Orifice erano state più volte bollate come pericolose e maliziose. Meriterebbe di essere considerato un cavallo di Troia anche SMS?

Questa settimana vorrei soffermarmi su un punto molto discusso in questi ultimi mesi: gli hacker.
Tutti conoscono e alcuni hanno anche seguito il processo del Governo degli Stati Uniti contro Microsoft, molti hanno espresso il loro parere riguardo la divisione in due parti della società e, molti, difendono a spada tratta quest'ultima quando la si accusa di qualcosa.

Proprio su una discussione avvenuta in questi giorni su di un newsgroup e dopo aver letto un comunicato del famosissimo gruppo hacker Cult Of Dead Cow (i padri del famigerato Back Orifice) riguardante il prodotto di casa Redmond "Systems Management Server" per gestire in remoto le reti aziendali (pacchetto incluso su ogni copia di Back Office), mi è venuta la voglia di fermarmi un attimo e pensare perché la comunità degli hacker, di Linux e circa mezzo mondo ce l'abbia con Bill Gates (se la prendono sempre con lui!).

Vediamo dunque di capire cos'è questo discussissimo Back Orifice, ormai giunto alla versione 2000 (BO2K), e cosa preoccupa le case di antivirus.
Sostanzialmente Back Orifice è uno strumento di gestione remota, sebbene un po ' "particolare" e per certi versi pericoloso. Vediamo le sue funzionalità principali, soprattutto per capire meglio il comunicato dei Cult of Dead Cow contro Microsoft.

Caratteristiche del client:

- lista dei server stile rubrica
- supporto plug-in
- connessione a server multipli in una sola volta
- look-and-feel personalizzabile

Caratteristiche del server nativo:

- HTTP file system: lettura e trasferimento con possibilità di restrizione
- possibilità di gestire la condivisione dei file in Microsoft Networking
- modifica diretta del file di registro
- modifica diretta dei file del PC remoto
- supporto plug-in
- aggiornamento, installazione e disinstallazione remota
- redirezione di connessioni TCP/IP in rete
- accesso ai programmi con comandi di shell in stile telnet
- supporto multimediale per cattura audio/video e riproduzione audio
- trasferimento delle password del registro in NT e dello screensaver in Windows 9x
- avvio, blocco, lista e controllo dei processi
- connessioni multiple a client oltre qualsiasi media
- possibilità di generare avvisi di sistema
- compressione di file proprietaria
- riavvio della macchina remota
- risoluzione DNS

Funzionalità aggiunte dai plug-in:

- criptazione Triple-DES
- controllo opzionale del mouse e tastiera remoti
- drag and drop per trasferire file criptati e browsing simile ad Explorer
- modifica remota del registro in modalità grafica
- supporto di UDP e ICMP

Funzionalità di prossima realizzazione:

- supporto ai protocolli IPX/SPX
- chiamate telefoniche in dial-up
- IRDA
- scripting per processi client-side e server-side automatici

Back Orifice si basa su di un client, il famigerato cavallo di Troia che si intrufola spesso nei PC di ignari utenti, ed un server, dal quale si può controllare praticamente ogni aspetto della macchina controllata: l'amministratore di rete può configurare indipendentemente ogni macchina con un proprio IP, una propria porta e così via.
Il client disporrà poi di una lista di server attivi (o presunti tali) a cui ci si potrà connettere con la nuova shell grafica di BO2K (che decreta l'intenzionalità più "seria" da parte del gruppo CDC di produrre un software utile e potente), in cui l'ambiente di lavoro risulta migliore rispetto alla precedente versione.

La lista dei comandi è completa, si prende praticamente possesso della macchina remota, situazione simile a chi utilizza prodotti come PC Anywhere o Carbon Copy, con cui ci si può collegare anche in dial-up e lavorare esattamente come se si fosse sulla macchina remota.

Ora che conosciamo meglio BO2K, la domanda che sorge è: cosa c'entra Microsoft con questo software? Vediamo nella seconda perte dell'articolo.
TAG: microsoft