[Kitetoa, les pizzaïolos du Ouèb

Evitez le Bus du Net…

Un serveur Web étant quelque chose de vivant, comme son contenu (sinon, ce n'est même pas la peine), nous mettons à jour ce papier (20/01/99). Les nouveaux commentaires sont en orange... Etrange non?

Cet article n'est pas destiné aux férus d'informatique, de hack et d'autres techniques de prise de contrôle à distance des ordinateurs. Il est simplement là, à la veille de Noël, pour mettre en garde les personnes qui "visionnent" les cartes postales animées débiles. Oui, vers Noël et nouvel an, tout le monde échange ces machins là. Ce papier n'est rien d'autre que de la vulgarisation. Et n'a pas d'autres prétentions.


Back Orifice, le cheval de Troie diffusé par le groupe Cult of the Dead Cow (cDc) il y a quelques mois, vous a inquiété ? Si tel est le cas, NetBus devrait vous glacer le sang.  De fait, si Back Orifice (B.O.) demandait quelques vagues notions d’informatique pour être utilisé, NetBus est aussi simple à utiliser qu’une calculatrice sur un ordinateur, il suffit de savoir lire et appuyer sur des boutons… Ce qui est énervant dans tout ça, c'est que ceux qui utilisent ces logiciels ne sont généralement pas des informaticiens, encore moins des hackers. Ils ne s'attaquent donc pas à des grands réseaux ou de grands serveurs, mais plutôt à ce qui est à leur portée de click&hack-boys: les utilisateurs finaux. Vous, Moi.

Back Orifice ne fonctionne que sur les ordinateurs pourvus de Windows 95. A tel point que Microsoft s’est fait un plaisir de le signaler à plusieurs reprises, indiquant ainsi implicitement que son système d’exploitation fétiche, NT, n’était pas affecté par ce cheval de Troie qui permet de prendre, à distance, le contrôle total d’un ordinateur. Il a suffit que les responsables de la sécurité de la société de Seattle avancent cet argument pour qu’un garçon plein de talent, Carl-Fredrik Neikter se mette à l’ouvrage. C’est ainsi qu’est né NetBus, terrible cheval de Troie qui fonctionne aussi bien sous Windows95 que Windows 98 ou… NT. Mais NetBus n'est pas seul à avoir pris la suite de B.O. dans l'exploitation de ce bug des systèmes d'exploitation de Microsoft. Il y a aussi Girl Friend et d'autres encore. Ils ont tous à peu près les mêmes fonctionnalités.

Comme Back Orifice, NetBus est composé d’un serveur (qu’il faut installer sur le P.C. cible) et d’un client qui permet ensuite de se connecter à ce serveur.

NetBus est pratiquement invisible lorsqu’il est installé sur un ordinateur, comme son grand frère B.O. Ce serveur peut, bien entendu, être utilisé sur un réseau local sous I.P. ou au travers d’Internet.

Certains estiment que ces chevaux de Troie ne sont pas très répandus, puisqu'il s'agit de "*.exe" qu'il faut les lancer sur la machine cible.  Or, de nos jours, chacun sait qu'exécuter un "*.exe" comporte un risque. Cependant, il ne faut pas de voiler la face, entre les utilisateurs qui recherchent des " images " ou des " vidéos " roses (ou rouges) et trouvent opportunément des internautes pour leur fournir un " jolie_fille.exe " et ceux qui doublent cliquent sur toutes les cartes postales électroniques qu’ils reçoivent aux alentours de Noël… Sans compter les utilisateurs qui veulent tester des logiciels qu’ils ne contrôlent pas... Il y a de très nombreuses machines infectées.

Une recherche d’une dizaine de minutes sur l’Internet Relay Chat (IRC) nous a permis de trouver 3 ordinateurs infectés… Outre les milliers de sites qui proposent les deux nouveaux chevaux de Troie à la mode, B.O. a été téléchargé plus de 250.000 fois depuis le site de cDc. Quant à NetBus, la version 2.0 Bêta est sortie il y a deux jours et elle est encore plus ergonomique. Notez également que le port de communication par défaut pour les petits paquets échangés entre le serveur et le client n'est plus le même... A rajouter dans vos logiciels de surveillance pour ceux qui en ont...

Par ailleurs, il me faut vous avouer qu'en dépit de la très forte attention portée par votre serviteur à ces problèmes, j'ai découvert un vilain NetBus au fond de mon PiCi il y a quelques jours. Arf!! et re-Arf!!!. Il a fallu modifier de très nombreux mots de passe pour éviter les ennuis sur ce serveur (d'ailleurs, si vous notez quelque chose de louche, faites-le nous savoir) où un piratage de la messagerie... Bien qu'il soit peu probable que le vilain pirate ait pu se connecter (vu les logiciels qui surveillent en permanence les ports de ce PiCi), il n'est pas utile de prendre des risques. Bref, tout ça pour dire que cette histoire démontre, s'il le fallait que personne (même ceux qui sont avertis) n'est véritablement à l'abri de la prolifération de ces logiciels (chevaux de Troie).

Kitetoa

Les principales fonctionnalités de NetBus :

Obtenir la liste des password (versions enregistrées pour la 2.0)
Ouvrir/fermer le CD-ROM,
afficher une image, un son,
interchanger les fonctions des boutons de la souris. Contrôler les déplacements de la souris,
lancer/arrêter une application,
afficher des boites de dialogue à l’écran (exemple : " voulez-vous détruire le contenu de votre disque dur ? Oui – Non). La réponse de l’utilisateur est renvoyée au client,
quitter Windows, éteindre l’ordinateur,
contrôler les adresses à visiter sur le WWW,
contrôler les touches du clavier/voir ce que l’utilisateur écrit,
faire une copie d’écran,
obtenir des informations sur l’ordinateur,
vue globale du contenu du disque dur de l’ordinateur cible,
télécharger depuis l’ordinateur cible, transférer sur l’ordinateur cible, détruire sur l’ordinateur cible, des fichiers ou applications,
voir les process en cours,
rediriger des données utilisant un port spécifique vers un autre hôte et un autre port.

 

Liens utiles :

http://www.cultdeadcow.com   (les auteurs de B.O.)
cf@trancometer.se  (l’e-mail de l’auteur de NetBus)
http://www.warforge.com  (pour comprendre)
http://www.dynamsol.com/puppet/  (pour Cleaner, qui permet d’enlever NetBus et B.O. d’un ordinateur infecté)
http://www.dark-secrets.com/progenic/trojans.html   (pour trouver des chevaux de Troie)
http://www.dark-secrets.com/progenic/patches.html   (pour se protéger des chevaux de Troie)

K.

Page d'accueil

Nous écrire
By mail

Nous envoyer des commentaires
By la page de le Feed-Back

Les mailing-lists

Nouveautés

Les stats du serveur

et...

Qui sommes-nous?

Le Sommaire
de
Kitetoa
(orientation...)

Sommaire général du site
(voir tout le contenu)

Les rubriques!

Les livres publiés par Kitetoa
Les Textes
Les interviews

Kit'Investisseurs
Fonds d'écran et autres trucs

Les rubriques!
(suite)
Les Let-R-s

Des Images
On s'en fout!

KitEcout'
KessTaVu? -KiteToile
Voyages

Statisticator, l'autre site...

Les dossiers :

Precision [ZataZ]
Le monde fou des Admins
Defcon
Le hack le plus bizarre
Guerre de l'info
Convention contre la cyber-criminalité
Hack

Questionnaire visant à améliorer le contenu de  ce site si c'est possible et pas trop compliqué

Réponses au questionnaire visant...
(merci)

Le Forum
Kitetoa-blah-blah

Rechercher
sur le site

...et sur le Net


Des liens
et
D'autres choses du Ouèb