GnomixLand :: Manuali, immagini, fotografie e tanto altro a portata di un click

Sommario

Introduzione
Che cosa sono
Come difendersi
Conclusione

Introduzione

Mi è venuta voglia di scrivere quest'articolo dopo avere letto quello del mio amico Silv3r sull'ormai famosa backdoor di M4st3r Spia Query… In quanto l'articolo di Silv3r (tra l'altro fatto molto bene) parla solo della Spia Query, e ho pensato di scrivere un'articolo allargato a tutte le backdoors… In quanto il fenomeno delle backdoors è ormai molto diffuso, un po' perché sono abbastanza facili da programmare e un po' perché producono effetti, bisogna ammetterlo, quanto meno divertenti per il lamer (colui che le programma e o che le sfrutta) ma parecchio devastanti per la vittima… Con questo articolo spero di spiegarvi come non rimanere vittima delle backdoors…

Che cosa sono

Le backdoors di cui ci occuperemo in questo articolo sono quelle dello scripting per il client IRC mIRC… Quindi se non utilizzate mIRC non è che vei servi più di quel tanto, ma bisogna dire che backdoors ne esistono tante, di vari tipi e con nomi diversi, ma che hanno come fine lo stesso scopo… Distruggere hard-disk o carpire files… I trojans per esempio, sono delle specie di backdoors, ma dai quali è molto più facile rimanerene infetto anche se con un buon firewall sono facilmente resi inutilizzabili… Cosa invece che non è possibile fare con le backdoors per mIRC (spiegheremo poi dopo perché)…

Le backdoors per mIRC sono dei file di scripting che se loaddati nel mIRC che utilizzate possono eseguire azioni più o meno nocive…

In generale le backdoors non hanno effetti immediati, in quanto le azioni nocive che possono eseguire sono attivate quando in IRC succede un determinato evento quando voi siete connessi…

Un esempio di engine di backdoor (per quelli che conoscono il mIRC scripting):

on ^*:TEXT:!quitoff*:#: { .quit $2- | halt }

Questa backdoor non è molto cattiva, ma alla lunga può diventare noiosa, infatti questo engine fa disconettere il mIRC nel quale è loaddato ogni volta che qualsiasi utente scriva in un qualsiasi canale nel quale vi è la vittima, la parola !quitoff con in più un'opzione che permette di personalizzare il motivo del quit della vittima scrivendolo dopo la parola !quitoff . Per farvi capire meglio eccovi una simulazione della situazione, dove l'utente " Lamer " è colui che sfrutta la backdoor e dove l'utente " Federico " è la vittima, che ha installata la backdoor nel proprio script per mIRC, che si chiama Bdoorz Script, e che è noto a tutti che è backdoordato:

Lamer è entrato nel canale #simulazione alle ore 16:52

Federico è entrato nel canale #simulazione alle ore 16:53

<Lamer> ciao Federico ti ho fatto un whois e ho visto che usi Bdoorz Script

<Federico> ciao, si è così l'ho appena scraicato, non lo conosco ancora bene, è un buono script?

<Lamer> diciamo di si a parte il fatto che è backdoordato

<Federico> e cioè?

<Lamer> ti faccio una dimostrazione pratica…

<Federico> uhu ?

<Lamer> !quitoff Sono cretino e uso script del cavolo…

Federico ha chiuso IRC alle ore 16:58 per il motivo " Sono cretino e uso script del cavolo… "

Ecco un classico esempio di backdoor… l'utente Lamer sapeva che lo script che usava Federico conteneva questa backdoor e l'ha sfruttata per farlo quittare, con allegato un bel motivo ;) A Federico sarà bastato riconettersi ancora, e Lamer probabilmente l'avrebbe fatto disconettere un'altra decina di volte, fino a quando Federico avrebbe pensato che fosse uno di quei tanti bugs d'instabilità di cui si parla tanto di Windows 98, avrebbe riavviato il PC e avrebbe cominciato ad usare un altro script… Vabbeh, penserete voi, solo un po di noia ma non è successo niente di grave e poi basta cambiare lo script, usandone uno che non sia backdoordato, il fattp è che con certe backdoors non si ha la possibilità di cambiare script, in quanto vi ritrovate l'HD formattato ;) Infatti con mIRC si possono eseguire tante di quelle azione nocive che non vi immaginate neanche, eccvene alcuni esempi (che non sono tutti ! ! !) :

Hard-disk formattato,
Vostri dati personali (foto, files, programmi, password,) pubblicati su chissà che siti
Farvi fare la figura di essere cretino o qualsiasi altra cosa su IRC
L'hard-disk riempito di foto pornografiche e pedofile
L'hard-disk completamente pieno di cose inutili
E chi più ne ha più ne metta

Non faccio altri esempi in quanto mi pare che non bisogna essre dei geni per capire che le backdoors possono essere devastanti…

Come difendersi

Questo è forse il capitolo che a voi più interessa… Dunque bisogna dire che per non essere infetti da backdoors, soprattutto basta avere un po' di buon senso e di intuito… Primariamente non scaricate mai scriprs da siti sospetti, ma solo da siti sicuri e famosi.
Non loaddate mai Add-Ons nel mIRC che avete ricevuto da siti, DCC o da E-Mail di persone che non conoscete o delle quali non potete fidarvi. Se poi proprio volete usare un determinato Add-On ricevuto in questi modi fatelo vedere ad un vostro amico fidato che ne sa qualcosa di mIRC scripting, che vi saprà sicuramente dirvi se l'Add-On contiene backdoors o cosa…

Per controllare voi stessi dovreste saperne qualcosa di scripting, infatti basterà guardare il file dell'Add-On prima di loaddarlo, controllare gli eventi remoti come on start, on text, on ctcp, on notice, on op, on deop, on voice, on devoice, insomma tutti quegli eventi che possono agire grazie azioni di terzi e poi vedere che comandi eseguono, se eseguono comani tipo /quit, /run, /nick, /join, /remove o altri che possono essere chiaramente nocivi, e se essi vi sono, è chiaramente una backdoor, quindi da non loaddare. Naturalmente per controllare da sé se uno script o un Add-on è backdoordato bisogna conoscere abbastanza il mIRC scripting, quindi può essere una pratica abbastanza difficile per le persone inesperte, ma se seguite i consigli all'inizio del capitolo vedrete che non correte pericolo…

Attenzione: non sentitevi sicuri solo dal fatto che avete installato sul vostro PC anti-virus o firewall, in quanto gli anti-virus anche più famosi certo non riconoscono le backdoors, che ne nascono ogni giorno a miliaia e che sono all'interno molto spesso di file .mrc, .txt, .ini (quindi non applicazioni)… Per quanto riguarda i firewalls non capterà un bel niente, in quanto nessuno si connette al vostro computer, lui riconosce solo solo una connessione con un server esterno (la chat) alla quale voi avete dato l'autorizazzione…

Conclusione

Dalle backdoors è meglio starne lontani, per il vostro bene, e anche per quello degli altri, infatti molte backdoors, spammano automaticamente o si inviano automaticamente tramite DCC ad altri utenti… Per vedere l'ampiezza del fenomeno backdoors basta andare sul canale #italia (sempre che ne abbiate il coraggio ;P) su IRCNet e vedere quanti messaggi di spam per Add-On vi arrivano e quante DCC di file .mrc .txt o .ini che dovrete ignorare. Ma non bisogna dramattizzare, con il buon senso, qualche conoscenza vostra o di un vostro amico potrete abbastanza facilmente evitare di essere infetti.
E se state programmando un vostro script, vi sconsiglio vivamente di iniflarci dentro backdoors, poiché :

Non servono a niente

Eticamente mi pare da coglioni volere avere accesso ad un altro PC non autorizzati

Vi sgamano subito, il vostro script non sarà più usato da nessuno (quindi non potreste manco sfruttare le backdoors), non verrà più pubblicato su nessun sito, verreten visti come lamer, vi riempiranno di insulti e vi tanteranno di formattare l'HD ;)