Tutorial Back Orifice
oleh:
nOhAra
Kelompok hacker yang dikenal dengan nama Cult of
the Dead Cow (http://www.cdc.net) baru-baru ini meluncurkan sebuah hacktools
yang cukup hebat, disebut Back Orifice, atau BO, pada tanggal 1 Agustus 1998. Pada
tanggal 9 Agustus kode client telah di 'port' ke sistem operasi UNIX. Tujuan
legit dari program BO ini adalah administrasi jarak jauh dari sebuah mesin. BO
mempunyai sasaran mesin-mesin Windows 95/98, tapi tidak (belum?) NT. Artikel
berikut menjelaskan kegunaan-kegunaan BO, bagaimana cara kerjanya, dan
bagaimana cara mencegahnya. Sebagian besar isi artikel ini diambil dari
dokumentasi BO dan sumber-sumber lain di Internet.
Bagaimana cara kerjanya
-----------------------
BO terdiri dari dua bagian, sebuah progran client
dan sebuah program server. Anda harus menginstal program server di mesin yang
ingin anda akses secara 'remote'. Program server ini termasuk di dalam
instalasi BO, sebagai boserver.exe. Sekali dijalankan, program ini mengeksekusi
instalasi secara otomatis (self-install), dan kemudian menghapus dirinya
sendiri. Setelah itu mesin target akan menjalankan server BO setiap kali
dinyalakan. Proses ini tidak bisa dilihat dalam daftar proses (ctrl-alt-del).
Server ini secara otomatis menjalankan dan menyalin dirinya sendiri ke
direktori c:\windows\system sebagai file ".exe", deskripsi di
'registry' port (default: 31337), dan password (default:kosong), dan beberapa
hal lain. Sekali diinstall, anda bisa menggunakan boclient.exe (bounix untuk
versi unix) atau bogui.exe (versi grafikal) untuk mengakses mesin dimana
program server (boserver) berjalan. Sang client mengirimkan paket-paket UDP ke
mesin server untuk saling berkomunikasi.
Bagaimana cara menginstalkannya tanpa sepengetahuan sasaran
-----------------------------------------------------------
Disinilah kemampuan favorit para cracker
mengambil peran. Karanglah cerita bohong yang masuk diakal atau cara-cara lain
yang bisa membuat sang pengguna menjalankan file boserver ini. Anda bisa
berpura-pura menjadi seorang 'lamer', bilang saja ini file game baru, atau
beberapa gambar porno (atau 'penggempar' lainnya seperti foto perkosaan atau
kambing berkepala orang) yang cukup menghebohkan dengan format self-extracting.
Gunakan ide orisinil, dan jangan terlalu memaksa sang target untuk menjalankan
file tersebut - sebab ini memancing kecurigaan. Saat dijalankan mungkin saja
mereka heran "Sialan, kok hilang?" (coba kombinasikan paket ini
dengan file-file games/gambar/asli - biar lebih meyakinkan). Nah, saat inilah
anda tahu bahwa sekarang anda mempunyai akses penuh terhadap mesin orang
tersebut.
Menggunakan program client
--------------------------
Antarmuka program client memiliki beberapa
feature. Silakan periksa file-file dokumentasi yang diikutsertakan. Mari kita
diskusikan beberapa feature yang menarik beserta penggunaan masing-masing.
Sekali anda jalankan sang client, anda bisa mengetikkan "help" atau
"?" untuk bantuan menggunakan perintah-perintah yang ada. Pertama
sekali, untuk menghubungi mesin yang sudah anda BO-kan, gunakan: "host ".
Sekarang kamu bisa menggunakan perintah-perintah standar DOS seperti dir, cd,
copy, del, dan sebagainya
untuk memeriksa isi hard drive milik target anda. Bagaimanapun, tipe pemberian
perintah seperti ini cukup kaku dan memakan waktu. Untunglah dalam bundel paket
BO tersedia juga sebuah server http jadi anda bisa mengupload dan mendownload
ke mesin target. Gunakan "httpon " untuk mengaktifkan
server http ini. Sekarang anda bisa mengakses isi harddisk mesin tersebut melalui
sebuah web browser gunakan url http://nomor.ip.mesin:nomor-port (contoh:
http://habibie.ristek.go.id:31337), sebaiknya dengan menggunakan Netscape
(karena suatu hal MSIE memiliki kejanggalan saat mem-BO-kan sebuah mesin). BO
juga menyediakan form di bagian bawah halaman untuk digunakan mengupload file.
Tentunya tidak perlu saya berikan ide menarik yang bisa anda lakukan sembari
melihat-lihat: mengintip koleksi gambar parn0, membaca dokumen pribadi, dlsb.
Nah, lebih menarik lagi adalah kegiatan yang seringkali menimbulkan rasa takut
dalam diri target anda adalah untuk mengirim sebuah kotak dialog di layar sang
pengguna! Gunakan perintah "dialog " untuk menimbulkan
pesan di layar sang target. Di boclient windows, kotak dialog ini tidak begitu
betul tampilannya, namun dengan menggunakan client gui bug ini tidak ada.
Berhati-hatilah menggunakan perintah ini sebab banyak orang yang mungkin tidak
akan merasa terlalu gembira mengetahui mesinnya sedang dalam proses di'garap'
oleh anda. Mereka mungkin saja me-reboot secara paksa. Jika hal ini terjadi,
maka anda bisa menggunakan perintah 'sweep' terhadap subnet sang target untuk
mencari nomor mesin (gunakan portskanner standar - dengan nmap bisa diset untuk
menscan setiap mesin dalam subnet xxx.xxx.xxx.2-254 poer 31337) korban begitu
dia kembali koneksi ke internet. Kamu juga bisa memerintahkan fasilitas
multimedia untuk memainkan suara tertentu (tuliskan path lengkap) dengan
perintah "sound ". Menu perintah network mengizinkan anda untuk
melihat isi servis jaringan mesin target dan bisa di-"share". Jangan
lupa untuk menggunakan perintah sederhana lewat DOS prompt seperti "echo
'Pesan Politik' > PRN" jika kebetulan mesin yang anda 'pinjam' adalah
milik instansi yang sesuai. Tentunya jangan lupa untuk meninggalkan pesan
bagaimana caranya menangkal serangan setelah anda selesai bermain-main. Anda
juga bisa mencoba-coba bermain dengan proses-proses OS. Gunakan
"proclist" untuk melihat daftar proses yang aktif. Gunakan
"prockill" untuk memberhentikan proses, dan "procspawn"
untuk membuka proses baru. Ini berguna disaat-saat (misalnya) anda telah
merubah file tipe .ini (seperti mIRC) dan anda ingin sang program untuk
diluncurkan ulang. Cukup berhentikan sang program, dan sang user pasti
menjalankannya kembali, berpikiran bahwa ini mungkin hanya satu (lagi) bug
Windows. Salah satu fasilitas BO yang juga cukup menarik adalah pencatatan
kunci yang ditekan (keystroke logging). Fasilitas ini akan me-log setiap
karakter yang diketikkan oleh sang sasaran, termasuk nama window dimana input
diketikkan, kedalam sebuah file teks. Gunakan server http untuk
mendownload/membaca file ini. Satu lagi cara yang gampang untuk mendapatkan
password adalah perintah "passes" yang akan memberikan daftar
password yang disimpan di 'cache'. Bayangkan jika mesin target adalah komputer
umum (seperti perpustakaan/rental/warung net), berapa banyak informasi menarik
yang bisa anda saring! Bermacam password, mulai dari account PPP sampai account
Tripod tersimpan rapi tanpa enkripsi. Akhirnya, anda bisa me-redirect port-port
sesuai keinginan, dan menyambungkan aplikasi-aplikasi console ke port-port ini.
Sebagai contoh, jika kebetulan orang ini menjalankan server FTP w4r3z, mungkin
bisa anda coba untuk mengubah arah seluruh permintaan koneksi port 21 ke pentagon.mil
atau *.gov. Implementasi paling gamblang jelas dengan menyambungkan file
"command.com" ke sebuah port supaya anda bisa mengakses shell DOS di
mesin tersebut. Biasanya, hal ini bisa dilakukan cukup dengan menyangkutkan
shell DOS di port 23 (port default telnet) agar lebih gampang. Namun mengakses
mesin lewat cara ini sedikit lambat. Fasilitas-fasilitas lain dari BO termasuk:
mengubah isi registry, membuat "screen capture", menggunakan beberapa
jenis plug-in (silakan baca dokumentasi plug in untuk informasi cara
membuatnya, meng-crash sang mesin, dan me-rebootnya. Program BO beserta
bermacam plugin (buttplugs) bisa didownload di http://www.cultdeadcow.com/tools
(atau di halaman Member of Spyro Zone).
Cara memberantasnya
-------------------
Menurut "ISS Security Alert Advisory"
tanggal 6 Agustus 1998, BO menginstall dirinya sendiri dengan cara menerobos ke
dalam registry. Untuk mencegah dijalankannya BO setiap kali sang mesin di-boot,
sunting isi kunci registry di: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerson\RunServices
dan lihat nama-nama program yang mencurigakan (tidak biasanya muncul) - untuk
komputer-komputer biasa, mungkin hanya akan ada kunci (Default), jika ada entri
lain, maka perlu diselidiki lebih lanjut. Panjang file exe BO adalah sekitar
124 sampai 125 Kb. Hapus entri ini, dan lihat lokasinya agar bisa anda hapus ke
akar-akarnya. Instal ulang Win95/98 beserta software lainnya agar lebih aman.
Teks lengkap dari peringatan ISS ini bisa dilihat di: http://www.iss.net
Penutup
-----------
Penulis sendiri telah secara sukses mengontrol
berbagai mesin Win95/98 lewat program ini, mulai dari mesin di rumah (milik
sendiri!) di tempat kerja (milik kantor), di laboratorium komputer dan
perpustakaan sekolah (uhmmm ) dan beberapa 'kenalan' IRC. Back Orifice adalah
mainan yang cukup menarik, tapi tentunya anda perlu tetap memegang etika saat
bermain dengan perangkat ini. Jangan menaruh perintah seperty "@echo y |
format c:" di file "autoexec.bat". Tujuan dari hacking adalah
untuk belajar dan berkreasi, bukannya untuk menghancurkan.
tHanK's to All my FrEands 'n Senior
